Regelmäßige Datenübermittlungen aus dem SMR

Die SAKD hat den Auftrag, ab dem 01. Mai 2017 regelmäßige Datenübermittlungen aus dem Sächsischen Melderegister durchzuführen. Für die durch das Landesrecht in Abschnitt 4 der Sächsischen Meldeverordnung geregelten regelmäßigen Datenübermittlungen enthält §9 SächsMeldVO Festlegungen zu Format und Verfahren solcher Datenübermittlungen.

Das Sächsische Staatsministerium des Innern hat im Sächsischen Amtsblatt Nr. 4/2017 am 10. Januar 2017 in seiner Bekanntmachung Festlegungen zum Datenformat und zu den für regelmäßige Datenübermittlungen nach Abschnitt 4 SächsMeldVO zu verwendenden Signatur- und Verschlüsselungszertifikaten getroffen. Die SAKD stellt auf dieser Seite die in der Bekanntmachung referenzierten Unterlagen und Informationen zur Verfügung.

Datenformat

Die SAKD hat in Abstimmung mit dem zuständigen Fachreferat des Sächsischen Staatsministerium des Innern das Datenformat "Regelmäßige Datenübermittlung SMR (SmrExtern)" für die Durchführung regelmäßiger Datenübermittlungen aus dem SMR entworfen.

SmrExtern ist ein XML-basiertes Datenformat, welches mit Hilfe von XML-Schema beschrieben wird. Neben der Durchführung regelmäßiger Datenübermittlungen kann SmrExtern auch für den automatisierten Datenabruf aus dem SMR eingesetzt werden. Die technische Formatbeschreibung gliedert sich daher in 3 Schemadateien, die aufeinander aufbauen:

  • SmrExtern_Basis.xsd definiert gemeinsame Typen, die sowohl für den Datenabruf als auch für die Datenübermittlung genutzt werden.
  • SmrExtern_Due.xsd erweitert SmrExtern_Basis.xsd um die für regelmäßige Datenübermittlungen relevanten Typen und Elemente.
  • SmrExtern_MRA.xsd erweitert SmrExtern_Basis.xsd um die für den automatisierten Datenabruf relevanten Typen und Elemente.

Das Schema SmrExtern_Due.xsd definiert die Elemente duePersonen, dueSchluesseltabellen und dueAdHoc. Das Element duePersonen beschreibt die Nachricht zur Übermittlung von Personendaten. In der Nachricht duePersonen werden viele Sachverhalte durch Schlüsselwerte codiert übermittelt. Aus diesem Grund steht eine weitere Nachricht dueSchluesseltabellen zur Verfügung, mit der bei Bedarf die Inhalte der Schlüsseltabellen dem Empfänger automatisiert bereitgestellt werden können. Die Nachricht dueAdHoc ist für die Übermittlung statistischer Daten ohne konkreten Personenbezug vorgesehen.

Gültige Version ab 01.10.2022

Ab dem 01. Oktober 2022 ist für Datenübermittlungen aus dem SMR nach Abschnitt 4 SächsMeldVO die Version 1.0 des Datenformates SmrExtern 2022-05 (urn:smr:extern:2022/05) vom 19.05.2022 anzuwenden. Schemadateien und Dokumentation können unter nachfolgendem Link heruntergeladen werden.

HTML-Viewer für Datenübermittlungsnachrichten

In der Vergangenheit stellte die SAKD seit 2017 Nutzern, die noch nicht über die entsprechenden Werkzeuge und Programme zur Verarbeitung der mit SmrExtern übermittelten Daten verfügen, übergangsweise XSL-Transformationsscripte zur Verfügung, mit deren Hilfe die gebräuchlichsten Inhalte der Datenübermittlungsnachrichten im Werbbrowser dargestellt und in ein Tabellenverarbeitungsprogramm übernommen werden konnten. Diese Übergangsphase lief zum 1. Oktober 2022 aus. Weitere Versionen der Transformationsscripte werden nicht mehr zum Download bereitgestellt. Eine letzte Version für das aktuell gültige Datenformat kann per E-Mail an smr(at)sakd.de angefordert werden.

Transportformat

Als technisches Verfahren für die sichere Übermittlung der Nachrichten aus regelmäßigen Datenübermittlungen wird durch § 9 SächsMeldVO OSCI-Transport in der in der 1. Bundesmeldedatenübermittlungsverordnung genannten Version festgelegt. Zum gegenwärtigen Zeitpunkt (Februar 2017) entspricht dies OSCI-Transport 1.2.

OSCI-Transport 1.2 ist das im Meldewesen etablierte und sich darüber hinaus in weiteren Fachbereichen durchsetzende Protokoll für den behördenübergreifenden sicheren Datenaustausch. Es regelt insb. die Auswahl und den Einsatz von Mechanismen zur Gewährleistung von Vertraulichkeit, Integrität und Authentizität von Nachrichten. Die Spezifikation und weitere Informationen zu OSCI-Transport sind unter www.xoev.de abrufbar.

In dem für das Meldewesen einschlägigen Fachstandard OSCI-XMeld sind für OSCI-Transport 1.2 verschiedene Transportprofile definiert, die das Sicherheitsniveau einer Datenübermittlung beeinflussen. Das SMR verwendet für regelmäßige Datenübermittlungen das in der jeweils aktuellen OSCI-XMeld Version veröffentlichte Transportprofil für Datenübermittlungen gemäß § 33 Bundesmeldegesetz. In der derzeit gültigen Version 2.2 von OSCI-XMeld wird das anzuwendende Transportprofil in Tablelle V.C.3 beschrieben.

OSCI-Intermediär

Der Intermediär ist die zentrale Instanz im OSCI-Transport Kommunikationsmodell, über die jeglicher Datenaustausch abgewickelt wird. Der Intermediär stellt Dienste zur Prüfung der Integrität und Authentizität von Nachricht zur Verfügung und dient als Zwischenspeicher für Nachrichten in asynchronen Kommunikationsszenarien.

Das SMR übermittelt die erstellten Datenübermittlungsnachrichten im asynchronen Verfahren an den sächsischen OSCI-Intermediär, wo diese zwischengespeichert werden. Die für den Nachrichtenabruf erforderlichen Verbindungsdaten und Zertifikate des sächsischen OSCI-Intermediärs sind beim Staatsbetrieb Sächsische Informatikdienste (SID) als Betreiber der Basiskomponente Elektronische Signatur und Verschlüsselung zu erfragen.

OSCI-Transportfähiger Client

Für den Abruf der durch das SMR auf dem sächsischen OSCI-Intermediär hinterlegten Datenübermittlungsnachrichten benötigt der Empfänger eine OSCI-Transportfähige Clientsoftware. Die E-Government-Plattform https://www.egovernment.sachsen.de/esv.html hat mit der Basiskomponente Elektronische Signatur und Verschlüsselung (BaK ESV) unter anderem die Aufgabe der Bereitstellung solcher OSCI Clientsoftware. Außerdem listet der Staatsbetrieb Sächsische Informatikdienste auf seiner Website für die Basiskomponente Elektronische Signatur und Verschlüsselung eine Auswahl OSCI-Transportfähiger Clientlösungen auf.

Zertifikate

Die Sicherungseigenschaften von OSCI-Transport basieren auf dem Einsatz von Signatur- und Verschlüsselungszertifikaten nach dem X.509-Standard. Sowohl das SMR als Autor und Sender als auch der Empfänger und Leser einer regelmäßigen Datenübermittlungen benötigen jeweils mindestens einen Satz solcher Zertifikate. Fallen auf Empfängerseite die im OSCI-Rollenmodell definierten Rollen Empfänger und Leser auseinander, wird für jede der Rollen Empfänger und Leser ein Satz an Zertifikaten benötigt.

Der OSCI-Standard sieht weiterhin vor, dass für die Anwendungen Signieren und Verschlüsseln von Daten unterschiedliche X.509-Zertifikate eingesetzt werden können. Alternativ kann jedoch für beide Anwendungen auch das gleiche Zertifikat genutzt werden, was im Meldewesen dem Normalfall entspricht.

An die für regelmäßige Datenübermittlungen einzusetzenden Zertifikate werden in der Bekanntmachung des SMI weitere sicherheitsrelevante Anforderungen geknüpft. Zusammengefasst ergeben sich zum aktuellen Stand (April 2023) die folgenden Anforderungen an die einzusetzenden X.509-Zertifikate:

  1. RSA-Schlüssel
  2. Mindestschlüssellänge 3072 Bit

Zertifikate des SMR

Das SMR verwendet zum gegenwärtigen Zeitpunkt ein kombiniertes Verschlüsselungs- und Signaturzertifikat für beide Rollen Autor und Sender. Dieses kann als Bestandteil der Behördenbeschreibung aus dem Deutschen Verwaltungsdiensteverzeichnis (DVDV) unter der Behördenkennung "ags:14999999" aus der Kategorie "Meldebehörde" abgerufen werden. Alternativ kann das aktuell gültige Zertifikat auch per E-Mail unter smr(at)sakd.de angefordert werden.

Zertifikate der Empfänger regelmäßiger Datenübermittlungen

Für den Empfang regelmäßiger Datenübermittlungen aus dem SMR muss sich die Datenübermittlungen empfangende Behörde mit geeigneten X.509-Zertifikaten ausstatten. Je nachdem, ob die Rollen Empfänger und Leser zusammen oder auseinander fallen und je nachdem, ob für die Anwendungen Signatur und Verschlüsselung das gleiche oder verschiedene Zertifikate bevorzugt werden, ergibt sich ein Bedarf von mindestens einem bis zu maximal vier Zertifikaten, die zu beschaffen sind.

Die zu beschaffenden Zertifikate müssen den gennannten Anfoderungen entsprechen. Sie sollten mindestens zwei Jahre und höchstens drei Jahre gültig sein. Aus dem im Zertifikat vermerkten Subject muss eindeutig der Name der Behörde hervorgehen. Die Zertifikate müssen für die Schlüsselverwendungen digitale Signatur (DigitalSignature) und Schlüsselverschlüsselung (KeyEncipherment) zugelassen sein.

Da der Kommunikationsfluss bei regelmäßigen Datenübermittlungen nur in eine Richtung (vom SMR zum Empfänger) stattfindet und das SMR die für die Verschlüsselung der zu transportierenden Inhalte verwendeten Empfängerzertifikate in einem eigenen Geschäftsprozess prüft, autorisiert und zuordnet, bestehen seitens des SMR keine besonderen Anforderungen an die Auswahl der die Empfängerzertifikate ausstellende Zertifizierungsstelle (Certificate Authority, CA). In jedem Fall geeignet sind die durch die DOI-CA ausgestellte Zertifikate. Vor der Entscheidung für eine andere CA lassen Sie sich bitte von der Anwendungsbetreuung der Basiskomponente Elektronische Signatur und Verschlüsselung beraten, um etwige Kompatibilitätsprobleme auszuschließen.

Bekanntmachung der Empfängerzertifikate

Die für den Empfang regelmäßiger Datenübermittlungen vorgesehenen Zertifikate müssen der SAKD durch den Empfänger verbindlich bekanntgegeben und übermittelt werden.

Zur Bekanntgabe des Empfängerzertifikats ist das Formular "Bekanntmachung des Empfängerzertifikats für regelmäßige Datenübermittlungen (reg. DÜ)" auszufüllen und im Original an die SAKD postalisch zuzusenden.

Hinweis: Im Formular ist der Sha1-Hash bzw. Fingerabdruck des Zertifikats anzugeben, welcher direkt aus dem Zertifikat in das Formular kopiert werden sollte, um Fehler zu vermeiden.

 

Das Zertifikat selbst sollte danach elektronisch an smr(at)sakd.de übermittelt werden. Die SAKD prüft die übermittelten Zertifikate und pflegt diese verbindlich in das SMR ein, sodass diese für künftige Datenübermittlungen verwendet werden können.

Bitte beachten Sie, sollte eines Ihrer für den Empfang regelmäßiger Datenübermittlungen aus dem SMR verwendeten Zertifikate kompromittiert werden, muss die SAKD unverzüglich und direkt via E-Mail an sakd(at)sakd.de über den Vorfall informiert werden, um weitere Datenübermittlungen an das betroffenen Zertifikat zu stoppen. Andernfalls könnten die von der SAKD an Ihre Behörde übermittelte Daten in die falschen Hände geraten.