Zum Hauptinhalt springen

FAQ

1 Über FIT-Connect

1.1 Was ist FIT-Connect?

FIT-Connect ist eine IT-Infrastruktur zur elektronischen Übermittlung von Anträgen (Einreichungen) von einem Sender (Onlinedienst) zu einem adressierten Empfänger (Verwaltungssystem/Subscriber). Zudem ermöglicht FIT-Connect die weitere Kommunikation zwischen Sender und Empfänger, beispielsweise die Zustellung des Bescheids. Eine Beschreibung der einzelnen Dienste von FIT-Connect finden Sie auf den folgenden Seiten der Dokumentation.

1.2 Was sind die größten Vorteile von FIT-Connect?

FIT-Connect erleichtert die maschinenlesbare und verschlüsselte Kommunikation zwischen Antragsteller:innen und den zuständigen Fachbehörden (Verwaltungssystemen). FIT-Connect erlaubt die standardisierte und sichere elektronische Zustellung von Einreichungen (Anträgen) an adressierbare Empfänger (Verwaltungssysteme). FIT-Connect ermöglicht zudem die Entkopplung der Entwicklung von Onlinediensten und Verwaltungssystemen. Dies vereinfacht die langfristige Pflege der Sender und Empfänger.

1.3 Wer ist Zielgruppe von FIT-Connect? Muss ich mich als Vertreter:in einer Kommune jetzt mit FIT-Connect auseinandersetzen?

Als Vertreter:in einer Kommune sollten Sie sich im Generellen mit FIT-Connect auseinandersetzen. Allerdings sollten Sie auch mit Ihren Verwaltungssystemherstellern in Kontakt treten: Immer mehr Hersteller entwickeln bereits Schnittstellen für den Empfang von Anträgen über FIT-Connect. Die FITKO bietet sowohl spezielles Informationsmaterial als auch eine auf Kommunen zugeschnittene Informationsveranstaltung an. Nähere Informationen finden Sie auf der Seite.

1.4 Welche Vorteile bringt FIT-Connect für ein Umsetzungsprojekt, in dem sowohl ein Onlinedienst als auch ein Verwaltungssystem angebunden werden?

FIT-Connect ermöglicht die für die schnelle OZG-Umsetzung notwendige Entkopplung der Entwicklung von EfA-Anträgen (Onlinediensten) einerseits und der Anbindung von Verwaltungssystemen andererseits. Die Teams zur Entwicklung von Onlinediensten und Verwaltungssystemen können unabhängig voneinander arbeiten, weil sie gegen FIT-Connect entwickeln. FIT-Connect ist die feste Bezugsgröße. Die Entkopplung vereinfacht auch die langfristige Pflege der entwickelten Lösungen und findet sich in darin wieder.

1.5 Was kostet es, ein Verwaltungssystem bei FIT-Connect zu registrieren?

FIT-Connect wird durch den Bund und die Länder finanziert. Für die Registrierung von Verwaltungssystemen und Onlinediensten sowie die Nutzung von FIT-Connect als technische Infrastrukturkomponente sind daher kostenlos. Allerdings obliegt die Entscheidung, ob es zu einer Kostenumlage auf die Kommunen des Landes kommt, den jeweiligen Landesregierungen. Dies kann insbesondere dann relevant sein, wenn ein EfA-Dienst eines anderen Bundeslandes im Rahmen der sogenannten Nachnutzung zur Verfügung gestellt wird. Bitte wenden Sie sich hierzu an die zuständigen Stellen in den Landesministerien.

1.6 Wer trägt die Kosten für FIT-Connect?

Die Kosten für den Betrieb der Infrastruktur von FIT-Connect werden vom Bund und den Ländern getragen, nicht von den Kommunen. Es kann aber sein, dass das jeweilige Bundesland eine Umlage für die Nachnutzung von FIT-Connect an die Kommunen weiter reicht.

1.7 Können Kosten umgelegt werden?",

Ja. Der jeweiligen Landesregierungen obliegt die Entscheidung, ob es zu einer Kostenumlage auf die Kommunen des Landes kommt, wenn ein EfA-Dienst eines anderen Bundeslandes im Rahmen der Nachnutzung zur Verfügung gestellt wird. Hierzu befragen Sie bitte die zuständigen Stellen in den Landesministerien.

1.8 Wer trägt die Kosten für die Anbindung eines Fachverfahrens?

Der Hersteller eines Fachverfahrens kann die Kosten für die Anbindung des Verfahrens an FIT-Connect der jeweiligen Kommune in Rechnung stellen.

1.9 Wer trägt die Kosten für die Nachnutzung der Anbindung an FIT-Connect?

Wenn eine Kommune die Anbindung eines Verfahrens an FIT-Connect nicht selbst beauftragt, sondern eine bereits entwickelte Anbindung übernimmt, dann können Kosten für diese Nachnutzung auf die Kommune zukommen.

1.10 Fallen Kosten für ein V-PKI-Zertifikat an?

Ja. Für die Verschlüsselung der Daten ist ein V-PKI-Zertifikat erforderlich. Für das Zertifikat fallen Kosten bei den Kommunen an.

1.11 Seit wann steht FIT-Connect für den produktiven Einsatz für Portale und Verwaltungssysteme zur Verfügung?

FIT-Connect ist seit dem Frühjahr 2022 produktiv und wird kontinuierlich von immer mehr Onlinediensten und Verwaltungssystemen genutzt. Der erste Onlinedienst, der über FIT-Connect produktiv ging, war im März 2022 das Verfahren zur Beantragung des Schwerbehindertenausweises. Immer mehr Onlinedienste und Verwaltungssysteme schließen sich seitdem an FIT-Connect an, diese sind unteranderem im Anbindungskatalog zu finden.

1.12 Gibt es Erfahrungen, wie aufwendig die technische Anbindung von Onlinediensten oder Verwaltungssystemen an das Testsystem von FIT-Connect ist?

Durch die schlanke REST API, die auch über SDKs von den anbindenden Systemen implementiert werden kann, ist es prinzipiell möglich, ein Verwaltungssystem sehr schnell in die Testphase zu bringen. Die Anbindung eines empfangenden Verwaltungssystems sowie ein erster einfacher Empfangstest können innerhalb kürzester Zeit eingerichtet werden. Ähnliche Größenordnungen sind auch für den Anbindungsaufwand von Onlinediensten zu erwarten. Der Aufwand für eine tiefgehende Integration in Verwaltungssysteme geht jedoch darüber hinaus.

1.13 Finden regelmäßig Informationsveranstaltungen zu FIT-Connect statt, und gibt es spezielle Formate für Kommunen?

Ja, es finden regelmäßig Online-Veranstaltungen zu FIT-Connect sowie zur Anbindung von Onlinediensten und Verwaltungssystemen statt.

2 FIT-Connect - fachlich

2.1 Kann FIT-Connect für EfA-Anträge genutzt werden?

Ja, FIT-Connect wurde vom IT-Planungsrat gezielt für zentral bereitgestellte Onlinedienste (EfA-Anträge) entwickelt.

2.2 Wird FIT-Connect zwingende Voraussetzung für alle EfA-Leistungen werden?

Niemand wird dazu gezwungen, FIT-Connect zu nutzen. FIT-Connect verfolgt jedoch den Anspruch, die einfachste, komfortabelste und allgemein nutzbare Lösung zu sein, um EfA-Onlinedienste mit den verarbeitenden Behörden zu verbinden. Es wurde speziell für diesen Zweck entwickelt, um die Vermittlung zwischen EfA-Anträgen und den bearbeitenden Stellen optimal zu gewährleisten.

2.3 FIT-Connect unterstützt interoperable Postfächer sowie die Anbindung verschiedener Rückkanalkomponenten (FIT-Connect Booklet). Was heißt das?

Über das Metadatenschema werden Informationen über den Rückkanal (Postfach ID) transportiert. Der Zustelldienst implementiert aber selbst nicht den FINK Rückkanal.

2.4 Wie grenzt sich FIT-Connect von anderen Projekten wie dem DVDV und OSCI-Intermediär ab?

Für FIT-Connect ist kein DVDV-Eintragungskonzept erforderlich. Das DVDV ist über einen eigenen Microservice mit separatem Datenbestand an FIT-Connect angebunden. Die Eintragung von Zustellpunkten im Self-Service-Portal von FIT-Connect erfolgt dabei vollständig automatisch über diesen Microservice. Die im DVDV hinterlegten Parameter können über den Routingdienst von FIT-Connect abgerufen werden. Darüber hinaus ist für FIT-Connect grundsätzlich kein OSCI-Intermediär notwendig.

2.5 Senden und Empfangen von Anträgen

2.5.1 Wer klärt Probleme beim Transport, wenn beispielsweise Übermittlungen nicht im Verwaltungssystem ankommen?

Bei Problemen im Bereich Transport ist grundsätzlich der Support von FIT-Connect zuständig. Um den Support zu erreichen, klicken Sie auf Kontakt auf die Schaltfläche 'IT-Support kontaktieren'.

2.5.2 Um Anträge über FIT-Connect zu empfangen, muss mindestens ein sog. Zustellpunkt im Self-Service-Portal von FIT-Connect angelegt werden. Kann man einen zentralen Zustellpunkt für eine ganze Behörde oder auch für eine Menge von Verwaltungssystemen anlegen, über den dann alle angebotenen Leistungen zentral empfangen werden können?

Ja, das ist möglich. Ein Zustellpunkt kann mehrere Leistungen umfassen. Konfiguriert werden kann dies über das Self-Service-Portal von FIT-Connect sowie über die Destination API. Einige Konzeptvorschläge findesn Sie unter Konzeption von Zustellpunkten.

2.5.3 Manche Bundesländer transportieren im kommunalen Bereich über 25 Mio. Übermittlungen pro Jahr. Gibt es bei FIT-Connect Größenbeschränkungen z.B. bzgl. der Übermittlungenanzahl pro Zeiteinheit oder auch der Übermittlungengröße?

Nein. Per Konfiguration (anpassbar) liegt das aktuelle Limit bei 2GB pro Antrag.

2.5.4 In welchen Datenformaten werden Daten über FIT-Connect übertragen?

Was übertragen wird, entscheidet allein der Onlinedienst. FIT-Connect hat aufgrund der Ende-zu-Ende-Verschlüsselung keinen Einfluss/Zugriff auf die übermittelten Daten. Bei FIT-Connect ist per Nutzungsbedingungen vorgegeben, dass Daten maschinenlesbar übertragen werden müssen (XÖV oder FIM-Stammdaten), um eine automatisierte Verarbeitung der Daten zu erlauben.

2.5.5 Werden die übertragenen Daten auf unsichere Inhalte geprüft?

Bei FIT-Connect sind die übertragenen Daten Ende-zu-Ende verschlüsselt. FIT-Connect kann deshalb keine Prüfung auf unsichere Inhalte durchführen.

2.5.6 Angenommen ein Antrag wurde an einen Zustellpunkt zugestellt, aber er wird nicht abgeholt. Wie verhält sich FIT-Connect? Wie lange werden die Übermittlungen von FIT-Connect gespeichert? Nach welcher Zeit werden sie gelöscht? Gibt es ein Löschkonzept?

Ja, es gibt ein Löschkonzept. Wenn eine Abholung eines Antrags bestätigt wird, löscht FIT-Connect den Antrag unmittelbar. Wird ein Antrag einundzwanzig Tage lang nicht abgeholt, wird er ebenfalls gelöscht.

2.6 Beauftragung der Anbindung

2.6.1 Gibt es eine Testumgebung für FIT-Connect und wie kann man auf dieser Umgebung testen?

Das Self-Service-Portal der Testumgebung steht allen Interessierten zur Verfügung, um API Clients für die Testinstanz des FIT-Connect-Zustelldienstes zu registrieren. Sie können dafür einen eigenen Zugang erstellen. Weitere Informationen zu den verfügbaren Optionen finden Sie unter Accountregistrierung und Client-Verwaltung.

2.6.2 Muss die Konfiguration von Onlinediensten bzw. von Verwaltungssystemen einzeln und pro Behörde gemacht werden oder kann hier ein Dienstleister eine Konfiguration für alle seine Kunden anlegen?

Ja, die Konfiguration von Onlinediensten und Verwaltungssystemen kann von einem IT-Dienstleister zentral für alle seine Kunden vorgenommen werden, statt dass jede Behörde dies einzeln durchführen muss. Besonders kleinere Kommunen nutzen häufig IT-Dienstleister, um die Verwaltungssysteme zu konfigurieren und an FIT-Connect anzubinden. Verwaltungssystemhersteller und andere Dienstleister profitieren von neuen Werkzeugen, die die Pflege der FIT-Connect-Anbindungen erleichtern. Wenn es notwendig ist, Daten in die Redaktionssysteme der Länder zu übertragen, bieten IT-Dienstleister auch hierbei Unterstützung. Dadurch wird sichergestellt, dass sowohl große als auch kleine Kommunen problemlos an FIT-Connect angebunden werden können.

2.6.3 Wann müssen die AVV und Nutzungsbedingungen unterschrieben werden?

AVV und Nutzungsbedingungen sollten unterschrieben werden, wenn die Staging- und Produktivumgebung von FIT-Connect genutzt werden soll. Für die Testumgebung sind keine administrativen Schritte notwendig.

2.6.4 Wer muss die AVV und Nutzungsbedingungen unterschreiben?

Empfangende Systeme (meist Verwaltungssysteme sowie Behörden) müssen die Nutzungsbedingungen unterschreiben. Sendende Systeme (meist Onlinedienste) müssen AVV und Nutzungsbedingungen unterschreiben. Die Vertragsdokumente werden bei Unternehmen von der prokura innehabenden Person unterschrieben. Bei Behörden tut dies in der Regel die Amtsleitung, Abteilungsleitung oder sonstige Amtsträger im Rahmen ihrer dienstlichen Funktionen oder Befugnisse. Die Dokumente erhalten Sie nach Einwahl in die Stage- bzw. Produktivumgebung vom Self-Service-Portal (SSP).

2.6.5 Müssen Empfänger von FIT-Connect, die die bidirektionale Kommunikation nutzen, auch die AVV unterschreiben?

Ja, Nutzer, die die bidirektionale Kommunikation nutzen, werden damit auch zu Sendenden Systemen und müssen eine AVV abschließen.

2.6.6 Gibt es bei FIT-Connect Größenbeschränkungen z.B. bzgl. der Anzahl der Übermittlungen pro Zeiteinheit oder auch der Größe der Übermittlungen?

Für die Anzahl der Übermittlungen pro Zeiteinheit gibt es keine Beschränkungen. Es gibt jedoch eine Maximalgröße für Anhänge, die bei 2GB pro Antrag liegt. Diese kann bei Bedarf angepasst werden.

2.6.7 Können sich auch Dokumenten-Management-Systeme als Empfänger an FIT-Connect anschließen?

Ja, prinzipiell kann jede Software, die eine entsprechende Schnittstelle bereitstellt, Anträge über FIT-Connect empfangen.

2.7 IT- Sicherheit und Datenschutz

2.7.1 Muss für den Empfang von Daten (Pull aus dem Verwaltungssystem heraus zu FIT-Connect) die Firewall geöffnet werden?

Da prinzipiell neben der Konfiguration eines Callbacks auch die Möglichkeit zum Polling durch den Empfänger gegeben ist, ist die Antwort nein. Wenn Sie hingegen mit Callbacks arbeiten wollen, müsste der Callback die Firewall passieren dürfen.

2.7.2 Muss der Onlinedienst das Vertrauensniveau des Verwaltungssystems prüfen?

Ja, grundsätzlich muss der Onlinedienst vor dem Versenden sicherstellen, dass schützenswürdige Daten nicht in ungesicherten Systemen landen.

2.7.3 Wenn ich meinen Account lösche: Wie lange werden die Accountdaten aufbewahrt werden, bevor sie gelöscht werden?

Die Accountdaten werden nach Löschung des Accounts innerhalb von 90 Tagen (3 Monate) gelöscht.

2.7.4 Werden Anhänge auf Viren überprüft?

Da übertragene Daten im Zustelldienst verschlüsselt vorliegen, kann FIT-Connect für diese keine Virenprüfung durchführen.

2.7.5 Von wem muss ein Virenscan durchgeführt werden?

Laut den Nutzungsbedingungen muss das Verwaltungssystem oder der Onlinedienst den Virenscan durchführen. Wir empfehlen sich an der BSI Richtlinie „TR-03172 Portalverbund“ zu orientieren. Demnach verpflichten sich alle beteiligten Stakeholder zur Gewährleistung der IT-Sicherheit Maßnahmen nach dem Stand der Technik und sollen so verhindern, dass ein System verseucht wird.

2.7.6 Muss für jeden Zustellpunkt ein eigenes Zertifikat verwendet werden?

Nein, ein einziges Zertifikat der Verwaltungs-PKI reicht für die Anbindung von bis zu 30 Verfahren Ihrer Behörde an FIT-Connect, solange die BSI-Sicherheitsanforderungen eingehalten werden.

2.7.7 Wenn eine Behörde beispielsweise mehrere Leistungen über FIT-Connect anbietet, bedeutet dies, dass mehrere Zustellpunkte konfiguriert werden müssen?

Sie können entweder für Ihre Behörde einen Zustellpunkt konfigurieren, der mehrere Leistungen umfasst oder für jede Leistung einen Zustellpunkt anlegen. Wichtig ist aber, dass sie pro Verwaltungssystem einen Zustellpunkt anlegen müssen. Werden in diesem Verwaltungssystem mehrere Leistungen bearbeitet? Wenn ja, dann reicht ein Zustellpunkt. Nutzen sie für jede Leistung ein anderes Verwaltungssystem, dann brauchen sie auch jeweils einen weiteren Zustellpunkt. Eine Darstellung verschiedener Zustellpunkt Konzepte sind in der Dokumentation aufgezeigt.

2.7.8 Kann man einen zentralen Zustellpunkt pro Behörde anlegen, über den alle angebotenen Leistungen zentral einlaufen?

Es muss pro Verwaltungssystem (z.B. Fachverfahren) ein Zustellpunkt angelegt werden. Wenn mehrere Behörden bzw. Abteilungen dasselbe Verwaltungssystem nutzen, reicht ein Zustellpunkt. Nutzt jede Behörde bzw. Abteilung ein eigenes Verwaltungssystem auch wenn es immer dieselbe Leistung ist, braucht es jeweils einen eigenen Zustellpunkt.

2.7.9 Kann man über einen Zustellpunkt mehrere Behörden anschließen?

Ja, wenn alle diese Behörden dasselbe Verwaltungssystem nutzen, kann ein Zustellpunkt mehrere Regionen (= mehrere Kommunen) oder Behörden und auch mehrere Leistungen umfassen. Nutzt jede Behörde bzw. Kommune ein eigenes Verwaltungssystem, braucht es jeweils einen eigenen Zustellpunkt.

2.7.10 Dürfen nur Behörden Clients und Zustellpunkte im Self-Service-Portal der FITKO anlegen?

Nein, jede Person, die von einer Behörde autorisiert wurde oder die Nutzungsbedingungen selbst unterschrieben hat, darf das Self-Service-Portal nutzen. Darüber hinaus kann die Verwaltung auch von Dienstleistern übernommen werden.

2.7.11 Leiten Zustellpunkte von sich aus Anträgen an die Verwaltungssysteme weiter?

Nein, Zustellpunkte stellen Anträge zur Abholung bereit. Verwaltungssysteme fragen regelmäßig nach, ob für sie Anträge (Einreichungen) vorliegen und rufen diese dann ab (pull). Zusätzlich lassen sich die Verwaltungssysteme informieren, sobald ein Antrag für sie im Zustellpunkt eingetroffen ist (callback).

2.7.12 Ist für FIT-Connect ein XTA-Server notwendig?

Nein, für FIT-Connect ist grundsätzlich kein XTA-Server notwendig.

2.7.13 Kann FIT-Connect auch in Szenarien ohne Verwaltungssystem genutzt werden (PDF-Übertragung)? Gibt es einen Minimal-Client, so wie bspw. COM Vibilia für OSCI?

Ein generischer Empfangsclient existiert derzeit nicht. Wir werden im Projekt jedoch entsprechende Tools zu Test-/Entwicklungszwecken bereitstellen. Darüber hinaus wäre eine leichtgewichtige Integration in bestehende Systeme (Ticket-Systeme, Mailsystem) denkbar. Zudem können System wie der Governikus MultiMessenger der Firma Governikus, MODUL-F oder die OZG Cloud zum Empfang von Übermittlungen über FIT-Connect genutzt werden.

2.8 Konfiguration Self Service Portal

2.8.1 Wie kann ich auf das Self-Service-Portal zugreifen?

In der Testumgebung ist die Anmeldung beim Self-Service-Portal per Username und Passwort über Ihren Account bei GitHub, OpenCoDE, Elster-MeinUnternehmenskonto oder GitLab möglich.

2.8.2 Beim Abruf des Tokens bekomme ich die Fehlermeldung "Invalid, unknown or malformed scope"

Bei der Einrichtung eines empfangenden Systems (Subscriber) im Self-Service-Portal ist es notwendig, den zuvor erstellten Zustellpunkt auch dem API Client zuzuordnen.

2.8.3 Kann man wie beim publicKey_encryption auch eine neue publicKey_signature_verification über die Schnittstelle hochladen?

Ja, diese können genauso wie der Public-Key für die Verschlüsselung hochgeladen werden. Im Gegensatz zu dem publicKey_encryption hier muss aber kein Schlüssel explizit aktiviert werden, da für die Signaturprüfung die neuen als auch die alten Schlüssel herangezogen werden können / müssen.

2.8.4 Besteht die Möglichkeit über das Self-Service-Portal den Public-Key anzupassen ohne die Destination vorher zu löschen?

Nein, aktuell ist das nur über die API möglich. Im SSP muss leider die Destination neu angelegt werden.

2.9 Versand

2.9.1 Kann man nach dem erfolgreichen "Einreichung absenden" noch nachsenden, solange die Daten nicht abgeholt wurden?

Im Nachgang können nur Anhänge überschrieben werden. Man kann also nichts zusätzlich einreichen, wenn dies nicht angekündigt wurde. Das Nachreichen einer Einreichung erzeugt eine neue Einreichung.

2.9.2 Was mache ich als Sender, wenn ich keine von der Destination angebotenen "Submission Schemas" unterstütze?

Die Destination gibt die zu nutzenden Schemas vor. Falls eine Konvertierung in das gewünschte Format nicht automatisiert möglich ist, sollte es im Support des Senders auffallen und dann sollte eine organisatorische Abstimmung mit der für die Destination verantwortlichen Stelle gesucht werden.

2.9.3 Woher weiß der Empfänger, welcher PublicKey zur Verschlüsselung verwendet werden soll, zumal mehrere Schlüssel in einer Destination hinterlegt werden können?

Der für die Verschlüsselung aktive / zu nutzender Schlüssel wird in dem Feld encryptionKid angegeben. Anhand der ID können Sie aus dem Array den relevanten Schlüssel raussuchen.

2.9.4 Beim Empfänger ist "encryptedData" in dem Antrag immer null, obwohl ich es mitsende. Woran liegt das?

Denken Sie daran, dass Sie das Feld "data" bei der Antragsanlage immer auf "true" setzen müssen, damit diese Daten auch übermittelt werden.

2.9.5 Beim Versand bekomme ich die folgende Fehlermeldung: 422 Unprocessable Entity: Error during SET validation

{
  "type": " <Link to={'https://schema.fitko.de/fit-connect/problems/security-event-token-validation",
  "title": "Error</Link>  during SET validation",
  "status": 422,
  "detail": "There was a problem during the processing of the provided SET",
  "issue": "The specified public key in the header cannot be found."
}

Bei der Destination in der Testumgebung ist kein Schlüssel hinterlegt, welcher mit dem bereitgestellten Tool generiert werden sollte. Ersetzen Sie den Schlüssel, wie hier in der JWK-Dokumentation beschrieben.

2.9.6 Beim Versand bekomme ich die folgende Fehlermeldung: 409 Conflict: Invalid state transition

Die Statuswechsel dürfen nur in der festgelegten Reihenfolge durchgeführt werden. Beachten Sie die definierte Statusfolge.

2.9.7 Gibt es Eingangsstempel für Anträge mit Fristen?

Ja, über das Eingangsprotokoll kann das Ereignis 'Submit Submission' eingesehen werden (Die Einreichung wurde durch den Sender abgesendet).

2.9.8 Was sind die Schritte, um die Signatur der Events (zum Beispiel nach Jahren) zu prüfen, wenn die öffentlichen Schlüssel bereits getauscht wurden?

Bei Änderung der Signaturschlüssel seitens des Senders wird empfohlen, die alten öffentlichen Schlüssel nicht zu löschen, sondern lediglich die neuen hinzuzufügen, sodass eine Signaturprüfung (gegen alle vorliegenden Schlüssel) möglich bleibt.

2.10 Empfang

2.10.1 Wie ist "Issuer" beim SET der Empfangsbestätigung auszufüllen?

Hier ist der Ersteller des SET einzutragen (Empfänger). Vom gleichen Empfänger sollte es auch immer identisch befüllt werden (z.B. die Haupt-URL).

2.10.2 Woher kommt die CaseID für die Empfangsbestätigung?

Die CaseID wird beim Abholen der Submission mitgeliefert. Diese sollte in diesem Feld auch angegeben werden.

2.10.3 Ich möchte einen neuen Verschlüsselungsschlüssel hinterlegen, was ist zu tun?

Zuerst muss der neue Public-Key der Destination über zugeordnet werden. Anschließend kann über den Endpunkt der neue Schlüssel als der Aktive definiert werden (encryptionKid).

2.10.4 Ich kann keinen Antrag empfangen oder senden, was kann ich tun?

Überprüfen Sie immer, mit welchem Token Sie die Aufrufe starten. Mit dem Token eines Senders können Sie die für den Empfänger spezifischen Endpunkte nicht aufrufen. Genauso umgekehrt können Sie mit dem Token eines Empfängers keine Submissions versenden.

2.10.5 Bei mir schlagen die Signatur oder Signaturvalidierung fehl, was können die Ursachen sein?

Bitte immer daran denken, dass der Empfänger die Signatur mit seinem privaten Schlüssel durchführt und dann kann der Sender mit dem öffentlichen Schlüssel die Signatur validieren.

2.10.6 Bei mir schlägt die Ver- oder Entschlüsselung fehl, was können die Ursachen sein?

Bitte immer daran denken, dass der Sender mit dem öffentlichen Schlüssel der empfangenden Stelle verschlüsseln muss und der Empfänger kann es dann mit seinem privaten Schlüssel entschlüsseln.

2.11 Metadatensatz/Fachdatensatz

2.11.1 Was bedeutet "authenticationInformation" und "identificationReport"?

Der Bereich "authenticationInformation" ist im Metadatenschema etwas näher beschreiben. Hier können alle für den Antrag relevanten Identifikationsnachweise angegeben werden (mehrere, da es auch mehrere Nachweise geben kann – zum Beispiel für Ehepartner oder Kind). Die Inhalte ergeben sich aus dem genutzten Dienst (zum Beispiel eID oder Elster).

2.11.2 Welche "types" gibt es im Bereich "authenticationInformation"?

Aktuell gibt es keine anderen Typen. Das hängt mit dem Report im Allgemeinen zusammen. Der deckt sehr viele Arten ab.

2.11.3 Um welche Datei handelt es sich bei "content" im Bereich "authenticationInformation"?

Der Nachweis wird als Base64Url-kodierte Zeichenkette angegeben. Die interne Struktur hängt vom type ab.

2.11.4 Gibt es einen mimeType im Bereich "authenticationInformation"?

Nein.

2.11.5 Wo muss "schemaURI" angegeben werden?

Die schemaURI muss nicht unter $schema angegeben werden, sondern unter contentStructure data submissionSchema.

2.11.6 Was bedeutet der Inhalt von $schema? Und bleibt er immer gleich bzw. wie kann man ihn ermitteln?

Grob zusammengefasst beschreibt das Metadatenschema den Metadatensatz. In dem Ausschnitt des Beispielmetadatensatzes wird in dem Feld $schema auf das zugrunde gelegte Metadatenschema verwiesen. Die aktuelle Version kann über den Link ganz oben unter Metadatenschema heruntergeladen werden, bzw. darauf in dem Feld verweisen.

2.12 Betrieb

2.12.1 Gibt es Wartungsfenster?

Ja, ein Backup wird aktuell morgens durchgeführt, wobei der Zustelldienst für mehrere Minuten nicht verfügbar ist.

2.12.2 Wer klärt Probleme beim Transport, wenn Übermittlungen nicht beim Empfänger angekommen sind?

Grundsätzlich ist bei Problemen der Support von FIT-Connect zuständig. Eine wiederholte Nichtabholung durch das empfangende System stellt einen Verstoß gegen die Nutzungsbedingungen dar und kann Konsequenzen bis hin zum Ausschluss haben. Es ähnelt damit den Regeln in Fachstandards wie XMeld zum Zusammenspiel von Akteuren im Informationsverbund.

2.12.3 Wie ist die aktuelle Update-Häufigkeit von FIT-Connect und wie oft ändert sich die API (Breaking-Changes)?

Toolingverbesserungen und UI-Updates finden ca. alle drei Wochen statt. Weitere Informationen erhalten Sie in unseren Abkündigungen, dem Changelog) und unserer Deployment-Kommunikation.

2.12.4 Ist das Rechenzentrum, in dem die Daten gespeichert und verarbeitet werden, nach einem Standard zertifiziert?

Die Rechenzentren sind nach IT-Grundschutz des BSI (ISO 27001) zertifiziert.

2.12.5 Wer hostet FIT-Connect?

Für die produktive FIT-Connect Umgebung werden zwei Server genutzt. Der Authentifizierungsserver mit dem Self-Service Portal und dem OAuth-Server läuft im Rechenzentrum von Global Access. Der Zustelldienst wird vom Landesbetrieb IT.Niedersachsen im Rechenzentrum von Dataport betrieben.

2.12.6 Wie werden Proxy-Server in Fit-Connect verwendet?

In FIT-Connect kommen Proxys an mehreren Stellen vor:

Proxy-Server Übersicht

In jedem Rechenzentrum gibt es zwei Arten von Proxys-Servern:

  • Der Proxy-Server vermittelt Verbindungen ins Internet. Ursprünglich werde der Proxy zum Caching eingesetzt (daher wird dieser oft auch noch als "Webcache" bezeichnet), inzwischen ist sein Einsatzgebiet aber eher das Kontrollieren und Protokollieren der Verbindungen.

  • Der Reverse Proxy-Server macht das genaue Gegenteil: er vermittelt Verbindungen vom Internet zu Servern. Je nach Ausführung wird er auch als "API-Gateway", "Application Level Gateway" (ALG) oder "Web Application Firewall" (WAF) bezeichnet.

Bei einem Client (Onlinedienst oder Fachverfahren), können bis zu vier Proxys beteiligt sein:

  • Der Reverse Proxy-Server von FIT-Connect
  • Der Proxy-Server von FIT-Connect
  • Der Reverse Proxy-Server des Clients
  • Der Proxy-Server des Clients

Wie kommt eine Verbindung zustande?

Eine ausgehende Verbindung kann mit oder ohne Proxy-Server aufgebaut werden.

Proxy-Server Übersicht

In der Zeichnung steht jeder Pfeil für eine Netzwerkverbindung, bis auf eine Ausnahme handelt es sich um HTTP-Verbindungen, bei denen sich der Server mit einem Zertifikat ausweist.

Ohne Proxy kann der Client die Verbindung direkt zum Server aufbauen und der Server weist sich mit seinem Zertifikat aus.

Im zweiten Fall weiß der Client, dass er einen HTTP-Proxy nutzen muss. Er wendet sich an den Proxy-Server und übergibt die Serveradresse, die er kontaktieren möchte. Der Proxy-server öffnet daraufhin einen Port zum Server, durch den der Client den Server erreicht. Die eigentliche HTTP-Verbinsund wird also vom Client zum Server hergestellt, der Server weist sich gegenüber dem Client mit seinem Zertifikat aus.

Will der Proxy-Server in die Verbindung hinein schauen, muss er die verschlüsselte Verbindung unterbrechen. Dadurch entstehen zwei Verbindungen: Vom Client zum Proxy-Server und vom Proxy-Server zum Server. Der Server kann sich mit seinem Zertifikat gegenüber dem Proxy-Server ausweisen, der Proxy-Server hat jedoch das Zertifikat nicht. Daher erzeugt er ein "gefälschtes" Zertifikat, das der Client im Normalfall nicht akzeptieren würde.

Dies wird in der Regel gelöst, indem der Proxy-Server eine Zertifizierungsstelle enthält, die das adhoc erzeugte Zertifikat beglaubigt. Wird das Zertifikat der Zertifizierungstelle dem Client hinzugefügt, so akzeptiert er das Verbindungszertifikat des Proxys-Servers.