SAGA-Modul Technische Spezifikationen - IT
Transcription
SAGA-Modul Technische Spezifikationen - IT
SAGA-Modul Technische Spezifikationen Version de.bund 5.0.0 3. November 2011 2 Herausgeber Die Beauftragte der Bundesregierung für Informationstechnik (BfIT) Redaktion Bundesministerium des Innern Referat IT 2 - IT-Steuerung Bund Alt-Moabit 101 D 10559 Berlin [email protected] Stand Version de.bund 5.0.0 – final Vom Rat der IT-Beauftragten der Ressorts am 3. November 2011 beschlossen. 3 4 Inhaltsverzeichnis 1 Einleitung...................................................................................................................................8 1.1 Anwendung des Klassifikationssystems.................................................................................................................8 1.2 Zeichenerklärungen...............................................................................................................................................10 2 IT-Sicherheitskonzeption.........................................................................................................10 2.1 Managementsysteme für Informationssicherheit.................................................................................................10 2.2 IT-Grundschutz-Vorgehensweise..........................................................................................................................11 2.3 Risikoanalyse........................................................................................................................................................11 2.4 Notfallmanagement...............................................................................................................................................12 2.5 Umsetzung der Sicherheitskonzeption.................................................................................................................12 3 Prozessmodelle.........................................................................................................................13 3.1 Technologien zur Prozessmodellierung................................................................................................................13 3.2 Austauschformate für Prozessmodelle.................................................................................................................15 4 Datenmodelle...........................................................................................................................16 4.1 Technologien zur Datenmodellierung...................................................................................................................16 4.2 Austauschformate für Datenmodelle....................................................................................................................17 4.3 Beschreibungssprachen für Metadaten.................................................................................................................18 4.4 Vokabulare für Metadaten.....................................................................................................................................18 5 Applikationsarchitektur............................................................................................................19 5.1 Applikationsarchitektur für große Projekte..........................................................................................................19 5.2 Applikationsarchitektur für kleine und mittlere Projekte.....................................................................................20 5.3 Diensteorientierte Architekturen...........................................................................................................................22 6 Client........................................................................................................................................24 6.1 Informationszugriff mit Computern......................................................................................................................24 6.1.1 Einsatz aktiver Inhalte im Client....................................................................................................................24 6.1.2 Web-Browser..................................................................................................................................................25 6.1.3 Client-Anwendungen.....................................................................................................................................26 6.1.4 E-Mail-Client..................................................................................................................................................27 6.2 Informationszugriff mit mobilen Endgeräten.......................................................................................................27 6.3 Informationszugriff durch externe Systeme.........................................................................................................28 5 6.4 Technologien zur Authentisierung........................................................................................................................28 7 Präsentation..............................................................................................................................30 7.1 Barrierefreie Darstellung......................................................................................................................................30 7.2 Zeichensätze und -kodierungen............................................................................................................................31 7.3 Technologien zur Informationsaufbereitung........................................................................................................32 7.4 Spezifikationen für aktive Inhalte.........................................................................................................................34 7.5 Formulare..............................................................................................................................................................35 7.6 Austauschformate für Daten.................................................................................................................................35 7.7 Austauschformate für Dokumente........................................................................................................................36 7.7.1 Formate für Textdokumente zum Informationsaustausch.............................................................................36 7.7.2 Formate für Textdokumente zur Weiterbearbeitung......................................................................................36 7.7.3 Formate für Tabellen zum Informationsaustausch.........................................................................................38 7.7.4 Formate für Tabellen zur Weiterbearbeitung.................................................................................................39 7.7.5 Formate für Präsentationen zum Informationsaustausch...............................................................................40 7.7.6 Formate für Präsentationen zur Weiterbearbeitung.......................................................................................41 7.7.7 Gesicherter Dokumentenaustausch................................................................................................................42 7.8 Austauschformate für Bilder.................................................................................................................................43 7.9 Animation..............................................................................................................................................................45 7.10 Audio- und Videodaten.........................................................................................................................................45 7.10.1 Austauschformate für Audiodateien..............................................................................................................46 7.10.2 Austauschformate für Audio-Streaming........................................................................................................47 7.10.3 Austauschformate für Videodateien...............................................................................................................48 7.10.4 Austauschformate für Video-Streaming.........................................................................................................48 7.11 3D-Daten...............................................................................................................................................................49 7.12 Austauschformate für Geoinformationen.............................................................................................................50 7.13 Datenkompression.................................................................................................................................................51 7.14 Technologien für die Präsentation auf mobilen Endgeräten................................................................................52 8 Kommunikation.......................................................................................................................53 8.1 8.2 Kommunikation zwischen Applikationen............................................................................................................53 8.1.1 Kommunikation zwischen Applikationen innerhalb der Verwaltung............................................................54 8.1.2 Kommunikation mit verwaltungsexternen Applikationen.............................................................................56 Netzwerkprotokolle...............................................................................................................................................57 6 8.3 E-Mail-Kommunikation........................................................................................................................................58 8.4 IP-Telefonie...........................................................................................................................................................60 8.5 Anwendungsprotokolle.........................................................................................................................................60 8.6 Geodienste.............................................................................................................................................................62 9 Backend....................................................................................................................................65 9.1 Zugriff auf Verzeichnisdienste..............................................................................................................................65 9.2 Zugriff auf Datenbanken und Registrys...............................................................................................................66 9.3 Zugriff auf Bestandssysteme.................................................................................................................................67 10 Verschlüsselung........................................................................................................................68 10.1 Asymmetrische Verschlüsselungsverfahren.........................................................................................................69 10.2 Symmetrische Verschlüsselungsverfahren............................................................................................................69 11 Elektronische Signatur.............................................................................................................70 11.1 Hashen von Daten.................................................................................................................................................70 11.2 Asymmetrische Signaturverfahren.......................................................................................................................71 11.3 Key Management..................................................................................................................................................72 12 Smartcards................................................................................................................................72 12.1 Kontaktbehaftete Smartcards................................................................................................................................72 12.2 Kontaktlose Smartcards........................................................................................................................................73 12.3 Lesegeräte und Schnittstellen für Smartcards......................................................................................................73 13 Langzeitspeicherung................................................................................................................74 A Literatur....................................................................................................................................76 B Abkürzungsverzeichnis............................................................................................................77 C Strukturelle Übersicht klassifizierter Spezifikationen.............................................................80 C.1 IT-Sicherheitskonzeption......................................................................................................................................80 C.2 Prozessmodelle......................................................................................................................................................80 C.3 Datenmodelle........................................................................................................................................................81 C.4 Applikationsarchitektur.........................................................................................................................................81 C.5 Client.....................................................................................................................................................................82 C.6 Präsentation...........................................................................................................................................................82 C.7 Kommunikation....................................................................................................................................................86 C.8 Backend.................................................................................................................................................................87 7 D C.9 Verschlüsselung.....................................................................................................................................................87 C.10 Elektronische Signatur..........................................................................................................................................88 C.11 Smartcards.............................................................................................................................................................88 C.12 Langzeitspeicherung.............................................................................................................................................89 Alphabetische Übersicht klassifizierter Spezifikationen.........................................................90 1 Einleitung 1 8 Einleitung SAGA1 ist eine Zusammenstellung von Referenzen auf Spezifikationen und Methoden für SoftwareSysteme der öffentlichen Verwaltung. SAGA ist modular aufgebaut. Die SAGA-Module können zeitlich und weitgehend inhaltlich unab hängig voneinander publiziert werden. Jedes SAGA-Modul wird separat versioniert. Die aktuelle Gesamtversion von SAGA setzt sich aus den neuesten Versionen aller SAGA-Module zusammen. Alle verfügbaren SAGA-Module sind auf der Website der oder des Beauftragten der Bundesregie rung für Informationstechnik (BfIT)2 zu finden. Dieses SAGA-Modul klassifiziert die technischen Spezifikationen, mit denen die Software-Systeme der Bundesverwaltung realisiert werden MÜSSEN. Es werden die Themengebiete betrachtet, bei denen der Einsatz einheitlicher Spezifikationen die Erreichung der Ziele von SAGA3 am meisten befördert. Wenn für Spezifikationen keine Versionsnummern angegeben sind, ist die aus Marktsicht stabilste, finalisierte Version zu verwenden, welche nicht immer die neueste Version sein muss. 1.1 Anwendung des Klassifikationssystems Das System zur Klassifikation von Spezifikationen durch SAGA wird im SAGA-Modul „Grundla gen“4 näher beschrieben. In diesem Modul befinden sich technische Spezifikationen mit den Klassi fikationen „Verbindlich“, „Empfohlen“, „Beobachtet“ und „Bestandsgeschützt“. Die technischen Spezifikationen mit den Klassifikationen „Vorgeschlagen“ und „Verworfen“ können auf der Vor schlagsliste und der Negativliste auf der Website der/des BfIT 5 eingesehen werden. In den folgenden Ausführungen werden die sechs Klassen hinsichtlich ihrer Anwendung betrachtet. Vorgeschlagen Es ist nicht SAGA-konform, vorgeschlagene Spezifikationen einzusetzen, wenn es konkurrierende Spezifikationen6 gibt, die bestandsgeschützt, beobachtet, empfohlen oder verbindlich sind. Wenn es keine konkurrierenden Spezifikationen gibt, die höher klassifiziert wurden, befindet sich das The menfeld noch außerhalb der Festlegungen von SAGA und ist für die Betrachtung der SAGA-Konfor mität nicht relevant. Beobachtet Wenn es neben den beobachteten Spezifikationen keine konkurrierenden empfohlenen oder verbind lichen Spezifikationen gibt, SOLLTEN beobachtete Spezifikationen in Software-Systemen eingesetzt 1 2 3 4 5 6 SAGA ist ein Eigenname, der ursprünglich als Abkürzung von „Standards und Architekturen für eGovernment-Anwendungen“ eingeführt wurde. http://www.cio.bund.de/saga Siehe (BFIT, 2011B), Kapitel 3 „Ziele“ Siehe (BFIT, 2011B), Kapitel 5 „Klassifikationssystem“ Siehe (BFIT, 2011D) Zwei Spezifikationen konkurrieren, wenn beide zur Erfüllung der Anforderungen eines Projekts ge eignet sind. 1.1 Anwendung des Klassifikationssystems 9 werden. Nur in begründeten Ausnahmen KÖNNEN beobachtete Spezifikationen empfohlenen Alterna tiven vorgezogen werden. Empfohlen Konkurrierende Spezifikationen können nebeneinander empfohlen sein, wenn sich ihre Anwen dungsschwerpunkte deutlich unterscheiden. In solchen Fällen SOLLTE die für die jeweilige Anwen dung am besten geeignete Spezifikation angewendet werden. Von den empfohlenen Spezifikationen KANN in begründeten Ausnahmen abgewichen werden. Zu ei ner empfohlenen Spezifikation gibt es keine verbindliche Alternative, da eine Empfehlung neben ei ner verbindlich einzusetzenden Spezifikation keinen Sinn hat. Verbindlich Konkurrierende Spezifikationen können nebeneinander verbindlich sein, wenn sich die Anwen dungsschwerpunkte deutlich unterscheiden. In solchen Fällen MUSS die für die jeweilige Anwendung am besten geeignete Spezifikation verwendet werden. Spezifikationen dieser Klassifikation sind im eigentlichen Sinne des Wortes verbindlich, MÜSSEN also bei der Einführung eines neuen Software-Systems jeder Alternative vorgezogen werden. Abweichun gen gefährden die Ziele von SAGA in hohem Maße und sind deshalb nicht zugelassen. Bei der funktionalen Änderung oder Erweiterung eines Software-Systems KÖNNEN als „Bestandsge schützt“ klassifizierte Spezifikationen weiterhin genutzt werden. Es MUSS jedoch geprüft werden, ob die Migration zur verbindlichen Spezifikation vorteilhaft ist. Bestandsgeschützt Bei der funktionalen Änderung oder Erweiterung eines Software-Systems stehen diese Spezifikatio nen unter Bestandsschutz und KÖNNEN auch weiterhin eingesetzt werden. Es SOLLTE geprüft werden, ob eine Migration zu den in SAGA als „Beobachtet“ oder „Empfohlen“ klassifizierten Spezifikatio nen Vorteile gegenüber dem Festhalten an als „Bestandsgeschützt“ klassifizierten Spezifikationen bringt. Gibt es eine als „Verbindlich“ klassifizierte Alternative, MUSS diese Überprüfung durchgeführt werden. Für neue Software-Systeme SOLLTEN bestandsgeschützte Spezifikationen NICHT mehr zum Einsatz kommen. Verworfen Verworfene Spezifikationen KÖNNEN dann eingesetzt werden, wenn parallel eine SAGA-konforme Lösung zur Verfügung gestellt wird.7 Allein DÜRFEN diese Spezifikationen in neuen sowie in beste henden Software-Systemen NICHT eingesetzt werden. Spätestens bei funktionalen Änderungen oder Erweiterungen MÜSSEN sie ausgetauscht werden. Dazu MUSS für die Erweiterung des Funktionsum fanges, gegebenenfalls unter Einsatz von Kapselung, von verworfenen Spezifikationen weg migriert oder eine SAGA-konforme Alternative geschaffen werden. Es SOLLTE jedoch für das gesamte beste hende Software-System geprüft werden, ob eine Migration oder Erweiterung vorteilhaft ist. 7 Z. B. dürfen Bilder im BMP-Format zur Verfügung gestellt werden, obwohl diese Spezifikation ver worfen wurde, wenn gleichzeitig die Bilder auch in einem SAGA-konformen Format wie GIF ange boten werden. 1.2 Zeichenerklärungen 10 1.2 Zeichenerklärungen Für die SAGA-konforme Auswahl von Spezifikationen spielt es eine große Rolle, ob die zu erstel lende Software-Einheit ein Produkt oder eine Individualentwicklung ist.8 Daher werden die klassifizierten Spezifikationen in diesem Modul am rechten Rand mit „I“ oder „PI“ gekennzeichnet. Ein „I“ bedeutet, dass die Klassifikation nur für Individualentwicklungen und nicht für Produkte relevant ist. Das Zeichen „PI“ bedeutet, dass die Klassifikation sowohl für Indivi dualentwicklungen als auch für die Beschaffung von Produkten zu beachten ist. 2 I PI IT-Sicherheitskonzeption Durch eine Reihe vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebener Standards werden der Aufbau und die Einhaltung einer umfassenden Sicherheitskonzeption beschrie ben. Die IT-Sicherheitskonzeption ist erforderlich, um vorgegebene IT-Sicherheitsziele und die vor gegebene IT-Sicherheitsstrategie zu verfolgen sowie dazu passende Maßnahmen zu planen und um zusetzen. Beginnend mit einer Beschreibung der Anforderungen an ein sicheres Informationssicher heits-Managementsystem (ISMS) werden anschließend die Realisierung, die Analyse von Risiken sowie das Management im Notfall eingehend dargelegt. In erster Linie richten sich die Spezifikationen dieses Abschnitts an Sicherheitsverantwortliche, -be auftragte, -experten, -berater und alle Interessierte, die mit dem Management von Informationssi cherheit betraut sind. Sie bieten weiterhin auch eine Grundlage für IT-Verantwortliche, Führungs kräfte und Projektmanager, die dafür Sorge tragen, dass die Sicherheitsaspekte in ihrer Institution bzw. in ihren Projekten ausreichend berücksichtigt werden. 2.1 Managementsysteme für Informationssicher heit Als ersten Schritt hin zu einer umfassenden IT-Sicherheitskonzeption ist die Schaffung eines Mana gementsystems für die Informationssicherheit notwendig. Die Praxis hat gezeigt, dass eine Optimie rung des Sicherheitsmanagements oftmals die Informationssicherheit effektiver und nachhaltiger verbessert als Investitionen in Sicherheitstechnik. Verbindlich: BSI-Standard 100-1: Managementsysteme für Informationssicherheit ≥1.5 Die allgemeinen Anforderungen an Informationssicherheits-Managementsysteme (ISMS) werden im BSI-Standard 100-19 definiert. Dieser Standard ist kompatibel zu den ISO-Normen 27001 und 27002 und berücksichtigt darüber hinaus die Empfehlungen der anderen ISO-Standards der 2700x-Reihe 10. Der BSI-Standard 100-1 MUSS mindestens in der Version 1.5 verwendet werden. Bei Fortschreibung des Standards SOLLTE die aktuellste Version verwendet werden. 8 Siehe SAGA-Modul „Konformität“ (BFIT, 2011C), Abschnitt 2.2 „Definition der SAGA-Konformi tät“ 9 Siehe (BSI, 2011B) 10 http://www.iso.org/ I 2.1 Managementsysteme für Informationssicherheit 11 Bestandsgeschützt: BSI-Standard 100-1: Managementsysteme für Informationssicher heit 1.0 I Version 1.0 des BSI-Standards 100-1 wurde mit der Aktualisierung von SAGA 4.0 durch Version 1.5 ersetzt. 2.2 IT-Grundschutz-Vorgehensweise Nach der im vorherigen Abschnitt adressierten Definition der Anforderungen an ein Informationssi cherheits-Managementsystem sowie der Beschreibung, mit welchen Methoden Informationssicher heit initiiert und gesteuert werden kann, wird im Folgenden der Aufbau und das konkrete Vorgehen bei der Einführung eines Managementsystems für Informationssicherheit behandelt. Verbindlich: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise ≥2.0 I Der BSI-Standard 100-211 stellt eine Methode vor, um ein ISMS in der Praxis aufzubauen und zu be treiben. Der Aufbau einer Sicherheitsorganisation und deren Einbettung sind dabei wichtige Themen. Mit dieser Vorgehensweise nach IT-Grundschutz lassen sich IT-Sicherheitskonzepte einfach und effi zient erstellen und die IT-Sicherheit im laufenden Betrieb aufrechterhalten beziehungsweise verbes sern. Durch Rückgriff auf bereits bekannte Vorgehensweisen soll der Aufwand für die Umsetzung re duziert werden. Weiterhin bietet er eine umfassende Basis für die Risikobewertung, die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssi cherheit. Der BSI-Standard 100-2 MUSS mindestens in der Version 2.0 verwendet werden. Bei Fortschreibung des Standards SOLLTE die aktuellste Version verwendet werden. Bestandsgeschützt: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise 1.0 I Version 1.0 des BSI-Standards 100-2 wurde mit der Aktualisierung von SAGA 4.0 durch Version 2.0 ersetzt. 2.3 Risikoanalyse Verbindlich: BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz ≥2.5 Der BSI-Standard 100-312 beschreibt eine Methode zur Durchführung von Risikoanalysen, die ein bestehendes IT-Sicherheitskonzept ergänzen. Ausgangspunkt bildet dabei die in der IT-GrundschutzVorgehensweise13 beschriebene ergänzende Sicherheitsanalyse, auf deren Basis entschieden wird, für welche Zielobjekte eine Risikoanalyse durchgeführt wird, bzw. wo eine Risikoanalyse nicht erfor derlich ist. Der BSI-Standard 100-3 MUSS mindestens in der Version 2.5 verwendet werden. Bei Fortschreibung des Standards SOLLTE die aktuellste Version verwendet werden. 11 Siehe (BSI, 2011B) 12 Siehe (BSI, 2011B) 13 Siehe Abschnitt 2.2 „IT-Grundschutz-Vorgehensweise“ I 2.3 Risikoanalyse 12 Bestandsgeschützt: BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grund schutz 2.0 I Version 2.0 des BSI-Standards 100-3 wurde mit der Aktualisierung von SAGA 4.0 durch Version 2.5 ersetzt. 2.4 Notfallmanagement Die Umsetzung der nach den BSI-Standards 100-1 und 100-2 erstellten IT-Sicherheitskonzeption und einer durchgeführten erweiterten Risikoanalyse kann nicht verhindern, dass Notfälle eintreten können, wie z. B. Umweltkatastrophen. Das BSI stellt entsprechende Handlungsmaßnahmen zum Aufbau eines Notfallmanagements und zum weiteren Vorgehen bereit. Die Rahmenbedingungen MÜSSEN zunächst geklärt bzw. festgelegt werden, bevor ein Notfallmanagement gemäß dem BSIStandard 100-4 in einer Behörde beziehungsweise in einem Unternehmen eingeführt wird. Grundla ge der Notfallmanagement-Konzeption bildet die Business Impact Analyse (BIA), um kritische Ge schäftsprozesse zu ermitteln und Prioritäten für deren Wiederanlauf zu definieren. Verbindlich: BSI-Standard 100-4: Notfallmanagement ≥1.0 I Die Methodik zur Etablierung und Aufrechterhaltung eines behörden- bzw. unternehmensweiten in ternen Notfallmanagements wird im BSI-Standard 100-414 vorgestellt. Dabei soll ein möglichst schnelles Reagieren im Falle von Notfällen oder Krisen, die zu einer Geschäftsunterbrechung führen könnten, realisiert werden. Auch Maßnahmen zur Vermeidung von Notfällen sowie zur Minimierung der Schäden werden beschrieben. Der BSI-Standard 100-4 MUSS mindestens in der Version 1.0 verwendet werden. Bei Fortschreibung des Standards SOLLTE die aktuellste Version verwendet werden. 2.5 Umsetzung der Sicherheitskonzeption Verbindlich: BSI, IT-Grundschutz-Kataloge I Die IT-Grundschutz-Kataloge15, bestehend aus Bausteinen, Maßnahmenkatalogen sowie Gefähr dungskatalogen, dienen der Ermittlung und Beseitigung von sicherheitsrelevanten Schwachstellen in IT-Systemen und sind somit die Grundlage zur Zertifizierung des IT-Grundschutzes nach ISO 27001. Bestandsgeschützt: BSI, E-Government-Handbuch I Das E-Government-Handbuch wird nicht weiter gepflegt und wurde mit dem SAGA-Modul „Tech nische Spezifikationen“ 5.0.0 auf die Bestandsschutzliste verschoben. Bestandsgeschützt: KoopA ADV, Handlungsleitfaden für die Einführung der elektroni schen Signatur und Verschlüsselung in der Verwaltung 1.1 Der Handlungsleitfaden für die Einführung der elektronischen Signatur und Verschlüsselung in der Verwaltung 1.1 des KoopA ADV wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestandsschutzliste verschoben. 14 Siehe (BSI, 2011B) 15 Siehe (BSI, 2011A) I 3 Prozessmodelle 3 13 Prozessmodelle 3.1 Technologien zur Prozessmodellierung Empfohlen: Unified Modeling Language (UML) 2.x I UML16 ist eine standardisierte grafische Modellierungssprache zur Spezifikation, Visualisierung und Dokumentation von Systemen. Sie erlaubt die Modellierung von Software-Architekturen, Ge schäftsprozessen, Datenstrukturen, Datenbankschemata, Informationsflüssen und Aktivitäten. Die Object Management Group (OMG)17 entwickelt UML. Seit Mai 2010 liegt die Version 2.318 vor. UML 2.x SOLLTE zur Vorbereitung und Dokumentation von großen Projekten für objektorientierte Modellierung angewendet werden. Beispielsweise Use Cases und Aktivitätsdiagramme haben sich im Einsatz bewährt und erlauben, transparente Spezifikationen zu erstellen und abzustimmen. Das zugehörige Austauschformat für Prozessmodelle auf UML-2.x-Basis ist XML Medata Inter change (XMI) in der Version 2.x19. Empfohlen: Flussdiagramme I Flussdiagramme20 sind eine grafische Notation für den Ablauf eines Programms. Flussdiagramme wurden ursprünglich in Zusammenhang mit dem imperativen Programmierparadigma eingeführt, lassen sich aber auch mit neueren Paradigmen verwenden. Flussdiagramme wurden zuerst 1966 als DIN-Norm veröffentlicht. Die letzte Überarbeitung der DIN 66001 erfolgte im Jahr 1983. Die Strukturierung eines Software-Systems SOLLTE durch Flussdiagramme und die zusätzliche An wendung von Rollenmodellen erfolgen, die die Flussdiagramme durch Angabe zu den Nutzern des Systems ergänzen. Eine Alternative zu Flussdiagrammen stellen die Aktivitätsdiagramme der Unified Modeling Lan guage (UML) 2.x21 dar. Empfohlen: Business Process Modeling Notation (BPMN) 1.1 / 1.2 BPMN22 ist eine grafische Notation zur Modellierung von Geschäftsprozessen. Sie eignet sich vor allem für Projekte, in denen lediglich eine grobe Modellierung und Abstimmung von Prozessen be nötigt wird, ohne dass diese in eine Software-Entwicklung eingehen. Für eine durchgehende und ein heitliche Modellierung von Prozessen und Daten in Software-Entwicklungsprojekten ist UML besser geeignet. 16 17 18 19 http://www.omg.org/spec/UML/ http://www.omg.org/ http://www.omg.org/spec/UML/2.3/ Siehe XML Metadata Interchange (XMI) 2.x im Abschnitt 3.2 „Austauschformate für Prozessmodel le“ auf Seite 15 20 http://www.beuth.de/langanzeige/DIN-66001/de/1080044.html 21 Siehe Unified Modeling Language (UML) 2.x im gleichen Abschnitt auf Seite 13 22 http://www.omg.org/spec/BPMN/1.2/ I 3.1 Technologien zur Prozessmodellierung 14 BPMN 1.1 wurde von der OMG im Januar 2008 veröffentlicht23. Das zugehörige Austauschformat für Prozessmodelle auf BPMN-1.1-Basis ist XML Process Definition Language (XPDL) in der Ver sion 2.124. Der Nachfolger BPMN 1.2 wurde von der OMG im Januar 2009 veröffentlicht25. BPMN 1.1 SOLLTE immer dann eingesetzt werden, wenn die Erweiterungen der Version 1.2 nicht be nötigt werden und ein Austausch des Modells über XPDL 2.1 erfolgt. In allen anderen Fällen SOLLTE der Version 1.2 der Vorzug bei der Modellierung von Prozessen gegeben werden. Empfohlen: Ereignisgesteuerte Prozesskette (EPK) I Die EPK26 dient der Abbildung von Abläufen innerhalb von und zwischen Organisationen. Prozess ketten beschreiben die zeitlich-logischen Abläufe und das Zusammenspiel zwischen Daten, Prozess schritten, IT-Systemen, Organisationen und Produkten. EPK wurde von G. Keller, M. Nüttgens und A.-W. Scheer im Januar 1992 in „Semantische Prozeß modellierung auf der Grundlage ‚Ereignisgesteuerter Prozeßketten (EPK)‘“ eingeführt 27. Seitdem hat sich EPK zu einem De-facto-Standard zur grafischen Beschreibung von Geschäfts- und Verwal tungsprozessen entwickelt. EPK SOLLTE für die Darstellung von Geschäftsprozessen in Verbindung mit der Organisationsent wicklung eingesetzt werden. Auch einfache technisch-funktionale Prozessmodelle, insbesondere für die fachliche Grobkonzeption, SOLLTEN durch EPK dargestellt werden. Der Austausch von EPK-Prozessmodellen kann mittels des Austauschformats EPML 28 erfolgen. Beobachtet: Business Process Modeling Notation (BPMN) 2.0 I Siehe Business Process Modeling Notation (BPMN) 1.1 / 1.2 im gleichen Abschnitt. BPMN 2.0 wurde von der OMG im Januar 2011 veröffentlicht29. BPMN 2.0 KANN statt BPMN 1.1 / 1.2 als grafische Notation für ausführbare WS-BPEL-Modelle verwendet werden, da es eine Abbildung auf WS-BPEL beinhaltet, die nicht Teil von BPMN 1.1 / 1.2 ist. Bestandsgeschützt: Business Process Modeling Notation (BPMN) 1.0 BPMN 1.0 wurde mit der Aktualisierung von SAGA 4.0 durch Version 1.1 ersetzt. 23 http://www.omg.org/bpmn/Documents/BPMN_1-1_Specification.pdf 24 Siehe XML Process Definition Language (XPDL) 2.1 im Abschnitt 3.2 „Austauschformate für Pro zessmodelle“ auf Seite 15 25 http://www.omg.org/spec/BPMN/1.2/PDF/ 26 Nüttgens, M.; Rump, J.F.: Syntax und Semantik Ereignisgesteuerter Prozessketten (EPK), in: Desel, J.; Weske, M. (Hrsg.): Promise 2002 - Prozessorientierte Methoden und Werkzeuge für die Entwick lung von Informationssystemen, Proceedings des GI-Workshops und Fachgruppentreffens (Potsdam, Oktober 2002), LNI Vol. P-21, Bonn 2002, S. 64-77; http://www.wiso.unihamburg.de/fileadmin/wiso_fs_wi/EPK-Community/Promise2002_Nuettgens_Rump.pdf 27 http://www.unisaarland.de/fileadmin/user_upload/Fachrichtungen/fr13_BWL/professuren/PDF/heft89.pdf 28 Siehe EPC Markup Language (EPML) 1.2 im Abschnitt 3.2 „Austauschformate für Prozessmodelle“ auf Seite 15 29 http://www.omg.org/spec/BPMN/2.0/PDF/ I 3.1 Technologien zur Prozessmodellierung 15 Bestandsgeschützt: Unified Modeling Language (UML) ≤1.5 I Zum Zeitpunkt der Veröffentlichung von SAGA 2.0 war UML 1.5 die aktuelle Version und als „Empfohlen“ klassifiziert. Mit SAGA 2.1 erfolgte eine Festlegung auf die aktuellere Version 2.0. Je doch existieren auch von den vorangegangenen UML-Versionen noch umfangreiche Modelle für be stehende Software-Systeme. Für diese Modelle besteht kein Migrationsdruck. 3.2 Austauschformate für Prozessmodelle Empfohlen: XML Metadata Interchange (XMI) 2.x I XMI30 ist eine Spezifikation, die die Beschreibung und den Austausch von Daten- und Prozessmo dellen in XML ermöglicht. Die OMG gibt XMI heraus. Die Version 2.1.1 ist datiert vom Dezember 2007. Die Version 2.0.1 wurde von der ISO als ISO/IEC 19503:2005 normiert. XMI SOLLTE für den Austausch für alle Prozessmodelle eingesetzt werden, die auf der Meta-Object Facility (MOF)-Spezifikation der OMG basieren, also insbesondere für UML-Modelle in der Version 2.x31. Beobachtet: XML Process Definition Language (XPDL) 2.1 I XPDL32 ist eine XML-basierte Sprache für den Austausch von Geschäftsprozessen und Arbeitsabläu fen auf Basis von BPMN33. Dabei ist XPDL explizit darauf ausgelegt, alle Elemente von BPMN zu unterstützen. Die von der Workflow Management Coalition (WfMC) im Jahr 2008 veröffentlichte Version 2.1 un terstützt BPMN 1.1. XPDL 2.1 KANN für den Austausch von BPMN-1.1-Modellen verwendet werden. Beobachtet: EPC Markup Language (EPML) 1.2 I EPML34 ist eine XML-basierte Sprache für den Austausch von Geschäftsprozessen und Arbeitsabläu fen auf Basis von EPK35. Die Version 1.2 wurde von J. Mendling und M. Nüttgens im Jahr 2005 veröffentlicht. EPML 1.2 KANN für den Austausch von EPK-Modellen verwendet werden. Bestandsgeschützt: XML Metadata Interchange (XMI) 1.x Mit SAGA 3.0 wurde XMI 2.x zur Notation und zum Austausch von Meta-Object-Facility (MOF)basierten Prozessmodellen (z. B. UML) aufgenommen. Um auch ältere UML-Modelle (siehe UML 30 http://www.omg.org/spec/XMI/Current/ 31 Siehe Unified Modeling Language (UML) 2.x im Abschnitt 3.1 „Technologien zur Prozessmodellie rung“ auf Seite 13 32 http://www.wfmc.org/xpdl.html 33 Siehe Business Process Modeling Notation (BPMN) 1.1 / 1.2 im Abschnitt 3.1 „Technologien zur Prozessmodellierung“ ab Seite 13 34 http://www.mendling.com/EPML/ 35 Siehe Ereignisgesteuerte Prozesskette (EPK) im Abschnitt 3.1 „Technologien zur Prozessmodellie rung“ auf Seite 14 I 3.2 Austauschformate für Prozessmodelle 16 ≤1.5) bestehender Anwendungen mit XMI notieren und austauschen zu können, wurde XMI 1.x auf die Bestandsschutzliste aufgenommen. 4 Datenmodelle 4.1 Technologien zur Datenmodellierung Empfohlen: Entity-Relationship-Diagramme (ERD) I ERD36 sind die grafische Repräsentationen von Entity-Relationship-Modellen. Peter Chen hat mit der Publikation seines Paper „The Entity-Relationship Model – Toward a Unified View of Data“ im März 1976 ERD erstmals veröffentlicht. Seitdem hat sich ERD zu einem QuasiStandard in Lehre und Praxis entwickelt. ERD ist gegenüber UML weniger ausdrucksstark, weshalb ERD in der Regel leichter verständlich sind als UML-Diagramme. ERD SOLLTEN daher für die Entwicklung von relationalen DatenbankSchemata eingesetzt werden. Auch einfache funktionale Datenmodelle, insbesondere für die fachli che Grobkonzeption, SOLLTEN durch ERD dargestellt werden. Empfohlen: Unified Modeling Language (UML) 2.x I Siehe Unified Modeling Language (UML) 2.x im Abschnitt 3.1 „Technologien zur Prozessmodellie rung“ auf Seite 13. UML 2.x37 SOLLTE bei der Datenmodellierung für objektorientierte Anwendungen und komplexe Da tenbankmodelle eingesetzt werden. Es bieten sich beispielsweise Klassendiagramme an, die für an dere Anwendungen oder durch andere Werkzeuge wiederverwendet oder weiterverarbeitet werden können. Aus UML-Datenmodellen können direkt Datenstrukturen (XML Schema) sowie komplexe Datenbanken generiert werden. Das zugehörige Austauschformat für Datenmodelle auf UML-2.x-Basis ist XML Medata Interchange (XMI) in der Version 2.x38. Bestandsgeschützt: Unified Modeling Language (UML) ≤1.5 Siehe Unified Modeling Language (UML) ≤1.5 im Abschnitt 3.1 „Technologien zur Prozessmodel lierung“ auf Seite 15. 36 http://csc.lsu.edu/news/erd.pdf 37 http://www.omg.org/spec/UML/ 38 Siehe XML Metadata Interchange (XMI) 2.x im Abschnitt 4.2 „Austauschformate für Datenmodel le“ auf Seite 17 I 4.2 Austauschformate für Datenmodelle 17 4.2 Austauschformate für Datenmodelle Verbindlich: XML Schema Definition Language (XSD) 1.0 PI XSD39 ist eine Spezifikation, die es erlaubt, Strukturen für XML-Dokumente zu beschreiben und da mit Datenmodelle auszutauschen. Durch XML-Validatoren können XML-Dateien darauf geprüft werden, ob sie die durch eine XSD-Datei beschriebene Struktur einhalten. XSD 1.0 wurde vom World Wide Web Consortium (W3C)40 2004 in einer Second Edition als Re commendation herausgegeben. XSD MUSS für den Austausch von XML-Datenmodellen verwendet werden. Nur wenn die Funktio nalitäten von XSD für die fachlichen Anforderungen des jeweiligen Anwendungsfalls nicht ausrei chen, SOLLTE RelaxNG eingesetzt werden. Empfohlen: Regular Language Description for XML New Generation (Relax NG) PI RELAX NG41 ist eine Schema-Sprache für XML. Ursprünglich wurde RelaxNG in den Jahren 2001/2002 von der Organization for the Advancement of Structured Information Standards (OA SIS)42 definiert, dann aber an die ISO übergeben, wo es als ISO/IEC 19757-2:2003 normiert wurde. Gegenüber XSD (siehe oben) bietet RelaxNG einige zusätzliche Funktionalitäten, wie z. B. nicht deterministische Inhaltsmodelle, flexiblere Behandlung von Attributen und Elementen sowie eine Kompaktnotation, die leichter lesbar ist als die XML-Notation. Aufgrund seiner geringeren Verbreitung SOLLTE RelaxNG nur verwendet werden, um Muster für Struktur und Inhalt von XML-Dokumenten festzulegen, sofern die Funktionalität von XSD nicht ausreicht. Empfohlen: XML Metadata Interchange (XMI) 2.x PI Siehe XML Metadata Interchange (XMI) 2.x im Abschnitt 3.2 „Austauschformate für Prozessmodel le“ auf Seite 15. Bestandsgeschützt: XML Metadata Interchange (XMI) 1.x PI Siehe XML Metadata Interchange (XMI) 1.x im Abschnitt 3.2 „Austauschformate für Prozessmodel le“ auf Seite 15. Bestandsgeschützt: Document Type Definition (DTD) DTD wurde als ISO 8879 normiert und zuletzt 1999 überarbeitet43. Mit dem SAGA-Modul „Techni sche Spezifikationen“ 5.0.0 wurde DTD auf die Bestandsschutzliste gesetzt. DTD ist trotz der Ent wicklung von XML Schema und RELAX NG zur Beschreibung von Datenstrukturen immer noch in Bestandssystemen weit verbreitet. 39 40 41 42 43 http://www.w3.org/standards/techs/xmlschema#w3c_all http://www.w3.org/ http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=52348 http://www.oasis-open.org/ http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=30235 PI 4.3 Beschreibungssprachen für Metadaten 18 4.3 Beschreibungssprachen für Metadaten Als Metadaten werden Daten bezeichnet, die andere Datenobjekte (z. B. Dokumente) näher be schreiben. Typische Metadaten sind beispielsweise der Autor eines Dokuments, das Erstellungsda tum oder der Dateiname. Die meisten Dokumentenformate bieten die Möglichkeit, bestimmte Meta daten zu pflegen. Im Folgenden werden gesonderte Beschreibungssprachen für Metadaten klassifi ziert. Empfohlen: Resource Description Framework (RDF) PI RDF44 ist eine Sprache zur Beschreibung von Informationen über Ressourcen im World Wide Web. Insbesondere SOLLTE es für die Darstellung von Metadaten von Webseiten, z. B. Titel, Autor, Ände rungsdatum, verwendet werden. Zu diesem Zweck besteht die Möglichkeit, RDF direkt in HTMLDateien einzubetten, ansonsten SOLLTE die W3C Recommendation RDF/XML45 zur Serialisierung verwendet werden. RDF wurde im Februar 2004 als W3C Recommendation veröffentlicht. RDF beschreibt, wie Metadaten dargestellt werden sollen. Welche Metadaten angegeben werden sollten, wird in sogenannten Vokabularen für Metadaten46 spezifiziert. 4.4 Vokabulare für Metadaten Im vorangegangenen Abschnitt „Beschreibungssprachen für Metadaten“ werden Technologien klas sifiziert, die es ermöglichen, Metadaten auszudrücken und maschinenlesbar zu veröffentlichen. Die ser Abschnitt hingegen behandelt Vokabulare für Metadaten. Vokabulare spezifizieren die konkreten Metadaten, die zu einem Objekt, z. B. einem Dokument, angegeben werden sollten. Vokabulare sind unabhängig von der Beschreibungssprache, mit der sie im konkreten Fall dargestellt werden. Empfohlen: Dublin Core Metadata Element Set (DCES) Das Dublin Core Metadata Element Set (DCES)47 ist ein Vokabular von 15 Elementen und SOLLTE für die Beschreibung von Metadaten von Dokumenten verwendet werden. DCES wird von der Dublin Core Metadata Initiative (DCMI) herausgegeben. Damit wird eine einheitliche Semantik für die wichtigsten Metadaten (z. B. Autor, Erstellungsdatum, etc.) festgelegt. Das Dublin Core Metadata Element Set wurde als Norm ISO 15836 im Februar 2003, als ANSI/NI SO-Standard Z39.85-2 im Mai 2007 und von der Internet Engineering Task Force (IETF) als RFC 5013 im August 2007 veröffentlicht. 44 45 46 47 http://www.w3.org/standards/techs/rdf#w3c_all http://www.w3.org/TR/2004/REC-rdf-syntax-grammar-20040210/ Siehe Abschnitt 4.4 „Vokabulare für Metadaten“ http://dublincore.org/documents/dces/ PI 5 Applikationsarchitektur 5 19 Applikationsarchitektur In diesem Abschnitt werden Programmiersprachen und Technologien zur Realisierung der Applikati onsarchitektur festgelegt. Dabei wird unterschieden zwischen Software-Systemen in großen Projek ten und zwischen einfacheren Software-Systemen. Ein eigener Abschnitt ist den Spezifikationen zur Realisierung diensteorientierter Architekturen (service-oriented architectures – SOA) gewidmet. 5.1 Applikationsarchitektur für große Projekte Dieser Abschnitt enthält Spezifikationen, die zur Umsetzung der Applikationsarchitektur in großen Projekten dienen. Als große Projekte werden Software-Entwicklungsprojekte angesehen, die sich durch komplexe fachliche Anforderungen, hohes Transaktionsvolumen, enge Kopplung mit anderen Software-Systemen, ressortübergreifende Nutzung, verteilte Architektur, Integration von Einerfür-Alle-Angeboten (EfA-Angeboten)48, umfangreiche Wiederverwendung oder einen nicht abge schlossenen Nutzerkreis (z. B. antragsberechtigte Bürger) auszeichnen. Im Zweifelsfall obliegt die Einschätzung der Größe des Projekts dem Projektmanager. Empfohlen: Java Platform, Enterprise Edition (Java EE) 6 I Die Java Enterprise Edition (Java EE)49 ist eine Spezifikation, die eine Reihe von Programmier schnittstellen zur Entwicklung insbesondere von Webanwendungen definiert. In der Gesamtheit bil det die Java EE eine Architektur, die wesentliche Aspekte geschäftskritischer Funktionen von An wendungen berücksichtigt und unterstützt. Sie baut auf der Java SE auf und stellt zusätzliche Biblio theken bereit, die besonders für Webanwendungen und Anwendungen mit komplexer Geschäftslogik relevant sind, z. B. JAAS (Java Authentication and Authorization Service), JAXP (Java API for XML Processing), JNDI (Java Naming and Directory Interface). Im Jahr 2009 wurde Java EE in der Version 6 vom Java Community Process (JCP) veröffentlicht. Unter Anwendung von Java EE entwickelte Komponenten werden durch sogenannte Application Server ausgeführt. Neben kommerziellen Application Servern von Oracle, IBM und anderen existie ren auch Open Source Application Server. Damit stehen Implementierungen für alle gängigen Be triebssysteme zur Verfügung. Java EE 6 SOLLTE zur Umsetzung objektorientierter Anwendungen in großen Projekten verwendet werden. Java SE 6 SOLLTE als Bestandteil von Java EE 6 auch allein verwendet werden, wenn es der Umset zung der fachlichen Anforderungen genügt. Neben den Bibliotheken der Java SE (und Java EE) 50 KÖNNEN bei Bedarf weitere Frameworks wie Spring verwendet werden. Beobachtet: Common Language Infrastructure (CLI) Der Standard ECMA-33551 „Common Language Infrastructure (CLI)“ (ISO/IEC 23271:2006 und ISO/IEC TR 23272:2006)52 definiert eine Infrastruktur für verschiedene Systemumgebungen, in der 48 49 50 51 52 Siehe (BFIT, 2011A) http://jcp.org/en/jsr/detail?id=316 http://www.springsource.org/ http://www.ecma-international.org/publications/standards/Ecma-335.htm http://www.iso.org/ I 5.1 Applikationsarchitektur für große Projekte 20 Anwendungen, die in verschiedenen Programmiersprachen geschrieben wurden, ausgeführt werden können. Die Infrastruktur abstrahiert von spezifischen Eigenschaften der Systemumgebungen, so dass Anwendungen nicht verändert werden müssen, um sie auf verschiedenen Systemen zu betrei ben. Die bekannteste Implementation des ECMA-Standards ist das .NET-Framework 53 von Microsoft. Es läuft nur unter Windows-Betriebssystemen. Die Verfügbarkeit für weitere Betriebssysteme wird vor allem durch die Implementation des Projektes Mono54 sichergestellt. Mit der CLI wird nur eine Teilmenge der Funktionalität der Common Language Runtime (CLR) standardisiert. Die Spezifikation der CLR selbst ist nicht offen gelegt. Die Verbreitung der CLI in der Praxis entspricht deshalb nicht den Möglichkeiten, die der universale Ansatz bietet und ist im We sentlichen auf das Windows-Betriebssystem beschränkt. CLI KANN in großen Projekten verwendet werden, beispielsweise wenn die Umsetzung wesentlich wirtschaftlicher ist als mittels der empfohlenen Alternativen. Bestandsgeschützt: Java Platform, Enterprise Edition (Java EE) 5 I Java EE 5 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch die Version 6 er setzt. Bestandsgeschützt: Java 2 Platform, Enterprise Edition (J2EE) 1.4 I In SAGA 3.0 war diese Version von J2EE als „Obligatorisch“ klassifiziert. Mit SAGA 4.0 erfolgte eine Festlegung auf den Nachfolger Java Platform, Enterprise Edition (Java EE) 5. Bestandsgeschützt: Java 2 Platform, Enterprise Edition (J2EE) 1.3 I Die Version 1.3 von J2EE war in SAGA 1.1 als „Obligatorisch“ klassifiziert. Die nachfolgende Ver sion 1.4 wurde in SAGA 2.0 als „Obligatorisch“ klassifiziert. 5.2 Applikationsarchitektur für kleine und mitt lere Projekte Dieser Abschnitt enthält Spezifikationen, die zur Umsetzung der Applikationsarchitektur in Projek ten dienen, die nicht in die im Abschnitt 5.1 beschriebene Kategorie der großen Projekte fallen. Im Zweifelsfall obliegt die Einschätzung der Größe dem Projektmanager. Empfohlen: Java Platform, Standard Edition (Java SE) 6 Die Java Standard Edition55 (Java SE) ist eine Spezifikation, die eine Reihe von Programmierschnitt stellen zur Entwicklung von Business-Anwendungen definiert. In der Gesamtheit bildet die Java SE eine Architektur, die wesentliche Aspekte geschäftskritischer Funktionen von Anwendungen berück sichtigt und unterstützt. Im Jahr 2006 wurde Java SE in der Version 6 vom JCP veröffentlicht. 53 http://www.microsoft.com/net/ 54 http://www.mono-project.de/ 55 http://jcp.org/en/jsr/summary?id=270 I 5.2 Applikationsarchitektur für kleine und mittlere Projekte 21 Java SE 6 SOLLTE zur Umsetzung objektorientierter Applikationen verwendet werden. Wenn Java SE 6 den fachlichen Anforderungen nicht genügt, SOLLTE Java EE 6 verwendet werden. Neben den Bibliotheken der Java SE und Java EE KÖNNEN bei Bedarf weitere Frameworks wie Spring56 verwendet werden. Empfohlen: PHP: Hypertext Preprocessor (PHP) 5.x I PHP57 ist eine in HTML eingebettete Skriptsprache für die Entwicklung von Webanwendungen. Im Jahr 2010 wurde PHP in der Version 5.3.4 von der PHP Group veröffentlicht. Wenn ausgeschlossen werden kann, dass für ein Software-System Integrationsbedarf besteht, also für die Entwicklung von nicht verteilten Stand-Alone-Anwendungen, die nicht mit Einer-für-Alle-Ange boten (EfA-Angeboten)58, mit Legacy-Systemen oder anderen Software-Systemen kommunizieren, SOLLTE PHP 5.x verwendet werden. Hierbei ist zu beachten, dass für Versionen kleiner 5.3 keine Wei terentwicklung stattfindet und eventuell benötigte Funktionen nicht zur Verfügung stehen. Es SOLLTE stets auf die neueste finalisierte Version gesetzt werden. Empfohlen: C++ I C++59 ist eine Sprache zur objektorientierten, generischen und prozeduralen Programmierung. Im Oktober 2003 wurde C++ als ISO/IEC 14882:2003 von der Open Standard Working Group „The C++ Standards Committee“60 veröffentlicht. Die ISO-Norm spezifiziert Anforderungen an die Imple mentierung der Programmiersprache C++ und enthält eine Standardbibliothek. Derzeit findet eine Überarbeitung der ISO-Norm statt. C++ SOLLTE insbesondere dann in Projekten eingesetzt werden, wenn eine hohe Performanz gefordert ist, die durch die relativ maschinennahe Programmierung in C++ erreicht werden kann. Empfohlen: Python I Python61 ist eine in der Regel interpretierte höhere Programmiersprache, die insbesondere auf Pro grammlesbarkeit ausgelegt ist. Neben der objektorientierten Programmierung unterstützt Python auch aspektorientierte und funktionale Programmierung. Oft wird Python auch zur Skriptprogram mierung verwendet. Python SOLLTE insbesondere dann in Projekten eingesetzt werden, wenn keine hohen Anforderungen an die Performanz gestellt werden sowie Wartbarkeit und Agilität zentrale Anforderungen an das Software-System sind. Beobachtet: Ruby Ruby62 ist eine interpretierte und objektorientierte höhere Programmiersprache. Neben der Objektori entierung unterstützt Ruby weitere Programmierparadigmen, unter anderem prozedurale und funk tionale Programmierung. Ruby wird auch zur Skriptprogrammierung verwendet. 56 57 58 59 60 61 62 http://www.springsource.org/ http://php.net/ Siehe (BFIT, 2011A) http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=38110 http://www.open-std.org/JTC1/SC22/WG21/ http://docs.python.org/ http://www.ruby-lang.org/de/downloads/ I 5.2 Applikationsarchitektur für kleine und mittlere Projekte 22 Ruby KANN insbesondere dann in Projekten eingesetzt werden, wenn keine hohen Anforderungen an die Performanz und die Robustheit gestellt werden sowie Wartbarkeit und Agilität zentrale Anforde rungen an das Software-System sind. Beobachtet: Common Language Infrastructure (CLI) I Siehe Common Language Infrastructure (CLI) im Abschnitt 5.1 „Applikationsarchitektur für große Projekte“ auf Seite 19. CLI KANN in kleinen und mittleren Projekten verwendet werden, wenn die Umsetzung wesentlich wirtschaftlicher ist als mittels der empfohlenen Alternativen. Bestandsgeschützt: Java 2 Platform, Standard Edition (J2SE) 5.0 I J2SE 5.0 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Java SE 6 ersetzt. Bestandsgeschützt: Java 2 Platform, Standard Edition (J2SE) 1.4 I In SAGA 3.0 war diese Version von J2SE als „Obligatorisch“ klassifiziert. Mit SAGA 4.0 erfolgte eine Festlegung auf den Nachfolger Java Platform, Standard Edition (Java SE) 5. Bestandsgeschützt: Java 2 Platform, Standard Edition (J2SE) 1.3 I Die Version 1.3 von J2SE war in SAGA 1.1 als „Obligatorisch“ klassifiziert. Die nachfolgende Ver sion 1.4 wurde in SAGA 2.0 als „Obligatorisch“ klassifiziert. Bestandsgeschützt: PHP: Hypertext Preprocessor (PHP) 4.x I In SAGA 2.0 wurde PHP 4.x als „Empfohlen“ klassifiziert. Es wurde in SAGA 2.1 durch die nach folgende Version 5.x ersetzt. Bestandsgeschützt: Perl Zwar zeigt die Erfahrung, dass sich mit entsprechend qualifizierten Mitarbeitern auch mit Perl jedes erdenkliche Problem lösen lässt, die Pflege und Erweiterbarkeit von komplexen mit Perl erstellten Software-Systemen (durch andere Mitarbeiter als die ursprünglichen Entwickler) lässt aber zu wün schen übrig – jedenfalls im Vergleich zu anderen Sprachen. Vor allem die Ziele von SAGA Wieder verwendbarkeit und Skalierbarkeit werden von den in SAGA geführten Technologien besser erreicht als von Perl. 5.3 Diensteorientierte Architekturen In diesem Abschnitt sind die Spezifikationen aufgelistet, die bei der Implementation diensteorientier ter Architekturen relevant sind. Die Spezifikationen, die ausschließlich Interoperabilität in dienste orientierten Architekturen sicherstellen, befinden sich im Abschnitt 8.1 „Kommunikation zwischen Applikationen“ auf Seite 53. I 5.3 Diensteorientierte Architekturen 23 Empfohlen: WS-I Basic Profile 1.1 / 1.2 PI Das WS-I Basic Profile63 spezifiziert Richtlinien für Kernstandards zum Thema Web Services (z. B. SOAP 1.1, WSDL 1.1 und UDDI v2.0), die zur Beförderung von Interoperabilität angewendet wer den SOLLTEN. Das WS-I Basic Profile 1.1 wurde 2006 von der Web Services Interoperability Organization (WS-I) veröffentlicht und 2008 von der ISO als ISO/IEC 29361 normiert. Das WS-I Basic Profile 1.264 wur de 2010 von der WS-I veröffentlicht. Gegenüber Version 1.1 beinhaltet Version 1.2 zusätzlich asynchrones Messaging, WS Addressing 1.0 und MTOM. Werden diese Technologien benötigt, SOLLTE das WS-I Basic Profile 1.2 angewendet werden, andernfalls SOLLTE Version 1.1 zum Einsatz kommen. Weitere WS-I-konforme Profile sind Simple Soap Binding Profile, Basic Security Profile, Reliable Secure Profile, Kerberos Token Profile, REL Token Profile und SAML Token Profile.65 Empfohlen: Web Services Description Language (WSDL) 1.1 PI WSDL66 ist eine auf XML basierende Sprache zur Beschreibung von Operationen (Web Services). Die Beschreibung ermöglicht den automatischen Aufruf der Operationen. Die formale Veröffentlichung durch das W3C erfolgte als WSDL 1.1 im Mai 2001. Empfohlen: Web Services Business Process Execution Language (WS-BPEL) 2.0 PI WS-BPEL67 dient der Orchestrierung von Geschäftsprozessen auf Basis von Web Services. Die Spe zifikation definiert hierbei eine XML-basierte Sprache, welche diese Prozesse beschreibt und die auf BPEL-basierten Workflow-Maschinen direkt ausführbar ist. Im Jahr 2007 wurde WS-BPEL in der Version 2.0 von der OASIS veröffentlicht. Beobachtet: WS-I Basic Profile 2.0 PI Siehe WS-I Basic Profile 1.1 auf Seite 23. Das WS-I Basic Profile 2.068 wurde 2010 von der WS-I veröffentlicht. Die wesentlichste Neuerung des WS-I Basic Profile 2.0 ist die Referenzierung von SOAP 1.2. Die Vorgängerversionen 1.1 und 1.2 setzen auf SOAP 1.1. WS-I Basic Profile 2.0 KANN verwendet wer den, wenn neue Features benötigt werden. Beobachtet: Web Services Description Language (WSDL) 2.0 Siehe Web Services Description Language (WSDL) 1.1 auf Seite 23. Die formale Veröffentlichung durch das W3C erfolgte als WSDL 2.069 im Juni 2007. 63 64 65 66 67 68 69 http://ws-i.org/Profiles/BasicProfile-1.1.html http://ws-i.org/profiles/BasicProfile-1.2-2010-11-09.html http://ws-i.org/ http://www.w3.org/TR/2001/NOTE-wsdl-20010315 http://docs.oasis-open.org/wsbpel/2.0/OS/wsbpel-v2.0-OS.html http://ws-i.org/profiles/BasicProfile-2.0-2010-11-09.html http://www.w3.org/TR/wsdl20/ PI 5.3 Diensteorientierte Architekturen 24 Als Nachfolger von WSDL 1.1 KANN WSDL 2.0 verwendet werden, wenn die Vorteile durch Erwei terungen in WSDL 2.0 die Nachteile der Inkompatibilität zu WSDL 1.1 überwiegen. Beobachtet: Service Component Architecture (SCA) 1.0 SCA70 ist eine Zusammenstellung von Spezifikationen zur Definition eines Modells zur Implemen tierung von SOA-basierten Anwendungen. SCA wurde 2007 in der Version 1.0 von der Open SOA Collaboration (OSOA)71 veröffentlicht. SCA KANN verwendet werden, wenn die Wiederverwendbarkeit von erstellten Komponenten, die Ab straktion der Service-Implementierung von den Infrastruktur-Rahmenbedingungen oder die Verfüg barkeit für möglichst viele Programmiersprachen bzw. Implementierungsstandards benötigt wird. 6 Client Der Client ist eine Software auf einem Endgerät, die einen von anderen Applikationen angebotenen Dienst in Anspruch nimmt. Die Client-Schicht umfasst somit die klassische Benutzerseite, um mit der öffentlichen Verwaltung zu interagieren, wobei der Informationszugriff über unterschiedliche Hardware erfolgen kann. In Deutschland haben bislang vor allem die folgenden Geräte Verbreitung gefunden, sodass für diese Endgeräte optimale Voraussetzungen für die breite Nutzung von Soft ware-Systemen der öffentlichen Verwaltung bestehen: a. Computer (z. B. PC, Notebook) b. Mobile Endgeräte (z. B. Mobiltelefone, PDAs (Personal Digital Assistants), Smartphones) c. Externe Systeme (z. B. ERP-Systeme von Industrieunternehmen) Standardisierungsbemühungen insbesondere für digitales, interaktives Fernsehen sind in den letzten Jahren vorangetrieben worden, aber noch nicht zu einheitlichen Empfehlungen gekommen. 6.1 Informationszugriff mit Computern Auf Computern72 stehen prinzipiell zwei unterschiedliche Clients zur Verfügung, um auf Informatio nen zuzugreifen oder Informationen zu erhalten: Web-Browser und spezifische Client-Anwendungen (z. B. Java-Clients – auch Applets). Letztere ermöglichen u. a. einen direkten Zugriff auf internetba sierte Dienste, E-Mail-Server und – je nach Erlaubnis – auf das Betriebssystem zur Nutzung lokaler Ressourcen wie lokaler Datenträger. 6.1.1 Einsatz aktiver Inhalte im Client Aktive Inhalte sind Computer-Programme (z. B. Javascript, Java Applets, ActiveX-Controls, Silver light-Anwendungen oder auch Flash-Animationen), die in Webseiten oder Dateien (z. B. PDF-Doku mente, Office-Dokumente) enthalten sind oder beim Betrachten automatisiert nachgeladen werden und auf dem Client (vom Anzeigeprogramm oder Betriebssystem) ausgeführt werden. 70 http://www.osoa.org/display/Main/Service+Component+Architecture+Specifications 71 http://www.osoa.org/ 72 Von einem Computer wird in diesem Zusammenhang dann gesprochen, wenn das Endgerät kein klei nes Display (Bildschirmdiagonale > 10 Zoll), keine geringe Bandbreite und eine Tastatur besitzt. I 6.1.1 Einsatz aktiver Inhalte im Client 25 Grundsätzlich MÜSSEN öffentliche Web-Seiten und Software-Systeme so gestaltet sein, dass sie auch ohne aktive Inhalte nutzbar sind. Diese Forderung deckt sich mit der als „Verbindlich“ klassifizierten BITV73. Damit wird erreicht, dass Anwender nicht gezwungen werden, wegen Software-Systemen der öffentlichen Verwaltung ihre lokalen Sicherheitseinstellungen zu lockern. Bei der Verwendung aktiver Inhalte dürfen nur die in SAGA zugelassenen Client-Spezifikationen zum Einsatz kommen, siehe auch Abschnitt 7.4 „Spezifikationen für aktive Inhalte“ auf Seite 34. Active-X-Controls DÜRFEN NICHT eingesetzt werden. 6.1.2 Web-Browser Um bei der Realisierung von Software-Systemen eine breite Nutzung zu ermöglichen, SOLLTEN als Frontend Web-Browser verwendet werden, die die Formate der Präsentationsebene verarbeiten und darstellen können, siehe Kapitel 7 „Präsentation“ ab Seite 30. Hierbei sind folgende browser-basierte Client-Technologien zugelassen: 1. Die Nutzung von Cookies ist zugelassen, soweit • diese nicht persistent sind und • Webseiten einer Domain keine Inhalte anderer Domains inkludieren, welche Cookies setzen. Hierbei sind die Empfehlungen zum HTTP-Protokoll gemäß Abschnitt 8.5 „An wendungsprotokolle“ auf Seite 60 zu berücksichtigen. 2. Die Nutzung von Javascript ist zugelassen. Jedoch MUSS sichergestellt sein, dass die Websei ten auch dann verwendbar sind, wenn Javascript deaktiviert wurde. Bei der Nutzung von Ja vascript ist der Abschnitt 6.1.1 „Einsatz aktiver Inhalte im Client“ auf Seite 24 zu berück sichtigen. 3. Die Nutzung von Java-Applets ist zugelassen, wenn diese vom Server signiert sind und da mit als authentisch und integer beim Client erkannt werden können. Die Hersteller von JavaApplets MÜSSEN ihr Produkt vorzugsweise durch ein vom Hersteller unabhängiges SoftwareUnternehmen qualitätssichern lassen oder die Qualität zumindest in Form einer Erklärung zusichern74. 4. Nach Möglichkeit SOLLTE auf den Einsatz von Plug-Ins verzichtet werden. Wird dennoch der Einsatz von Plug-Ins für notwendig befunden, SOLLTEN die Plug-Ins die folgenden Anforde rungen erfüllen: • Soll ein heterogener Anwenderkreis erreicht werden, MUSS das Plug-In in mindestens ei nem der gängigen Browser auf allen gängigen Betriebssystemen laufen (mindestens: In ternet Explorer, Mozilla Firefox oder Safari für die Plattformen Windows XP/Windows Vista/Windows 7, Linux und Mac OS X). Für die Nutzer des Software-Systems SOLLTEN alle vom Plug-In unterstützten Betriebssysteme und Web-Browser aufgezählt werden 73 siehe BITV, Abschnitt 6.3 „Es MUSS sichergestellt sein, dass mittels Markup-Sprachen geschaffene Dokumente verwendbar sind, wenn Scripts, Applets oder andere programmierte Objekte deaktiviert sind.“ (http://bundesrecht.juris.de/bitv/) 74 Nähere Informationen zu diesem Thema sind unter http://www.cio.bund.de/saga → „Java-Applets“ zu finden. 6.1.2 Web-Browser 26 und Hinweise zur Installation des Plug-Ins gegeben werden, möglichst mit einem Link zum Download des Plug-Ins. • Wenn nach angemessener Prüfung ermittelt wird, dass das Plug-In deutsche Daten schutzgesetze (z. B. bei der Übertragung von Informationen über den Anwender) nicht einhält, DARF es NICHT verwendet werden – unabhängig davon, wo es entwickelt wurde. Es dürfen nur Daten zum und vom Plug-In übertragen werden, die direkt mit dem Be trieb des Plug-Ins, mit der Aktualisierung des Plug-Ins oder mit dem Betrieb des Soft ware-Systems in Verbindung stehen. • Wenn nach angemessener Prüfung ermittelt wird, dass das Plug-In ein instabiles Lauf zeitverhalten oder Schwachstellen bzw. Sicherheitslücken enthält, DARF es NICHT ver wendet werden. Wenn für ein Plug-In zu einem späteren Zeitpunkt Schwachstellen bzw. Sicherheitslücken bekannt werden, SOLLTEN die Nutzer des Software-Systems auf diesen Umstand sowie auf vorhandene Lösungen hingewiesen werden. • Plug-Ins, die von der Bundesverwaltung entwickelt wurden, SOLLTEN digital signiert werden, um Authentizität und Integrität des Plug-Ins für die Nutzer sicherzustellen. Weitere Informationen und Hinweise zum Einsatz von Plug-Ins können auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) nachgele sen werden.75 5. Für gängige Browser-Typen werden Beispielkonfigurationen erstellt und vom BSI über das Internet allgemein zur Verfügung gestellt76. 6. Beim Versand von Formulardaten ist die Vertraulichkeit der Informationen durch Verwen dung von TLS-verschlüsselten Kanälen (siehe Abschnitt 8.5 „Anwendungsprotokolle“ auf Seite 60) unter Nutzung zugehöriger Server-Zertifikate sicherzustellen. 7. Bei der Nutzung der zugelassenen Client-Technologien für öffentliche Web-Seiten und Soft ware-Systeme MUSS die Barrierefreie Informationstechnik Verordnung (BITV)77 unverändert berücksichtigt werden. 6.1.3 Client-Anwendungen Empfohlen: Java Platform, Standard Edition (Java SE) 6 Siehe Java Platform, Standard Edition (Java SE) 6 im Abschnitt 5.2 „Applikationsarchitektur für kleine und mittlere Projekte“ auf Seite 20. Kommt der Web-Browser als Client nicht in Frage, SOLLTE Java SE 6 zur Umsetzung objektorientier ter Client-Anwendungen verwendet werden. Wenn Java SE 6 den fachlichen Anforderungen nicht genügt, SOLLTE Java EE 6 verwendet werden. Neben den Bibliotheken der Java SE und Java EE KÖNNEN bei Bedarf weitere Frameworks Spring78 verwendet werden. 75 http://www.bsi.bund.de/ → „Themen“ → „Internet-Sicherheit“ → „Gefährdungen“ → „Aktive In halte“ → „Definitionen und Gefahren“ → „Plug-Ins“ 76 http://www.bsi.bund.de/Webbrowser 77 Siehe „Barrierefreie Informationstechnik Verordnung (BITV)“ im Abschnitt 7.1 „Barrierefreie Dar stellung“ auf Seite 30 78 http://www.springsource.org/ I 6.1.3 Client-Anwendungen 27 Empfohlen: Java Network Launching Protocol (JNLP) 6.x PI JNLP79 definiert ein plattformunabhängiges Protokoll und SOLLTE für die Verteilung, Installation, das Starten und Aktualisieren von Java-Programmen über das Internet verwendet werden. Für das Intra net KANN eine Abweichung von diesem Vorgehen erfolgen, wenn dort Verteilmechanismen für Soft ware eingesetzt werden, die für Java- und Nicht-Java-Programme funktionieren. 2010 wurde JNLP in der Version 6.0.18 vom JCP veröffentlicht. Bestandsgeschützt: Java 2 Platform, Standard Edition (J2SE) 5.0 I J2SE 5.0 wurde mit der Aktualisierung von SAGA 4.0 auf die Bestandsschutzliste gesetzt. Stattdes sen wurde Java SE 6 in SAGA aufgenommen. Bestandsgeschützt: Java Network Launching Protocol (JNLP) 1.5 PI JNLP 1.5 wurde mit der Aktualisierung von SAGA 4.0 durch Version 6.0 ersetzt. 6.1.4 E-Mail-Client Zum Empfangen, Senden und Bearbeiten von E-Mails sind E-Mail-Clients einzusetzen, die mindes tens die technische Unterstützung der E-Mail-Spezifikationen aus Abschnitt 8.3 „E-Mail-Kommuni kation“ auf Seite 58 gewährleisten. 6.2 Informationszugriff mit mobilen Endgeräten Mobiltelefone, PDAs (Personal Digital Assistants), Smartphones und andere mobile Endgeräte besit zen in Abgrenzung zum Computer a. ein kleines Display (Bildschirmdiagonale kleiner 10 Zoll), b. eine geringe Bandbreite oder c. keine Standardtastatur und MÜSSEN die von Servern angebotenen Spezifikationen für mobile Endgeräte der Präsentations schicht unterstützen80. Weiterhin SOLLTEN so umfassend wie möglich die Spezifikationen, die zur Prä sentation von Inhalten durch Computer im Allgemeinen beschrieben werden, auch durch die mobilen Endgeräte dargestellt werden81. Auch für mobile Endgeräte sind die im Abschnitt 6.1 „Informationszugriff mit Computern“ auf Seite 24 beschriebenen Anforderungen einzuhalten. Beobachtet: Java Plattform, Micro Edition (Java ME) / Mobile Information Device Profile (MIDP) 2.0 Java ME besteht aus Konfigurationen und Profilen für einen effizienten Einsatz von Java auf mobi len Endgeräten, wie z. B. die Connected Limited Device Configuration (CLDC)82 und das Mobile In formation Device Profile (MIDP). 79 80 81 82 http://jcp.org/en/jsr/detail?id=56 Siehe Abschnitt 7.14 „Technologien für die Präsentation auf mobilen Endgeräten“ auf Seite 52 Siehe Kapitel 7 „Präsentation“ auf Seite 30 http://jcp.org/en/jsr/detail?id=30 I 6.2 Informationszugriff mit mobilen Endgeräten 28 MIDP ist ein speziell für Handys angepasstes Profil, das in die CLDC von Java ME eingebettet ist. Es umfasst u. a. Funktionen für den Zugriff auf das Netzwerk, den Arbeitsspeicher, die Tastatur und Miniaturbildschirme. Hersteller von Java ME kompatiblen Handys müssen den MIDP-Standard im plementieren. Die Version 3.083 von MIDP stammt aus dem Jahr 2009 – weiter verbreitet ist allerdings MIDP 2.0 84, das zuletzt im Juni 2006 überarbeitet wurde. Die Weiterentwicklung von Java ME wurde inzwischen eingestellt. Dennoch hat Java ME – auch aufgrund der Weiterentwicklung von MIDP – eine so hohe Verbreitung, dass es für Anwendungen auf mobilen Endgeräten verwendet werden KANN, wenn der Web-Browser als Client nicht in Frage kommt. 6.3 Informationszugriff durch externe Systeme Die Kommunikation und Interaktion zwischen externen und internen Systemen SOLLTE über eine Teilmenge der Spezifikationen abgewickelt werden, die für die Kommunikation und Interaktion zwi schen internen Systemen definiert werden.85 6.4 Technologien zur Authentisierung Um die Schutzziele Vertraulichkeit und Integrität zu gewährleisten, ist die Identitätsfeststellung und Authentisierung von Kommunikationspartnern für bestimmte Software-Systeme erforderlich. Empfohlen: WS-Trust 1.3 PI WS-Trust86 ist eine Erweiterung von WS-Security und SOLLTE zum initialen Austausch von sicher heitsrelevanten und geheimen Daten genutzt werden. Im Mittelpunkt steht dabei der Security Token Service (STS), welcher die Aspekte Format, Vertrauensbeziehung und Namensräume beim Umgang mit Sicherheitstoken behandelt. Im März 2007 wurde WS-Trust 1.3 von der OASIS veröffentlicht. Empfohlen: WS-Federation 1.1 WS-Federation87 ist eine Spezifikation aus der WS-*-Familie, welche zur Nutzung von Web Services über unterschiedliche Sicherheitsdomänen hinweg verwendet werden SOLLTE. Dazu definiert WS-Fe deration ein XML-basiertes Austauschformat zum sicheren Datenaustausch zwischen unterschiedli chen Sicherheitsdomänen. Weiterhin wird ein Federation-Modell zum Umgang mit aktiven und pas siven Requestoren spezifiziert. Als Basis dienen die durch WS-Trust bereit gestellten Sicherheitsto ken. Im Mai 2009 wurde WS-Federation 1.1 von der OASIS veröffentlicht. 83 http://jcp.org/en/jsr/detail?id=271 84 http://jcp.org/en/jsr/detail?id=118 85 siehe dazu Abschnitt 7.6 „Austauschformate für Daten“ auf Seite 35, Kapitel 8 „Kommunikation“ auf Seite 53 und Kapitel 9 „Backend“ auf Seite 65 86 http://docs.oasis-open.org/ws-sx/ws-trust/200512/ws-trust-1.3-os.pdf 87 http://download.boulder.ibm.com/ibmdl/pub/software/dw/specs/ws-fed/WS-Federation-V1-1B.pdf PI 6.4 Technologien zur Authentisierung 29 Empfohlen: Security Assertion Markup Language (SAML) ≥1.0 PI Mittels SAML88, einer auf XML basierenden Beschreibungssprache, können Web Services auf einfa che Art und Weise authentifizierungs- und autorisierungsbezogene Informationen austauschen. Web Single Sign-on und Identity Federation zählen zu den Hauptanwendungsszenarien. SAML hat einen zu WS-Federation parallelen Ansatz, um Identity Federation umzusetzen, der jedoch nicht mit WSFederation interoperabel ist. WS-Federation, basierend auf WS-Trust, ist wesentlich flexibler bzgl. der Verwendung von Sicherheitstoken. SAML wurde erstmalig in der Version 1.0 im November 2002 von der OASIS verabschiedet. Die Version 2.0 stammt aus dem März 2005. Empfohlen: Extensible Access Control Markup Language (XACML) 2.0 PI Mittels XACML89 SOLLEN Autorisierungsinformationen, Darstellungen und Regeln nach einem stan dardisierten XML-Schema beschrieben werden. Neben einer XML-Sprache zur Zugriffskontrolle wird auch eine standardisierte verteilte Architektur definiert. Im Februar 2005 wurde XACML 2.0 von der OASIS veröffentlicht. Beobachtet: Kerberos 5 PI Kerberos90 beschreibt einen verteilten Authentifizierungsdienst für offene, unsichere Netzwerke und bietet einen fälschungssicheren befristeten Identitätsnachweis mittels Token. Ein zentrales Element dieser Infrastruktur ist der Kerberos-Server, welcher die Rolle der vertrauenswürdigen dritten Partei übernimmt. Kerberos 5 wurde am Massachusetts Institute of Technology entwickelt und im Juli 2005 als RFC 4120 veröffentlicht. Beobachtet: Open-ID 2.0 PI Open-ID91 ist eine Open-Source-Spezifikation zur dezentralen Authentifizierung von Webseiten so wie für eine Reihe anderer webbasierter Dienste, durch die es Nutzern möglich ist, sich auf verschie denen Webseiten mit einer Open-ID-Identität in Form einer URL zu identifizieren, statt auf jeder ein zelnen Webseite die Benutzerkennung und das Passwort einzugeben. Open-ID 2.0 wurde im Jahr 2007 von der Open-ID Foundation92 herausgegeben. Beobachtet: Liberty Identity Web Services Framework (ID-WSF) 2.0 ID-WSF93 ermöglicht auf Basis des Liberty Identity Federation Framework (ID-FF) die Nutzung von Identitäten durch Web Services. Das Framework beschreibt die technischen Grundlagen zur Erstel lung von interoperablen, identitätsbasierten Web Services. Im Oktober 2010 wurde ID-WSF 2.0 von der Kantara Initiative herausgegeben. 88 89 90 91 92 93 http://www.oasis-open.org/standards http://www.oasis-open.org/standards#xacmlv2.0 http://tools.ietf.org/html/rfc4120 http://openid.net/developers/specs/ http://openid.net/foundation/ http://kantarainitiative.org/confluence/display/idwsf/Home PI 6.4 Technologien zur Authentisierung 30 Beobachtet: Liberty Identity Services Interface Specification (ID-SIS) 1.0 PI ID-SIS94 stellt eine Schnittstelle zu Liberty Basisfunktionen dar, sodass eine Anbindung von erwei terten Diensten möglich ist. Aufbauend auf dem Liberty Identity Web Services Framework sowie dem Liberty Identity Federation Framework wird definiert, wie unterschiedliche Identitätsinforma tionen standardisiert ausgetauscht werden können. Die Version 1.0 von ID-SIS wurde im Jahr 2006 von der Liberty Alliance spezifiziert. Eine Arbeits gruppe der Kantara Initiative hat inzwischen die weitere Pflege der Spezifikation übernommen 95. Bestandsgeschützt: Liberty Identity Federation Framework (ID-FF) 1.2 PI ID-FF spezifiziert Akteure, Datentypen und Nachrichtenflüsse für ein Single Sign-On über mehrere Diensteanbieter. ID-FF 1.2 wurde mit SAGA 3.0 in die Vorschlagsliste aufgenommen. Im Jahr 2005 ist ID-FF 1.2 in SAML 2.0 aufgegangen und wurde nicht mehr als eigenständige Spezifikation wei terentwickelt. Alle in ID-FF 1.2 spezifizierten Funktionalitäten sind in SAML 2.0 umsetzbar, das in SAGA 4.0 klassifiziert wurde. Aus diesem Grund wurde ID-FF 1.2 mit SAGA 4.0 auf die Bestands schutzliste verschoben. Bestandsgeschützt: Identity Web Services Framework (ID-WSF) 1.1 PI Version 1.1 des ID-WSF wurde mit der Aktualisierung von SAGA 4.0 auf die Bestandsschutzliste gesetzt. Stattdessen wurde ID-WSF 2.0 in SAGA aufgenommen. Bestandsgeschützt: BSI, E-Government-Handbuch, Modul „Authentisierung im E-Government“ PI Mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 wurde das Modul „Authentisierung im E-Government“ des E-Government-Handbuchs auf die Bestandsschutzliste verschoben. 7 Präsentation Die Präsentationsschicht stellt den Clients Informationen zur Verfügung. Je nach Anwendungsfall müssen unterschiedliche Formate bereitgestellt werden, die in den folgenden Abschnitten aufgelistet werden. Die Verwendung offener Austauschformate, die über hinreichend viele Funktionen verfügen und auf unterschiedlichen Plattformen verfügbar sind, wird grundsätzlich gefordert. Neben den klassifizierten Formaten ist es zulässig, Informationen zusätzlich in Formaten anzubieten, die von SAGA nicht berücksichtigt werden. 7.1 Barrierefreie Darstellung Verbindlich: Barrierefreie Informationstechnik Verordnung (BITV) Die BITV96 konkretisiert als Rechtsverordnung das Behindertengleichstellungsgesetz 97 (BGG) in Be zug auf die Berücksichtigung von Barrierefreiheit in der Informationstechnik und beschreibt die 94 95 96 97 http://projectliberty.org/resource_center/specifications/liberty_alliance_id_sis_1_0_specifications http://kantarainitiative.org/confluence/display/WGLSM/Home http://bundesrecht.juris.de/bitv/ http://bundesrecht.juris.de/bgg/ PI 7.1 Barrierefreie Darstellung 31 technischen Anforderungen an Layout, Design und Benutzerführung, die zu erfüllen sind, wenn eine Website für alle Benutzer zugänglich gestaltet sein soll. Insbesondere die Gruppe der behinderten Menschen wird in dieser Verordnung berücksichtigt. Die BITV MUSS bei der Erstellung öffentlich zugänglicher Web-Seiten und Software-Systeme beach tet werden98. 7.2 Zeichensätze und -kodierungen Verbindlich: Unicode ≥2.1 PI Der Unicode-Standard99 beschreibt einen Zeichensatz, der die meisten der heute gebräuchlichen so wie viele historische Zeichen aus dutzenden Sprachen abbildet. Er beinhaltet weit über 100.000 ver schiedene Zeichen. Die verschiedenen Versionen von Unicode werden vom Unicode Consortium100 veröffentlicht und von der ISO nahezu deckungsgleich als ISO/IEC 10646101 normiert und durch die IETF als RFC 3629102 standardisiert. Seit Unicode Version 2.0 unterscheiden sich die verschiedenen Versionen des Standards hauptsäch lich durch immer neu hinzugekommene Zeichen. Für die Verwendung durch die Bundesverwaltung 103 MUSS mindestens Version 2.1 (Einführung des €-Zeichens ) eingesetzt werden. Darüber hinaus ist die anzuwendende Unicode Version abhängig von den darzustellenden Zeichen. So wird beispiels weise die Batak-Schrift erst in der Version 6.0104 unterstützt. Da aufgrund der fachlichen Anforderungen niemals alle Unicode-Zeichen in einem Software-System benötigt werden, SOLLTE das Set der unterstützten Zeichen für jedes Software-System konkret spezi fiziert werden, damit alle Komponenten alle notwendigen Zeichen verarbeiten können (speichern, übertragen, anzeigen, drucken, ...). Verbindlich: UTF-8 Das UCS Transformation Format (UTF)105, auch als Unicode Transformation Format bezeichnet, dient der Transformation von menschenlesbaren Zeichen in maschinenlesbaren Code (Bytes). Dabei wird jedem Zeichen ein Zahlenwert zugeordnet, welcher schließlich durch UTF kodiert wird. Die Festlegung der Zeichen-Zahlenwert-Zuordnung erfolgt durch den zugrunde gelegten Zeichensatz, z. B. Unicode (Universal Character Set). Die gebräuchlichsten Versionen von UTF sind UTF-8 und UTF-16. Beide Zeichenkodierungsmetho den eignen sich für den gesamten Unicode-Standard. Hinsichtlich der Anwendungsgebiete unter scheiden sich jedoch beide Versionen. UTF-8 ist auf die Verwendung mit europäischen Schriftzei chen optimiert und ist kompatibel zu ASCII und ISO 8859-1 (ISO Latin-1). In Software-Systemen der deutschen Verwaltung MUSS deshalb UTF-8 eingesetzt werden. UTF-16 bietet Vorteile gegenüber 98 99 100 101 102 103 104 105 Siehe BITV §1 „Sachlicher Geltungsbereich“, http://bundesrecht.juris.de/bitv/ http://www.unicode.org/versions/Unicode6.0.0/ http://www.unicode.org/standard/standard.html http://www.iso.org/ http://tools.ietf.org/html/rfc3629 http://www.unicode.org/Public/2.1-Update/ReadMe-2.1.1.txt http://www.unicode.org/versions/Unicode6.0.0/ http://tools.ietf.org/html/rfc3629 PI 7.2 Zeichensätze und -kodierungen 32 UTF-8 lediglich bei extensiver Nutzung nicht-europäischer Schriftzeichen (z. B. Thailändisch, Ben galisch etc.). Bestandsgeschützt: ISO 8859-1 PI Bis SAGA 2.1 war ISO 8859-1 als „Empfohlen“ klassifiziert. Die Verwendung des Zeichensatzes bietet gegenüber UTF-8 keine Vorteile mehr und SOLLTE daher in neuen Projekten NICHT mehr vorge zogen werden. Bestandsgeschützt: ISO 8859-15 PI Bis SAGA 2.1 war ISO 8859-15 als „Empfohlen“ klassifiziert. Die Verwendung des Zeichensatzes bietet gegenüber UTF-8 keine Vorteile mehr und SOLLTE daher in neuen Projekten NICHT mehr vorge zogen werden. Bestandsgeschützt: UTF-16 PI UTF-16 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestandsschutz liste verschoben und allein UTF-8 in SAGA klassifiziert. 7.3 Technologien zur Informationsaufbereitung Die folgenden Spezifikationen beschreiben Technologien zur Informationsaufbereitung für verschie dene Kanäle, z. B. E-Mail und Webseiten. Verbindlich: Multipurpose Internet Mail Extensions (MIME) 1.0 PI Zur standardisierten Angabe, welches Format eine Datei oder ein Teil davon hat, MUSS das Format MIME106 verwendet werden. Es erlaubt dem E-Mail-Client oder dem Web-Browser die eindeutige Identifikation des Dateityps. MIME wurde 1996 in der Version 1.0 als RFC 2045 von der IETF veröffentlicht. Empfohlen: Extensible Hypertext Markup Language (XHTML) 1.0 XHTML107 ist eine Beschreibungssprache zur Auszeichnung von Texten, die zum Teil auch semanti sche Elemente enthält und die zur Darstellung von Inhalten in einem Web-Browser verwendet wer den SOLLTE. Im Gegensatz zu HTML hat XHTML ihren Ursprung in XML und formuliert somit strengere Regeln an die Struktur von Websites. Andere XML-Sprachen, wie z. B. SVG, lassen sich entsprechend in die XML-Struktur einbetten und müssen nicht wie bei HTML referenziert werden. Weiterhin kann XHTML aufgrund seiner Kompatibilität zu XML von Programmiersprachen und Stylesheet-Sprachen einheitlich verarbeitet werden. Gemäß BITV sind in Zusammenhang mit XHTML CSS-Stylesheets zu verwenden, um die Text- und Bildgestaltung sowie die Präsentation von XHTML-Dokumenten zu beeinflussen. XHTML 1.0 wurde im Januar 2000 als W3C Recommendation veröffentlicht und im August 2002 überarbeitet. 106 http://tools.ietf.org/html/rfc2045 107 http://www.w3.org/TR/xhtml1/ PI 7.3 Technologien zur Informationsaufbereitung 33 Empfohlen: Hypertext Markup Language (HTML) 4.01 PI HTML108 ist eine Beschreibungssprache, die zur Darstellung von Inhalten in einem Web-Browser verwendet werden SOLLTE. Die Beschreibung erfolgt mittels sogenannter Tags, mit denen man die Struktur eines Dokuments bestimmen, aber auch Textelemente auszeichnen kann. Gemäß BITV sind in Zusammenhang mit HTML CSS-Stylesheets zu verwenden, um die Text- und Bildgestaltung so wie die Präsentation von HTML-Dokumenten zu beeinflussen. HTML wurde 1999 in der Version 4.01 vom W3C veröffentlicht. Empfohlen: Cascading Style Sheets, Level 2 (CSS2) PI Mit Cascading Style Sheets (CSS)109 wird eine Beschreibungssprache mit Vererbungsregeln bezeich net, mit der Layout und Design von Seiten gestalten werden SOLLTEN. Grafisch umgesetzt werden die CSS-Regeln durch einen Web-Browser. Die Darstellung im Browser erfolgt in Verbindung mit der Extensible Hypertext Markup Language (XHTML) und der Hypertext Markup Language (HTML). CSS2 wurde im Mai 1998 vom W3C herausgegeben und seither kontinuierlich gepflegt. Empfohlen: Extensible Stylesheet Language (XSL) 1.1 I XSL110 ist eine Sprache für Stylesheets, d. h. zur Definition von Layout-Informationen von XMLDateien. Die Sprache besteht aus zwei Teilen: Einer Sprache zur Umwandlung von XML-Dokumen ten (XSLT) und einem XML-Vokabular zur Spezifikation von Format-Informationen (XSL-FO). XSL wird vom W3C herausgegeben und liegt seit Dezember 2006 in der Version 1.1 vor. XSL 1.1 erweitert XSL 1.0 z. B. um Lesezeichen, Änderungsbalken, erweiterte Indizes und zusätzliche Op tionen bei einigen Feldern. XSL 1.1 SOLLTE für die Aufbereitung von Dokumenten verwendet werden, die anschließend in ver schiedene Ausgabeformate überführt werden. Empfohlen: Extensible Stylesheet Language Transformations (XSLT) 1.0 / 2.0 XSLT111 ist eine Sprache für die Umformung von XML-Dokumenten. Sie ist neben XSL-FO integra ler Bestandteil von XSL (siehe oben). Das W3C hat XSLT 1.0112 im November 1999 als W3C Recommendation verabschiedet. Im Januar 2007 wurde XSLT 2.0113 herausgegeben. XSLT 1.0 SOLLTE verwendet werden, wenn XML-Dokumente in ein anderes Format oder konform zu einem anderen XML-Schema überführt werden sollen. XSLT 2.0 zeichnet sich gegenüber XSLT 1.0 durch einige, teilweise inkompatible Änderungen aus, die darauf zurückgehen, dass XSLT 2.0 für die Zusammenarbeit mit XPath 2.0 optimiert ist. XSLT 2.0 SOLLTE an Stelle von XSLT 1.0 verwendet werden, falls diese Änderungen benötigt werden und Kompatibilität zu XSLT 1.0 verzichtbar ist oder über die Mechanismen von XSLT 2.0 sichergestellt werden kann. 108 109 110 111 112 113 http://www.w3.org/TR/html401/ http://www.w3.org/TR/1998/REC-CSS2-19980512/ http://www.w3.org/TR/2001/REC-xsl-20011015/ http://www.w3.org/standards/techs/xslt http://www.w3.org/TR/xslt http://www.w3.org/TR/xslt20 I 7.3 Technologien zur Informationsaufbereitung 34 Empfohlen: XML Query Language (XQuery) 1.0 I XQuery114 ist eine Abfragesprache für Daten, die im XML-Format vorliegen, z. B. in XML-Daten banken. XQuery stellt eine Erweiterung von XPath 2.0 dar. XQuery 1.0115 wurde erstmals im Januar 2007 als W3C Recommendation verabschiedet und zuletzt im Dezember 2010 in einer Second Edition116 überarbeitet. Bestandsgeschützt: Hypertext Markup Language (HTML) 3.2 PI HTML 3.2 war in SAGA 2.0 als „Obligatorisch“ klassifiziert. Sie wurde in SAGA 2.1 von der aktu elleren Version HTML 4.01 verdrängt. Bestandsgeschützt: Extensible Stylesheet Language (XSL) 1.0 I XSL 1.0 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version 1.1 ersetzt. 7.4 Spezifikationen für aktive Inhalte Aktive Inhalte sind Computer-Programme (z. B. Javascript, Java Applets, ActiveX-Controls, Silver light-Anwendungen oder auch Flash-Animationen), die in Webseiten oder Dateien (z. B. PDF-Doku mente, Office-Dokumente) enthalten sind oder beim Betrachten automatisiert nachgeladen werden und auf dem Client (vom Anzeigeprogramm oder Betriebssystem) ausgeführt werden. Bei der Ver wendung von aktiven Inhalten sind die Restriktionen gemäß Abschnitt 6.1.1 „Einsatz aktiver Inhalte im Client“ auf Seite 24 zu berücksichtigen. Empfohlen: ECMAScript Language Specification, 3rd Edition PI ECMAScript Language Specification117, oder auch JavaScript, ist eine Skriptsprache, die in einem Web-Browser ausgeführt wird und dynamische Inhalte auf Webseiten bereitstellt, ohne die Websei ten neu zu laden. Die von Ecma International als ECMA-262 standardisierte ECMAScript Language Specification wurde 1999 in der 3rd Edition veröffentlicht. ECMA-262 3rd Edition SOLLTE für die Bereitstellung von dynamischen Inhalten in den verbreiteten Browsern verwendet werden. Beobachtet: ECMAScript Language Specification, 5th Edition ECMA-262118 wurde 2009 von Ecma International in der fünften Edition veröffentlicht. Grundlegen de Neuerung der fünften gegenüber der dritten Edition (siehe oben) sind die verbesserte Unterstüt zung der Objektorientierung und die Integration der JSON-Notation in den Standard. ECMA-262 5th Edition KANN für die Bereitstellung von dynamischen Inhalten in der aktuellen Brow ser-Generation (Firefox 4 und höher sowie Internet Explorer 9 und höher) verwendet werden. 114 115 116 117 118 http://www.w3.org/TR/xquery/ http://www.w3.org/TR/2007/REC-xquery-20070123/ http://www.w3.org/TR/2010/REC-xquery-20101214/ http://www.ecma-international.org/publications/standards/Ecma-262.htm http://www.ecma-international.org/publications/standards/Ecma-262.htm PI 7.5 Formulare 35 7.5 Formulare Beobachtet: XForms 1.1 PI XForms119 gibt Webformularen Funktionalitäten, die weit über die Möglichkeiten von HTML hinaus gehen und aufwändige client-seitige Skriptlösungen überflüssig machen. Zu den von XForms stan dardisierten Funktionen gehören die Auszeichnung von Pflichtfeldern, die Validierung der Eingaben und das Ausgeben von Fehlermeldungen. Im Oktober 2009 wurde XForms 1.1 vom W3C als Recommendation veröffentlicht. XForms 1.1 KANN für die Bereitstellung von Formularen in Webseiten verwendet werden. Bestandsgeschützt: XForms 1.0 PI XForms 1.0 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version 1.1 er setzt. 7.6 Austauschformate für Daten Standardisierte Austauschformate für Daten sollen den Datenaustausch zwischen Software-Systemen erleichtern. Die Lesbarkeit der Daten durch Menschen steht dabei nicht im Vordergrund. Empfohlen: Extensible Markup Language (XML) 1.0 PI XML120 ist eine aus der Standard Generalized Markup Language (SGML) abgeleitete Sprache, mit der Daten strukturiert abgebildet werden können. XML 1.0, Fifth Edition121, wurde im November 2008 vom W3C als Recommendation veröffentlicht. XML 1.0 SOLLTE für den Austausch von strukturierten Daten verwendet werden. Für viele Anwen dungsfälle existieren spezialisierte, auf XML basierende Austauschformate (z. B. EML, siehe unten). Bei hohen Anforderungen an Transaktionszahlen oder Datenvolumina SOLLTEN performantere Aus tauschformate gewählt werden. Beobachtet: Election Markup Language (EML) 5.0 EML122 spezifiziert den Datenaustausch zwischen Hardware, Software und Dienstleistern, die mit ir gendeinem Aspekt eines privaten oder öffentlichen Wahlprozesses befasst sind. EML 5.0 wurde von der OASIS im Dezember 2007 als Standard herausgegeben. An der Nachfolge spezifikation EML 6.0 wird derzeit gearbeitet. EML wird vom Europarat empfohlen und wurde in den letzten Jahren bei einigen Wahlprozessen er folgreich eingesetzt. 119 120 121 122 http://www.w3.org/TR/2009/REC-xforms-20091020/#concepts-xhtml http://www.w3.org/standards/techs/xml http://www.w3.org/TR/2008/REC-xml-20081126/ http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=election PI 7.7 Austauschformate für Dokumente 36 7.7 Austauschformate für Dokumente 7.7.1 Formate für Textdokumente zum Informationsaustausch Textdokumente, die dem Austausch von Informationen dienen, sollen von der Zielgruppe ausschließ lich gelesen und nicht verändert werden. Eine weitere Bearbeitung ist deshalb nicht vorgesehen. Verbindlich: Portable Document Format (PDF) ≥1.4 PI PDF123 ist ein Format zum Austausch und zur Ansicht elektronischer Dokumente unabhängig von der Umgebung, in der sie erstellt wurden. Ursprünglich wurde PDF von Adobe Systems Inc. für die Acrobat-Software entwickelt. Seit Juli 2008 ist PDF in der Version 1.7 durch die ISO als ISO 32000 normiert. PDF MUSS für Textdokumente verwendet werden, die nur dem Informationsaustausch dienen und nicht weiterbearbeitet werden sollen, insbesondere für Dokumente mit Anforderungen an das Layout oder mit eingebetteten grafischen Elementen. Dabei MUSS PDF mindestens in der Version 1.4 verwendet werden. Erst ab dieser Version besteht die Möglichkeit zur Erzeugung barrierefreier Dokumente. Als Profil von PDF 1.4 KANN auch PDF/A zum Einsatz kommen, falls z. B. aktive Inhalte anhand des Dateiformates ausgeschlossen werden sollen. Höhere Versionen des Standards KÖNNEN verwendet werden, solange zusätzliche Funktionen benötigt werden und die Verbreitung geeigneter Lesesoftware auf Empfängerseite gesichert ist. Insbesondere bei mobilen Endgeräten können die Möglichkeiten zur Darstellung eingeschränkt sein. Empfohlen: Text PI Das Text-Format SOLLTE für einfache, unstrukturierte Textdokumente ohne Anforderungen an das Layout verwendet werden. Um die Interoperabilität beim Datenaustausch mit Textdateien zu gewährleisten, MÜSSEN die von SAGA festgelegten Zeichensätze und -kodierungen verwendet werden, siehe Abschnitt 7.2 „Zei chensätze und -kodierungen“ auf Seite 31. Als Steuerzeichen für das Zeilenende SOLLTEN Carriage return und Line feed (CR+LF) zum Einsatz kommen. Bestandsgeschützt: Portable Document Format (PDF) 1.3 In SAGA 2.0 wurde PDF 1.3 als „Obligatorisch“ klassifiziert. Es wurde in SAGA 2.1 durch die nachfolgende Version 1.4 ersetzt. 7.7.2 Formate für Textdokumente zur Weiterbearbeitung Textdokumente, die für eine weitere Bearbeitung vorgesehen sind, müssen veränderbar sein. Es wird zwischen einfachen Textdokumenten und komplexen Textdokumenten mit Layout-Informationen un terschieden. 123 http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51502 PI 7.7.2 Formate für Textdokumente zur Weiterbearbeitung 37 Empfohlen: Text PI Siehe „Text“ im Abschnitt 7.7.1 „Formate für Textdokumente zum Informationsaustausch“ auf Seite 36. Beobachtet: Open Document Format for Office Applications (OpenDocument) 1.1 PI Das „Open Document Format for Office Applications (OpenDocument)“ 124, kurz ODF, ist ein XMLbasiertes Format zur Darstellung der Dokumente aus Büroanwendungen (Textverarbeitung, Tabel lenkalkulation, Präsentationen). OpenDocument wird durch die OASIS entwickelt. Version 1.1 ist datiert vom Februar 2007. Die Normierung von OpenDocument 1.1 durch die ISO als Amendment zu ISO 26300 ist in Arbeit. OpenDocument 1.1 KANN für den Austausch von komplexen, strukturierten oder mit Layoutinforma tionen versehenen Textdokumenten verwendet werden, die für die Weiterbearbeitung vorgesehen sind. ODF 1.0 ist aufwärtskompatibel zu ODF 1.1, d. h. Anwendungen, die ODF 1.0 lesen können, können auch ODF 1.1 Dokumente öffnen. Lediglich die neu in ODF 1.1 hinzugekommenen Features werden von ODF 1.0-Anwendungen nicht unterstützt, wenn sie in den Dokumenten vorhanden sind. Beobachtet: Office Open XML (OOXML) / ISO/IEC 29500 Transitional PI OOXML125 ist ein ursprünglich von Microsoft entwickeltes, XML-basiertes Format zur Darstellung der Dokumente aus Büroanwendungen (Textverarbeitung, Tabellenkalkulation, Präsentationen). Es wurde als ISO/IEC 29500 normiert. Bei der Transitional-Variante der ISO-Norm wurde besonderer Wert auf Kompatibilität zu den alten Binärformaten (Microsoft Office File Formats, siehe unten) der Microsoft Office Suite (MS Office 97 bis MS Office 2003) gelegt. OOXML Transitional KANN für den Austausch von Textdokumenten verwendet werden, die für die Weiterbearbeitung vorgesehen sind, und für die die Kompatibilität zu alten oder neuen Microsoft-Of fice-Versionen wichtig ist. Beobachtet: Office Open XML (OOXML) / ISO/IEC 29500 Strict Siehe Office Open XML (OOXML) / ISO/IEC 29500 Transitional oben. Bei der Strict-Variante der ISO-Norm126 wurden insbesondere Teile der Transitional-Variante ausge schlossen, die Kompatibilität zu älteren Versionen der Microsoft Office Suite beschreiben und die für Dritte nur schwer zu implementieren sind. OOXML Strict KANN für den Austausch von komplexen, strukturierten oder mit Layoutinformationen versehenen Textdokumenten verwendet werden, die für die Weiterbearbeitung vorgesehen sind. Zum Zeitpunkt der Veröffentlichung dieses SAGA-Moduls gab es jedoch noch keine Implementation. 124 http://docs.oasis-open.org/office/v1.1/OS/OpenDocument-v1.1.pdf 125 http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html 126 http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html PI 7.7.2 Formate für Textdokumente zur Weiterbearbeitung 38 Beobachtet: DocBook 4.5 PI DocBook127 ist ein auf SGML und XML basierendes Dokumentenformat zur ausgabeneutralen Er stellung von Büchern, Artikeln und Dokumentationen. Mittels DocBook können somit die Inhalte von Textdokumenten erfasst werden, ohne über ihr konkretes Layout Aussagen zu treffen. Insbeson dere das verteilte Erstellen von Inhalten und die Trennung von Inhalt und Layout werden durch Doc Book gefördert. DocBook 4.5 KANN für umfangreiche Dokumente (z. B. Dokumentationen) genutzt werden, wenn die Dokumente in einem verteilten Prozess entstehen oder in mehreren Ausgabeformaten (z. B. HTML, XHTML und PDF) zur Verfügung gestellt werden sollen. Bestandsgeschützt: Open Document Format for Office Applications (OpenDocument) 1.0 PI Version 1.0 ist datiert vom Mai 2005. Sie wurde von der ISO als ISO 23600:2006 normiert. OpenDocument 1.0 wurde in den meisten Implementationen durch OpenDocument 1.1 abgelöst und deshalb mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version 1.1 ersetzt. Bestandsgeschützt: Microsoft Office File Formats PI Obwohl inzwischen OOXML (siehe oben) das Standarddateiformat für Microsoft Office ist, recht fertigt die große Relevanz in der Vergangenheit die Aufnahme der Microsoft Office File Formats in die Bestandsschutzliste. Das Word 97-2003 Binary File Format (.doc)128 KANN mit bestehenden Software-Systemen für den Austausch von Textdokumenten verwendet werden, die für die Weiterbearbeitung vorgesehen sind. Bestandsgeschützt: eXtensible Markup Language (XML) 1.0 PI In SAGA 2.1 war XML als „Empfohlen“ klassifiziert. Zu dem Zeitpunkt existierte noch kein auf XML basierendes standardisiertes Format für weiterbearbeitbare Textdokumente, Tabellenkalkulatio nen und Präsentationen. OpenDocument 1.0, das auf XML basiert, wurde im Mai 2005 veröffentlicht und in SAGA 3.0 als geeignetes konkretes XML-Format aufgenommen. Durch diese Festlegung wird eher Interoperabilität erreicht als durch eine allgemeine Einigung auf XML. 7.7.3 Formate für Tabellen zum Informationsaustausch Tabellen, die dem Austausch von Informationen dienen, sollen von der Zielgruppe ausschließlich ge lesen und nicht verändert werden. Eine weitere Bearbeitung ist deshalb nicht vorgesehen. Empfohlen: Portable Document Format (PDF) ≥1.4 Siehe Portable Document Format (PDF) ≥1.4 im Abschnitt 7.7.1 „Formate für Textdokumente zum Informationsaustausch“ auf Seite 36. 127 http://www.docbook.org/specs/docbook-4.5-spec.html 128 http://msdn.microsoft.com/en-us/library/cc313153%28v=office.12%29.aspx PI 7.7.3 Formate für Tabellen zum Informationsaustausch 39 Empfohlen: Comma-Separated Values (CSV) PI Tabellen mit einfach strukturierten Daten ohne Berechnungen und Anforderungen an das Layout 129 SOLLTEN mittels Comma Separated Values (Dateiendung .csv) ausgetauscht werden. Das CSV-Dateiformat wurde im Jahr 2005 durch die IETF im RFC 4180 dokumentiert. Empfohlen: Hypertext Markup Language (HTML) 4.01 PI Siehe Hypertext Markup Language (HTML) 4.01 im Abschnitt 7.3 „Technologien zur Informations aufbereitung“ auf Seite 33. Empfohlen: Extensible Hypertext Markup Language (XHTML) 1.0 PI Siehe Extensible Hypertext Markup Language (XHTML) 1.0 im Abschnitt 7.3 „Technologien zur In formationsaufbereitung“ auf Seite 32. Bestandsgeschützt: Portable Document Format (PDF) 1.3 PI Siehe Portable Document Format (PDF) 1.3 im Abschnitt 7.7.1 „Formate für Textdokumente zum Informationsaustausch“ auf Seite 36. 7.7.4 Formate für Tabellen zur Weiterbearbeitung Tabellen, die für eine weitere Bearbeitung vorgesehen sind, müssen veränderbar sein. Es wird zwi schen einfach strukturierten Daten und komplexen Dokumenten mit Berechnungen und gegebenen falls mit Layout-Informationen unterschieden. Empfohlen: Comma-Separated Values (CSV) PI Siehe Comma-Separated Values (CSV) im Abschnitt 7.7.3 „Formate für Tabellen zum Informations austausch“ auf Seite 39. Beobachtet: Open Document Format for Office Applications (OpenDocument) 1.1 PI Siehe Open Document Format for Office Applications (OpenDocument) 1.1 im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbearbeitung“ auf Seite 37. Beobachtet: Office Open XML (OOXML) / ISO/IEC 29500 Transitional PI Siehe Office Open XML (OOXML) / ISO/IEC 29500 Transitional im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbearbeitung“ auf Seite 37. Beobachtet: Office Open XML (OOXML) / ISO/IEC 29500 Strict Siehe Office Open XML (OOXML) / ISO/IEC 29500 Strict im Abschnitt 7.7.2 „Formate für Textdo kumente zur Weiterbearbeitung“ auf Seite 37. 129 http://tools.ietf.org/html/rfc4180 PI 7.7.4 Formate für Tabellen zur Weiterbearbeitung 40 Bestandsgeschützt: Open Document Format for Office Applications (OpenDocument) 1.0 PI Siehe Open Document Format for Office Applications (OpenDocument) 1.0 im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbearbeitung“ auf Seite 38. Bestandsgeschützt: Microsoft Office File Formats PI Siehe Microsoft Office File Formats im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbe arbeitung“ auf Seite 38. Das Excel 97-2003 Binary File Format (.xls)130 KANN mit bestehenden Software-Systemen für den Austausch von Tabellen verwendet werden, die für die Weiterbearbeitung vorgesehen sind. Bestandsgeschützt: eXtensible Markup Language (XML) 1.0 PI Siehe eXtensible Markup Language (XML) 1.0 im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbearbeitung“ auf Seite 38. 7.7.5 Formate für Präsentationen zum Informationsaustausch Präsentationen, die dem Austausch von Informationen dienen, sollen von der Zielgruppe ausschließ lich gelesen und nicht verändert werden. Eine weitere Bearbeitung ist deshalb nicht vorgesehen. Empfohlen: Portable Document Format (PDF) ≥1.4 PI Siehe Portable Document Format (PDF) ≥1.4 im Abschnitt 7.7.1 „Formate für Textdokumente zum Informationsaustausch“ auf Seite 36. PDF SOLLTE für den Austausch von Präsentationen verwendet werden, die keine Animationen enthal ten. Empfohlen: Hypertext Markup Language (HTML) 4.01 PI Siehe Hypertext Markup Language (HTML) 4.01 im Abschnitt 7.3 „Technologien zur Informations aufbereitung“ auf Seite 33. Empfohlen: Extensible Hypertext Markup Language (XHTML) 1.0 PI Siehe Extensible Hypertext Markup Language (XHTML) 1.0 im Abschnitt 7.3 „Technologien zur In formationsaufbereitung“ auf Seite 32. Beobachtet: Synchronized Multimedia Integration Language (SMIL) 3.0 SMIL131 ist ein vom W3C entwickelter offener Standard einer Auszeichnungssprache für Multime diaprodukte auf XML-Basis. Er erlaubt es mehrere Elemente wie Audio, Video, Text und Grafik syn chron zu übertragen und beim Client darzustellen. SMIL KANN für den Austausch von Präsentationen verwendet werden, wenn besondere Funktionen von SMIL, wie z. B. eine wiederholte oder bedingte Anzeige von Dokumenten, benötigt werden. 130 http://msdn.microsoft.com/en-us/library/cc313154%28v=office.12%29.aspx 131 http://www.w3.org/TR/2008/REC-SMIL3-20081201/ PI 7.7.5 Formate für Präsentationen zum Informationsaustausch 41 Bestandsgeschützt: Portable Document Format (PDF) 1.3 PI Siehe Portable Document Format (PDF) 1.3 im Abschnitt 7.7.1 „Formate für Textdokumente zum Informationsaustausch“ auf Seite 36. Bestandsgeschützt: Synchronized Multimedia Integration Language (SMIL) 2.0 PI SMIL 2.0 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestandsschutz liste verschoben und durch Version 3.0 ersetzt. 7.7.6 Formate für Präsentationen zur Weiterbearbeitung Präsentationen, die für eine weitere Bearbeitung vorgesehen sind, müssen veränderbar sein. Beobachtet: Open Document Format for Office Applications (OpenDocument) 1.1 PI Siehe Open Document Format for Office Applications (OpenDocument) 1.1 im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbearbeitung“ auf Seite 37. Beobachtet: Office Open XML (OOXML) / ISO/IEC 29500 Transitional PI Siehe Office Open XML (OOXML) / ISO/IEC 29500 Transitional im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbearbeitung“ auf Seite 37. Beobachtet: Office Open XML (OOXML) / ISO/IEC 29500 Strict PI Siehe Office Open XML (OOXML) / ISO/IEC 29500 Strict im Abschnitt 7.7.2 „Formate für Textdo kumente zur Weiterbearbeitung“ auf Seite 37. Bestandsgeschützt: Open Document Format for Office Applications (OpenDocument) 1.0 PI Siehe Open Document Format for Office Applications (OpenDocument) 1.0 im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbearbeitung“ auf Seite 38. Bestandsgeschützt: Microsoft Office File Formats PI Siehe Microsoft Office File Formats im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbe arbeitung“ auf Seite 38. Das PowerPoint 97-2003 Binary File Format (.ppt)132 KANN mit bestehenden Software-Systemen für den Austausch von Präsentationen verwendet werden, die für die Weiterbearbeitung vorgesehen sind. Bestandsgeschützt: eXtensible Markup Language (XML) 1.0 Siehe eXtensible Markup Language (XML) 1.0 im Abschnitt 7.7.2 „Formate für Textdokumente zur Weiterbearbeitung“ auf Seite 38. 132 http://msdn.microsoft.com/en-us/library/cc313106%28v=office.12%29.aspx PI 7.7.7 Gesicherter Dokumentenaustausch 7.7.7 42 Gesicherter Dokumentenaustausch Für Kommunikation und Interaktion ist häufig der Austausch sicherer Dokumente erforderlich, d. h. eine Zusicherung von Vertraulichkeit, Verfügbarkeit und/oder Integrität. Dazu gehören z. B. die Si cherung von Dokumenten als E-Mail-Anlagen oder als Bestandteile XML-basierter elektronischer Kommunikation. Einige der in den vorangegangenen Abschnitten aufgeführten Spezifikationen (z. B. PDF, OpenDocument, OOXML) stellen bereits integrierte Sicherheitsfunktionen bereit. Soweit diese Funktionen die Anforderungen erfüllen, SOLLTEN sie zusätzlichen Maßnahmen vorgezogen werden. Weitere allgemeine Spezifikationen, die im Zusammenhang mit gesichertem Dokumentenaustausch von Bedeutung sind, finden sich in Kapitel 10 „Verschlüsselung“ auf Seite 68 und in Kapitel 11 „Elektronische Signatur“ auf Seite 70. Empfohlen: Common PKI Specifications for Interoperable Applications (Common PKI) 2.0 PI In der Common PKI Spezifikation133 sind international verbreitete Standards für Public Key Infra strukturen (PKI), für elektronische Signaturen sowie für die Verschlüsselung zusammengefasst. Ein besonderer Fokus liegt auf Datenformaten und Kommunikationsprotokollen zur Erreichung von In teroperabilität. Empfohlen: XML Advanced Electronic Signatures (XAdES) ≥1.3.2 PI XAdES134 ist eine Erweiterung der XML Signature Spezifikation im Hinblick auf den Einsatz von Signaturen im Sinne der EU-Richtlinie 1999/93/EC. In der Grundform entspricht XAdES im We sentlichen dem Standard XML Signature. XAdES erweitert diesen um Funktionen wie Zeitstempel, Zeitstempelerneuerung, die Nutzung erweiterter Verifikationsdaten sowie um Funktionen zur Lang zeitspeicherung. Empfohlen: XML Encryption PI XML Encryption135 definiert die Art und Weise, wie XML-Dokumente ver- bzw. entschlüsselt wer den. Dies kann mittels eines symmetrischen oder eines asymmetrischen Verfahrens erfolgen. Zusam men mit XML Signature bildet XML Encryption die Grundlage mehrerer Standards zum XML-ba sierten Dokumentenaustausch. Empfohlen: XML Signature Mit Hilfe des Standards XML Signature136 SOLLTEN Signaturen für beliebige Daten, vorrangig jedoch für XML-Daten, beschrieben werden, indem ein XML-Schema und ein Verarbeitungsregelwerk für die Gliederung und Validierung der Signatur bereitgestellt werden. Ein zentrales Merkmal von XML Signature ist die Möglichkeit, anstelle des gesamten XML-Dokuments nur bestimmte Teile daraus zu signieren. Diese Flexibilität ermöglicht beispielsweise, die Integrität bestimmter Elemente eines XML-Dokuments zu sichern, während andere Teile verändert werden können. Für die meisten An wendungen reichen normale XML-Signaturen aus, jedoch in Verbindung mit qualifizierten elektroni 133 134 135 136 http://www.t7ev.org/themen/entwickler/common-pki-v20-spezifikation.html http://uri.etsi.org/01903/v1.4.1/ http://www.w3.org/TR/xmlenc-core/ http://www.w3.org/TR/xmldsig-core/ PI 7.7.7 Gesicherter Dokumentenaustausch 43 schen Signaturen im Sinne der deutschen Gesetzgebung bzw. beim Einsatz von Signaturen im Kon text von Langzeitspeicherung sind XAdES-konforme Signaturen den einfachen XML-Signaturen vorzuziehen. Bestandsgeschützt: Common ISIS-MTT Specifications for Interoperable PKI Applica tions (Common PKI) 1.1, Teil 3 PI Common PKI 1.1 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version 2.0 ersetzt. Bestandsgeschützt: Industrial Signature Interoperability Specification (ISIS)-MTT 1.0 PI Zum Zeitpunkt der Veröffentlichung von SAGA 2.0 war ISIS-MTT 1.0 die aktuelle Version und als „Obligatorisch“ klassifiziert. Mit SAGA 2.1 erfolgte die Ersetzung durch die nachfolgende Version 1.1. Bestandsgeschützt: MailTrusT (MTT) Version 2 PI In SAGA 2.0 wurde MailTrusT (MTT) Version 2 als „Obligatorisch“ klassifiziert. Die MTT-Spezifi kation ging 2001 in der ISIS-MTT-Spezifikation auf und wird seither nicht weiterentwickelt. Des halb wurde seit SAGA 2.1 allein ISIS-MTT als Standard geführt. Bestandsgeschützt: XML Advanced Electronic Signatures (XAdES) 1.2 PI XAdES 1.2 wurde mit der Aktualisierung von SAGA 4.0 auf die Bestandsschutzliste gesetzt. Statt dessen wurde XAdES 1.3.2 in SAGA aufgenommen. 7.8 Austauschformate für Bilder Verbindlich: Joint Photographic Experts Group (JPEG) PI JPEG137 MUSS für die Speicherung und den Austausch von Fotos und Grafiken mit Farbverläufen, bei denen die verlustbehaftete Kompression dieses Formates unschädlich ist, verwendet werden. JPEGDateien bieten für derartige Bilder eine hohe Kompressionsrate. JPEG wurde 1992 von der Joint Photographic Experts Group veröffentlicht und 1994 von der ISO als ISO/IEC 10918-1 normiert. Empfohlen: Portable Network Graphics (PNG) 1.2 PNG138 ist ein ein Grafikformat, welches 16 Millionen Farben, verlustfreie Kompression, inkremen telle Anzeige der Grafik (erst Grobstruktur, bis Datei ganz übertragen ist) und das Erkennen beschä digter Dateien unterstützt. Transparenz kann mit Hilfe von Alpha-Kanälen erreicht werden. Im Jahr 2003 wurde PNG in der Version 1.2 vom W3C und der ISO139 veröffentlicht. PNG 1.2 SOLLTE für den Austausch von Grafiken und Schaubildern verwendet werden. 137 http://www.jpeg.org/jpeg/index.html 138 http://www.w3.org/TR/PNG/ 139 http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=29581 PI 7.8 Austauschformate für Bilder 44 Empfohlen: Geo Tagged Image File Format (GeoTIFF) 1.8.2 PI GeoTIFF140 ist eine Erweiterung von TIFF 6.0. Eine Besonderheit gegenüber TIFF 6.0 ist, dass im Header eine Georeferenzierung enthalten ist, sodass im Gegensatz zum herkömmlichen TIFF die Ge oreferenzdatei *.tfw nicht erstellt werden muss. GeoTIFF wurde im Jahr 2000 in der Version 1.8.2 von Dr. Niles Ritter und Mike Ruth veröffentlicht. GeoTIFF 1.8.2 SOLLTE für den Austausch von grafischen Geoinformationen verwendet werden, so fern es erforderlich ist, dass Georeferenzierungen als Metadaten im Header enthalten sind. Empfohlen: Graphics Interchange Format (GIF) v89a PI GIF141 ist ein Grafikformat, das sich vor allem für Bilder mit geringer Farbtiefe (256 Farben) eignet. Im Jahr 1990 wurde GIF in der Version 89a vom W3C veröffentlicht. GIF v89a SOLLTE als Austauschformat für nicht-fotografische Bilder, wie Strichzeichnungen, verwen det werden. Empfohlen: Tagged Image File Format (TIFF) 6.0 PI TIFF142 wird zur Speicherung gerasteter Bilder eingesetzt. Um maximale Interoperabilität zu errei chen, sind ausschließlich Eigenschaften aus der „Baseline TIFF“ 143 einzusetzen. TIFF SOLLTE insbesondere dann verwendet werden, wenn mehrseitige Grafiken oder Bilder verarbei tet werden sollen, z. B. gescannte mehrseitige Dokumente. Beobachtet: Scalable Vector Graphics (SVG) 1.1 PI SVG144 ist eine Spezifikation für Vektorgrafiken. Damit ist es möglich, Bilder in Webseiten einzubet ten, die sich ohne Verpixelung auf beliebige Größen skalieren lassen. Version 1.1 von SVG wurde vom W3C im Januar 2003 als Recommendation veröffentlicht. SVG KANN insbesondere für Vektorgrafiken benutzt werden. Es wird vom Internet Explorer jedoch erst mit Version 9 ohne Plug-In unterstützt. Beobachtet: Joint Photographic Experts Group 2000 (JPEG 2000) / Part 1 JPEG 2000145 ist ein Grafikformat, welches als Nachfolger von JPEG entwickelt wurde und ebenfalls für die Speicherung und den Austausch von Fotos und Grafiken mit Farbverläufen verwendet wer den KANN. Neben einer verlustbehafteten Komprimierung beherrscht JPEG 2000 auch eine verlust freie Komprimierung. Darüber hinaus kann JPEG 2000 zusätzliche Metadaten aufnehmen. 140 141 142 143 http://www.remotesensing.org/geotiff/spec/geotiffhome.html http://www.w3.org/Graphics/GIF/spec-gif89a.txt http://partners.adobe.com/public/developer/en/tiff/TIFF6.pdf Unter „Baseline TIFF“ sind Eigenschaften von TIFF-Dateien zusammengefasst, die jedes TIFF-fähi ge Programm unterstützen sollte. Beispielsweise gehören zu „Baseline TIFF“ ausschließlich die bei den Komprimierungsverfahren „Huffman“ und „Packbits“, während „LZW“, „JPEG“, „ZIP“ und „CCITT“ (Baudot-Code) optionale Erweiterungen sind, die nicht in jedem TIFF-fähigen Programm implementiert sind. 144 http://www.w3.org/TR/2003/REC-SVG11-20030114/ 145 http://www.jpeg.org/jpeg2000/ PI 7.8 Austauschformate für Bilder 45 JPEG 2000 wurde von der Joint Photographic Experts Group entwickelt und von der ISO als ISO/IEC 15444-1146 normiert. Bestandsgeschützt: Enhanced Compressed Wavelet (ECW) PI Bis zu SAGA 2.1 war ECW als „Empfohlen“ klassifiziert. Mit SAGA 3.0 wurden Mindestanforde rungen bezüglich der Offenheit von Standards eingeführt. Eine kostenfreie Lizenz für ECW erlaubte nur die Kompression von Dateien bis zu einer Größe von 500 MB. Für größere Dateien fielen Li zenzkosten an. Deshalb wurde ECW auf die Bestandsschutzliste verschoben und in SAGA 3.0 offe nere Alternativen (GeoTIFF, JPEG 2000 / Part 1) aufgenommen. 7.9 Animation Empfohlen: Graphics Interchange Format (GIF) v89a PI Siehe Graphics Interchange Format (GIF) v89a im Abschnitt 7.8 „Austauschformate für Bilder“ auf Seite 44. GIF bietet im Kontext von Animation die Möglichkeit, mehrere GIF-Bilder in eine einzige Datei ein zubetten. Dadurch können Bewegungsabläufe dargestellt werden, bei denen die Reihenfolge, Anzei gedauer und Wiederholungen der Einzelbilder vorgegeben werden können. Man spricht dann auch von animiertem GIF. Animiertes GIF SOLLTE zur Darstellung einfacher Animationen verwendet werden. Beobachtet: Scalable Vector Graphics (SVG) 1.1 Siehe Scalable Vector Graphics (SVG) 1.1 im Abschnitt 7.8 „Austauschformate für Bilder“ auf Seite 44. Um Animationen in Webseiten einzubetten, bedient sich SVG der Spezifikation SMIL Animation. Im Web-Browser Firefox werden Animationen mittels SVG und SMIL erst ab der Version 4.0 ohne Plug-Ins unterstützt. Für den Internet Explorer (IE) gibt es noch keine direkte Unterstützung. SVG KANN für Animationen eingesetzt werden, wenn durch Plug-Ins oder direkte Unterstützung eine Anzeige in den Clients sichergestellt wird. 7.10 Audio- und Videodaten Im Bereich der Audio- und Videodaten gibt es viele Namen, die zum Teil synonym für Herausgeber, Produkte, Containerformate oder Codecs stehen. Da SAGA keine Produkte empfiehlt, werden Emp fehlungen nur für Containerformate gegeben. Für die Zukunft ist eine detailliertere Betrachtung von Codecs vorgesehen. Die in diesem Abschnitt empfohlenen Spezifikationen werden von vielen gängigen Streaming-Ser vern und Client-Produkten unterstützt. In diesem Bereich ist zurzeit eine hohe Kompatibilität zwi schen den unterschiedlichen Produkten bezüglich der unterstützten Containerformate und Codecs ge geben. 146 http://www.iso.org/ PI 7.10.1 Austauschformate für Audiodateien 46 7.10.1 Austauschformate für Audiodateien Empfohlen: Ogg Encapsulation Format (Ogg) PI Ogg147 ist ein seitenorientiertes Containerformat für Multimediadaten. Es kann sowohl Audio- und Videodaten als auch Textdaten enthalten. Ogg wurde als unabhängige Alternative zu proprietären Formaten konzipiert und wird zur Speicherung und zum Streaming multimedialer Inhalte eingesetzt. Ogg definiert sich dabei vor allem über seine explizite Patent- und Lizenzfreiheit als OpenSource-Alternative zu anderen Containerformaten. Im Jahr 2003 wurde Ogg als RFC 3533 von der IETF veröffentlicht. Entwickelt wird der Standard von der Xiph.Org Foundation148. Bei Audiodateien mit niedrigen Qualitätsanforderungen, zum Beispiel Sprachaufzeichnungen, ist das Codec Speex149 geeignet. Für Audiodateien mit normalen Qualitätsanforderungen bietet sich Vor bis150 an, dessen Qualität mit MP3 vergleichbar ist. Für höchste Qualitätsansprüche KANN das verlust freie Audio-Codec FLAC151 verwendet werden. Empfohlen: MPEG-4 Part 14 (MP4) PI MP4152 ist ein von der Moving Picture Experts Group (MPEG) entwickelter Container für den Aus tausch von Audio- und Videodateien. MP4 wurde 2004 von der ISO als Teil 14 der Normenreihe ISO/IEC 14496 normiert. Beobachtet: RealMedia (RM) PI RealMedia153 ist eine von RealNetworks entwickelte Familie von Dateiformaten u. a. auch ein Con tainer für Audio- und Videoinhalte. RealMedia KANN zum Austausch von Audiodateien insbesondere dann eingesetzt werden, wenn die Inhalte bereits in diesem Format vorliegen (z. B. aufgrund eines parallel realisierten Streaming-An gebots). Beobachtet: Advanced Systems Format (ASF) 1.2 ASF154 ist ein von Microsoft entwickeltes, proprietäres, insbesondere auf Streaming ausgelegtes Containerformat. Im Februar 1998 wurde ASF zunächst unter der Bezeichnung Active Streaming Format von Micro soft und RealNetworks vorgestellt und liegt seit 2004 in einer wesentlich erweiterten Version vor. ASF KANN zum Austausch von Audiodateien insbesondere dann eingesetzt werden, wenn die Inhalte bereits in diesem Format vorliegen (z. B. aufgrund eines parallel realisierten Streaming-Angebots). 147 148 149 150 151 152 153 154 http://tools.ietf.org/html/rfc3533 http://www.xiph.org/ http://www.speex.org/ http://www.vorbis.com/ http://flac.sourceforge.net/ http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=38538 https://helixcommunity.org/developers/getting_started/download_source_code http://www.microsoft.com/windows/windowsmedia/format/asfspec.aspx PI 7.10.1 Austauschformate für Audiodateien 47 Bestandsgeschützt: MPEG-1 Layer 3 (MP3) PI Bis zu SAGA 2.1 war MP3 als „Obligatorisch“ klassifiziert. Mit SAGA 3.0 wurden Mindestanforde rungen bezüglich der Offenheit von Standards eingeführt. Da für den Einsatz von MP3 in Software und Hardware Lizenzkosten anfielen, wurde MP3 auf die Bestandsschutzliste verschoben und in SAGA 3.0 offenere Alternativen (Ogg) aufgenommen. 7.10.2 Austauschformate für Audio-Streaming Im Gegensatz zu „normalen“ Audiodateien bietet Audio-Streaming ein Format, das es ermöglicht, schon während der Übertragung abgespielt zu werden. Dadurch werden Live-Übertragungen mög lich, wohingegen die herkömmlichen Audiodateien zunächst komplett übertragen und dann abge spielt werden. Neben den Containerformaten werden für das Streaming zusätzlich Transportproto kolle benötigt (z. B. HTTP oder RTSP). Empfohlen: Hypertext Transfer Protocol (HTTP) 1.1 PI HTTP155 ist ein frei verfügbares, auf der Anwendungsschicht eingesetztes, Protokoll zur Übertragung von Daten in einem Netzwerk. Es bildet die Basis der Client-Server-Kommunikation im World Wide Web. HTTP ist durch diverse Erweiterungen nicht nur auf Hypertext beschränkt, sondern es können belie bige Daten ausgetauscht werden. Daher SOLLTE es auch für das Streaming von Audiodateien verwen det werden. Empfohlen: Real Time Streaming Protocol (RTSP) PI RTSP156 ist ein Netzwerkprotokoll zur Steuerung von audiovisuellen Datenströmen. RTSP wurde 1998 im RFC 2326 von der IETF standardisiert. Empfohlen: Ogg Encapsulation Format (Ogg) PI Siehe Ogg Encapsulation Format (Ogg) im Abschnitt 7.10.1 „Austauschformate für Audiodateien“ auf Seite 46. Empfohlen: MPEG-4 Part 14 (MP4) PI Siehe MPEG-4 Part 14 (MP4) im Abschnitt 7.10.1 „Austauschformate für Audiodateien“ auf Seite 46. Beobachtet: RealMedia (RM) Siehe RealMedia (RM) im Abschnitt 7.10.1 „Austauschformate für Audiodateien“ auf Seite 46. RealMedia KANN insbesondere für Streaming-Angebote zum Einsatz kommen, die auf Basis von RTSP realisiert werden sollen. 155 http://tools.ietf.org/html/rfc2616 156 http://tools.ietf.org/html/rfc2326 PI 7.10.2 Austauschformate für Audio-Streaming 48 Beobachtet: Advanced Systems Format (ASF) 1.2 PI Siehe Advanced Systems Format (ASF) 1.2 im Abschnitt 7.10.1 „Austauschformate für Audiodatei en“ auf Seite 46. Da sich ASF durch einen geringen Protokoll-Overhead auszeichnet, KANN es insbesondere für Strea ming bei beschränkter Bandbreite verwendet werden. Bestandsgeschützt: Hypertext Transfer Protocol (HTTP) 1.0 PI HTTP 1.0 war in SAGA 1.1 als „Obligatorisch“ klassifiziert. Es wurde in SAGA 2.0 durch die nach folgende Version HTTP 1.1 ersetzt. 7.10.3 Austauschformate für Videodateien Empfohlen: Ogg Encapsulation Format (Ogg) PI Siehe Ogg Encapsulation Format (Ogg) im Abschnitt 7.10.1 „Austauschformate für Audiodateien“ auf Seite 46. Für Videodateien SOLLTE Ogg in Verbindung mit dem freien Codec „Theora157“ verwendet werden. Empfohlen: MPEG-4 Part 14 (MP4) PI Siehe MPEG-4 Part 14 (MP4) im Abschnitt 7.10.1 „Austauschformate für Audiodateien“ auf Seite 46. Beobachtet: Advanced Systems Format (ASF) 1.2 PI Siehe Advanced Systems Format (ASF) 1.2 im Abschnitt 7.10.1 „Austauschformate für Audiodatei en“ auf Seite 46. Bestandsgeschützt: QuickTime File Format (QTFF) PI QTFF wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestandsschutzliste verschoben. Bestandsgeschützt: RealMedia (RM) Siehe RealMedia (RM) im Abschnitt 7.10.1 „Austauschformate für Audiodateien“ auf Seite 46. RealMedia wurde für Videodaten mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestandsschutzliste verschoben, da es lediglich das nicht offene Video-Codec RealVideo unterstützt. 7.10.4 Austauschformate für Video-Streaming Im Gegensatz zu „normalen“ Videodateien bietet Video-Streaming ein Format, das es ermöglicht, schon während der Übertragung abgespielt zu werden. Dadurch werden Live-Übertragungen von Vi deos möglich, wohingegen die herkömmlichen Videodateien zunächst komplett übertragen und dann abgespielt werden. 157 Siehe http://www.theora.org/ PI 7.10.4 Austauschformate für Video-Streaming 49 Empfohlen: Hypertext Transfer Protocol (HTTP) 1.1 PI Siehe Hypertext Transfer Protocol (HTTP) 1.1 im Abschnitt 7.10.2 „Austauschformate für Au dio-Streaming“ auf Seite 47. Empfohlen: MPEG-4 Part 14 (MP4) PI Siehe MPEG-4 Part 14 (MP4) im Abschnitt 7.10.1 „Austauschformate für Audiodateien“ auf Seite 46. Empfohlen: Ogg Encapsulation Format (Ogg) PI Siehe Ogg Encapsulation Format (Ogg) im Abschnitt 7.10.3 „Austauschformate für Videodateien“ auf Seite 48. Empfohlen: Real Time Streaming Protocol (RTSP) PI Siehe Real Time Streaming Protocol (RTSP) im Abschnitt 7.10.2 „Austauschformate für Audio-Stre aming“ aus Seite 47. Beobachtet: Advanced Systems Format (ASF) 1.2 PI Siehe Advanced Systems Format (ASF) 1.2 im Abschnitt 7.10.2 „Austauschformate für Audio-Strea ming“ auf Seite 47. Bestandsgeschützt: Hypertext Transfer Protocol (HTTP) 1.0 PI Siehe Hypertext Transfer Protocol (HTTP) 1.0 im Abschnitt 7.10.2 „Austauschformate für Au dio-Streaming“ auf Seite 48. Bestandsgeschützt: QuickTime File Format (QTFF) PI Siehe QuickTime File Format (QTFF) im Abschnitt 7.10.3 „Austauschformate für Videodateien“ auf Seite 48. Bestandsgeschützt: RealMedia (RM) PI Siehe RealMedia (RM) im Abschnitt 7.10.3 „Austauschformate für Videodateien“ auf Seite 48. 7.11 3D-Daten Beobachtet: eXtensible 3D (X3D), Edition 2 X3D158 dient der Definition von dreidimensionalen Daten in interaktiven Echtzeit-Anwendungen mittels XML. Es definiert ein Dateiformat und eine Laufzeitumgebung, um 3D-Szenen und -Objekte zu repräsentieren und auszutauschen. Die Edition 1 von X3D wurde vom Web 3D Consortium entwickelt und im November 2005 als ISO/IEC 19775:2004 normiert. Im Juli 2008 wurde diese Norm von der ISO als veraltet deklariert und die Edition 2 als ISO/IEC 19775-1:2008 veröffentlicht. 158 http://www.web3d.org/x3d/specifications/x3d/ PI 7.11 3D-Daten 50 X3D KANN für die Darstellung von 3D-Szenen und Objekten verwendet werden. Gegenüber dem konkurrierenden Format U3D erzeugt X3D kleinere Dateien und hat daher im Webumfeld seine Vor teile. Beobachtet: Universal 3D (U3D) 4th Edition PI Die Spezifikation U3D159 definiert Syntax und Semantik des entsprechenden Dateiformats, eines er weiterbaren Formats für 3D CAD (Computer-Aided Design) Daten. Neben der Visualisierung spezi fiziert U3D auch eine Architektur, die die Ausführung von Modifikationen zur Laufzeit erlaubt. U3D wurde erstmals 2004 von der Ecma standardisiert. Die 4. Ausgabe wurde im Juni 2007 heraus gegeben. U3D KANN für die Darstellung von 3D-Szenen und Objekten verwendet werden. Gegenüber dem konkurrierenden Format X3D hat U3D den Vorteil, besser mit CAD-Daten umgehen zu können. 7.12 Austauschformate für Geoinformationen Die nachfolgend aufgeführten Spezifikationen für den Austausch von Geoinformationen werden in den Geodiensten aus Abschnitt 8.6 auf Seite 62 angewendet. Verbindlich: Geography Markup Language (GML) 3.2.x PI GML160 ist eine Auszeichnungssprache zum Austausch und zum Speichern von geografischen Infor mationen im Vektorformat, welche räumliche und nicht-räumliche Eigenschaften berücksichtigt. Ne ben dem Austausch von Vektordaten, können über diese Spezifikation auch Coverages, zu denen auch Oberflächen zählen, ausgetauscht werden. Im Jahr 2007 wurde GML in der Version 3.2.1 vom Open Geospatial Consortium (OGC) 161 veröf fentlicht. Die ISO hat GML 3.2.1 als ISO 19136:2007 normiert. GML 3.2.x MUSS, insbesondere im Zusammenhang mit der Nutzung des Web Feature Service (WFS) 2.0 verwendet werden. Empfohlen: City Geography Markup Language (CityGML) 1.0.0 PI CityGML162 ist ein Datenmodell, welches auf XML basiert und zur Speicherung und dem Austausch von 3D-Stadt- und Landschaftsmodellen verwendet werden SOLLTE. Im Jahr 2008 wurde CityGML in der Version 1.0.0 vom OGC veröffentlicht. Empfohlen: Geo Tagged Image File Format (GeoTIFF) 1.8.2 Siehe Geo Tagged Image File Format (GeoTIFF) 1.8.2 im Abschnitt 7.8 „Austauschformate für Bil der“ auf Seite 44. 159 160 161 162 http://www.ecma-international.org/publications/standards/Ecma-363.htm http://www.opengeospatial.org/standards/gml http://www.opengeospatial.org/ http://www.opengeospatial.org/standards/citygml PI 7.12 Austauschformate für Geoinformationen 51 Empfohlen: Keyhole Markup Language (KML) 2.2.0 PI KML163 ist eine XML-basierte Sprache, die dazu verwendet werden SOLLTE, geografische Informatio nen für die Darstellung in 3D-Betrachtern (z. B. GoogleEarth) bereitzustellen. Neben den eigentli chen Geoinformationen beinhaltet KML auch schon Informationen zur Visualisierung. Im Jahr 2008 wurde KML in der Version 2.2.0 vom OGC veröffentlicht. Bestandsgeschützt: Geography Markup Language (GML) 3.1.1 PI Bis SAGA 4.0 war GML 3.1.1 in SAGA klassifiziert, da es von WFS 1.1 referenziert wurde. Inzwi schen wurde WFS 1.1 durch WFS 2.0 abgelöst und damit auch GML 3.1.1 auf die Bestandsschutz liste verschoben. Bestandsgeschützt: Geography Markup Language (GML) 3.0 PI In SAGA 2.1 war die zu diesem Zeitpunkt aktuellste GML-Version 3.0 für den Austausch von Geo informationen als „Obligatorisch“ klassifiziert. Bei der Aufnahme des neuen Themas „Geodienste“ in SAGA 3.0 wurde festgestellt, dass diese Version im Vergleich zu anderen GML-Versionen keine große Relevanz im Zusammenspiel mit anderen Geo-Standards hat. Deshalb SOLLTE GML 3.0 in neu en Anwendungen NICHT eingesetzt werden. Bestandsgeschützt: Geography Markup Language (GML) 2.1.2 PI GML 2.1.2 wurde mit der Aktualisierung von SAGA 4.0 durch Version 3.2.1 ersetzt. Bestandsgeschützt: Geography Markup Language (GML) 2.0 PI Zum Zeitpunkt der Veröffentlichung von SAGA 2.0 war GML 2.0 die aktuelle Version und als „Empfohlen“ klassifiziert. Mit SAGA 2.1 erfolgte die Ersetzung durch den Nachfolger GML 3.0. 7.13 Datenkompression Um den Austausch großer Dateien zu ermöglichen und die Netzbelastung zu minimieren, sollten Systeme zur Kompression eingesetzt werden. Empfohlen: ZIP 4.5 ZIP164 ist eine weitverbreitete Spezifikation für die Kompression von Dateien. Zum Komprimieren stehen verschiedene Algorithmen zur Verfügung. Das Dateiformat ZIP wurde 1989 von Phil Katz für die Anwendung „PKZIP“ eingeführt und später als „Public Domain“ freigegeben. ZIP unterstützt verschiedene Kompressionsverfahren. Verwendet werden SOLLTE das Standardkompressionsverfahren „DEFLATE“, ein frei verfügbarer, patentfreier Kompressionsalgorithmus. ZIP SOLLTE für die Datenkompression verwendet werden, insbesondere wenn mehrere Dateien in ei nem Archiv zusammengefasst werden sollen. 163 http://www.opengeospatial.org/standards/kml 164 http://www.pkware.com/documents/APPNOTE/APPNOTE-4.5.0.txt PI 7.13 Datenkompression 52 Empfohlen: Gnu ZIP (GZIP) 4.3 / Tape ARchive (TAR) PI GZIP165 ist eine besonders in der UNIX-Welt weitverbreitete Spezifikation für die Kompression von Dateien. Im Gegensatz zu ZIP wird Gnu ZIP nur zum Komprimieren einzelner Dateien verwendet. Sollen mehrere Dateien komprimiert werden, müssen diese zunächst zu einem Archiv zusammenge fasst werden. Hierzu SOLLTE die Spezifikation TAR166 dienen. Das Gnu ZIP Dateiformat wurde von der IETF als RFC 1952 standardisiert. Ebenso wie ZIP verwen det Gnu ZIP den freien Algorithmus „DEFLATE“ (RFC 1951) für die Kompression. TAR ist seit langer Zeit Bestandteil von UNIX und wurde im Zuge der Standardisierungsbemühun gen Teil des „UNIX-Standards“ ISO/IEC 9945. Die Kombination GZIP/TAR SOLLTE dem ZIP-Format immer dann vorgezogen werden, wenn viele gleichartige Dateien zu einem Archiv gepackt werden sollen, da von GZIP redundante Informationen über Dateigrenzen hinweg komprimiert werden und so eine höhere Kompressionsrate erreicht wird. Bestandsgeschützt: ZIP 2.0 PI Version 2.0 des ZIP-Formats wurde mit der Aktualisierung von SAGA 4.0 durch Version 4.5 ersetzt. 7.14 Technologien für die Präsentation auf mobi len Endgeräten Sofern ein Informationsangebot für Mobiltelefone beziehungsweise Smartphones erstellt werden soll, ist der Aufbau von SMS-Diensten aufgrund der flächendeckenden Unterstützung von SMS zu bevorzugen. Über die folgenden Spezifikationen hinaus SOLLTEN auch die Standards, die zur Präsentation von In halten durch Computer im Allgemeinen beschrieben wurden, für mobile Endgeräte zum Einsatz kommen, siehe Abschnitte 7.1 bis 7.13. Verbindlich: Short Message Services (SMS) SMS167 ist ein Dienst in GSM168-basierten Mobilfunknetzen, mit dem sich kurze Textnachtrichten mit Mobiltelefonen austauschen lassen. Eine Textnachricht ist auf 160 Zeichen begrenzt. Durch das Auf teilen auf mehrere Nachrichten (theoretisch bis zu 255) können auch längere Texte versendet wer den. SMS wird durch das 3rd Generation Partnership Project (3GPP) 169 spezifiziert und durch das Euro pean Telecommunications Standards Institute (ETSI)170 als Standard veröffentlicht. SMS MUSS verwendet werden, wenn kurze Textnachrichten an Mobiltelefone gesendet werden sol len. 165 166 167 168 169 170 http://tools.ietf.org/html/rfc1952 http://ieeexplore.ieee.org/servlet/opac?punumber=7685 http://pda.etsi.org/pda/queryform.asp GSM = Global System for Mobile Communications http://www.3gpp.org/ http://www.etsi.org/ PI 7.14 Technologien für die Präsentation auf mobilen Endgeräten Beobachtet: 53 Extensible Hypertext Markup Language (XHTML) Basic 1.1 PI XHTML Basic171 ist eine auf Basis der XHTML-Spezifikation des W3C definierte Untermenge von Attributen, die für einen mobilen Browser ausreichend sind. Im Juli 2008 wurde XHTML Basic in der Version 1.1 vom W3C veröffentlicht und zuletzt im No vember 2010 mit einer Second Edition172 überarbeitet. XHTML Basic 1.1 KANN für die die Darstellung von Webseiten auf mobilen Endgeräten (z. B. Han dys, Smartphones) verwendet werden. Beobachtet: Wireless Application Protocol (WAP) 2.0 PI WAP173 ist eine Spezifikation zur Entwicklung von Anwendungen, die über drahtlose Kommunikati onsnetzwerke operieren. Haupteinsatzgebiet sind mobile Internetangebote. WAP 2.0 wurde durch die Open Mobile Alliance (OMA)174 entwickelt und 2002 als Spezifikation veröffentlicht. Seither wurde nicht an einer Weiterentwicklung gearbeitet. Durch steigende Bandbreite und Leistungsfähigkeit mobiler Endgeräte fallen die Vorteile von WAP immer weniger ins Gewicht. WAP KANN dennoch verwendet werden, um insbesondere die Darstel lung auf älteren mobilen Endgeräten zu verbessern. Bestandsgeschützt: Extensible Hypertext Markup Language (XHTML) Basic 1.0 PI XHTML 1.0 Basic wurde mit der Aktualisierung von SAGA 4.0 auf die Bestandsschutzliste gesetzt. Stattdessen wurde XHTML Basic 1.1 in SAGA aufgenommen. Bestandsgeschützt: Wireless Application Protocol (WAP) 1.x PI In SAGA 2.0 wurde WAP 1.x als „Unter Beobachtung“ klassifiziert. Es wurde in SAGA 2.1 durch die nachfolgende Version WAP 2.0 ersetzt. Bestandsgeschützt: Wireless Markup Language (WML) 1.x In SAGA 2.0 war WML 1.x als „Unter Beobachtung“ klassifiziert. Sie wurde in SAGA 2.1 durch WAP 2.0 ersetzt, da WAP 2.0 die Weiterentwicklung WML 2.0 einschließt. 8 Kommunikation 8.1 Kommunikation zwischen Applikationen In diesem Abschnitt wird nicht zwischen der Kommunikation Client-Server oder Server-Server un terschieden. Die folgenden Abschnitte unterscheiden aber, ob Applikationen innerhalb der Netze der öffentlichen Verwaltung untereinander kommunizieren oder ob eine Applikation außerhalb der Ver waltung mit einer Applikation im Netz der öffentlichen Verwaltung kommuniziert. 171 172 173 174 http://www.w3.org/TR/xhtml-basic/ http://www.w3.org/TR/2010/REC-xhtml-basic-20101123/ http://www.wapforum.org/what/technical.htm http://www.openmobilealliance.org/ PI 8.1 Kommunikation zwischen Applikationen 54 Kommen Web Services zum Einsatz, SOLLTEN zur Implementation die Spezifikationen des Abschnit tes 5.3 „Diensteorientierte Architekturen“ auf Seite 22 beachtet werden. Alternativ zu einer dienste orientierten Architektur kann auch das Architekturkonzept „Representational State Transfer“ (REST) zur Anwendung kommen. In diesem Fall dient HTTP als Kommunikationsprotokoll. 8.1.1 Kommunikation zwischen Applikationen innerhalb der Verwaltung Verbindlich: Web Services Security (WS-Security) 1.1 PI WS-Security175 ist ein Standard aus dem Kontext der WS-*-Spezifikationen und beschreibt Erweite rungen von SOAP-Nachrichten (Web Services). Bestehende Techniken, wie z. B. XML Signature, XML Encryption, PKI oder SAML, werden einbezogen bzw. als Basis zu Hilfe genommen. WS-Security MUSS zur Sicherung von Nachrichtenintegrität, Vertraulichkeit und zur Authentifizie rung von SOAP-Nachrichten verwendet werden. Empfohlen: Simple Object Access Protocol (SOAP) 1.1 PI SOAP176 ist ein Protokoll zum standardisierten Informationsaustausch in dezentralen, verteilten Um gebungen. Die Informationen werden in XML repräsentiert. Im Jahr 2000 wurde SOAP in der Version 1.1 vom W3C veröffentlicht. SOAP 1.1 SOLLTE für die Kommunikation zwischen dem Erbringer und dem Nutzer eines Dienstes im Sinne des SOA-Referenzmodells eingesetzt werden. Empfohlen: Message Transmission Optimization Mechanism (MTOM) PI MTOM177 baut auf XOP (XML-binary Optimized Packaging) auf und SOLLTE für die effiziente Über tragung von SOAP-Envelopes mit Binärdaten verwendet werden. Im Januar 2005 wurde MTOM vom W3C als Recommendation veröffentlicht. Empfohlen: Java Message Service (JMS) 1.1 JMS178 ist ein Standard, der es Anwendungskomponenten ermöglicht, Nachrichten basierend auf der Java Enterprise Edition (Java EE) zu erstellen, zu senden und zu empfangen. Die JMS API ermög licht eine verteilte Kommunikation, die lose gekoppelt, zuverlässig und asynchron ist. JMS wurde 2003 in der Version 1.1 als JSR 914 vom JCP veröffentlicht. JMS 1.1 SOLLTE dann verwendet werden, wenn die miteinander kommunizierenden Komponenten hinsichtlich ihrer Schnittstellen nicht offen gelegt werden sollen (leichtere Austauschbarkeit) und die Kommunikation zwischen den Komponenten generell asynchron und fehlertolerant verlaufen soll. 175 176 177 178 http://www.oasis-open.org/specs/index.php#wssv1.1 http://www.w3.org/TR/2000/NOTE-SOAP-20000508/ http://www.w3.org/TR/soap12-mtom/ http://jcp.org/en/jsr/detail?id=914 I 8.1.1 Kommunikation zwischen Applikationen innerhalb der Verwaltung 55 Empfohlen: Hypertext Transfer Protocol (HTTP) 1.1 PI Siehe Hypertext Transfer Protocol (HTTP) 1.1 im Abschnitt 8.5 „Anwendungsprotokolle“ auf Seite 60. HTTP ist das grundlegende Kommunikationsprotokoll des Architekturkonzepts „Representational State Transfer (REST)“179 für verteilte Anwendungen. REST beschreibt ein Muster, wie Anwendun gen oder Dienste miteinander kommunizieren sollten. Das World Wide Web mit seinen Standards HTTP und URL ist die hauptsächliche Ausprägung des REST-Musters – wenn diese Spezifikationen im Sinne von REST eingesetzt werden. Im Jahr 2000 wurde REST von Roy Fielding, dem Hauptautor der HTTP-Spezifikation und Vorsit zenden der Apache Foundation, veröffentlicht. HTTP und REST SOLLTEN eingesetzt werden, wo eine SOAP-Kommunikation überdimensioniert wäre. Darüber hinaus SOLLTE HTTP als das hauptsächliche Übertragungsprotokoll für SOAP-Kom munikation verwendet werden. Empfohlen: Java Portlet Specification ≥1.0 I Die Java Portlet Specification180 beschreibt die Interaktion zwischen Portlets und Portalen zum Aus tausch von Informationen für die Präsentation in den Portalen. Im Jahr 2003 wurde die Java Portlet Specification in der Version 1.0 vom JCP als JSR 168 veröffent licht, die Version 2.0 im Jahr 2008 als JSR 286181. Sofern auf die Weitergabe von Events zwischen Portlets verzichtet werden kann, SOLLTE die Java Portlet Specification 1.0 aufgrund der einfacheren Handhabung verwendet werden. Andernfalls SOLLTE die Java Portlet Specification 2.0 verwendet werden. Wird im Projekt Java nicht verwendet, SOLLTE auf die java-unabhängige Spezifikation Web Services for Remote Portlets (WSRP) gesetzt werden, siehe unten. Empfohlen: Web Services for Remote Portlets (WSRP) ≥1.0 I WSRP182 beschreibt eine Web-Service-Schnittstelle für einen plattform- und programmiersprachen unabhängigen Austausch von Informationen aus entfernten Quellen. Nur für größere Projekte mit Datenaggregation bieten Portlets ein gutes Verhältnis zwischen Realisierungsaufwand und Perfor manz und SOLLTEN dort verwendet werden. WSRP 1.0 und 2.0 sind jeweils das java-unabhängige Pendant zur Java Portlet Specification 1.0 und 2.0. Sie wurden von der OASIS im April 2003 bzw. April 2008 veröffentlicht. Beobachtet: Simple Object Access Protocol (SOAP) 1.2 Siehe Simple Object Access Protocol (SOAP) 1.1 im Abschnitt 8.1.1 „Kommunikation zwischen Ap plikationen innerhalb der Verwaltung“ auf Seite 54. SOAP wurde im Jahr 2003 in der Version 1.2183 vom W3C veröffentlicht. 179 180 181 182 183 http://www.ics.uci.edu/~fielding/pubs/dissertation/fielding_dissertation.pdf http://www.jcp.org/en/jsr/detail?id=168 http://www.jcp.org/en/jsr/detail?id=286 http://docs.oasis-open.org/wsrp/v2/wsrp-2.0-spec-os-01.pdf http://www.w3.org/TR/2007/REC-soap12-part0-20070427/ PI 8.1.1 Kommunikation zwischen Applikationen innerhalb der Verwaltung 56 Bestandsgeschützt: Web Services (WS)-Security 1.0 PI Die Version 1.0 von WS-Security war in SAGA 2.1 als „Empfohlen“ klassifiziert. In SAGA 3.0 er setzte WS-Security 1.1 die Version 1.0. Bestandsgeschützt: SOAP Messages with Attachments (SwA) PI SwA wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestandsschutzliste gesetzt. Die Alternative MTOM wurde als „Empfohlen“ aufgenommen. Bestandsgeschützt: J2EE Connector Architecture (JCA) 1.5 I JCA 1.5 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 für diesen Abschnitt auf die Bestandsschutzliste verschoben. Lediglich im Abschnitt für den Zugriff auf Bestandssysteme wurde Version 1.5 durch den Nachfolger JCA 1.6 ersetzt. Bestandsgeschützt: Common Object Request Broker Architecture (CORBA) PI Als Standard für die Interoperabilität von Anwendungen hat sich CORBA nicht durchgesetzt. Es ist komplex, kostenintensiv und mittlerweile veraltet. Für die Integration bereits bestehender Anwen dungen hat diese Technologie jedoch noch Relevanz. Bestandsgeschützt: Java to IDL Language Mapping (JAV2I) 1.0 I JAV2I 1.0 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestandsschutz liste verschoben. Bestandsgeschützt: Hypertext Transfer Protocol (HTTP) 1.0 PI Siehe Hypertext Transfer Protocol (HTTP) 1.0 im Abschnitt 7.10.2 „Austauschformate für Au dio-Streaming“ auf Seite 48. 8.1.2 Kommunikation mit verwaltungsexternen Applikationen Verbindlich: Web Services Security (WS-Security) 1.1 PI Siehe Web Services Security (WS-Security) 1.1 im Abschnitt 8.1.1 „Kommunikation zwischen Ap plikationen innerhalb der Verwaltung“ auf Seite 54. Empfohlen: Simple Object Access Protocol (SOAP) 1.1 PI Siehe Simple Object Access Protocol (SOAP) 1.1 im Abschnitt 8.1.1 „Kommunikation zwischen Ap plikationen innerhalb der Verwaltung“ auf Seite 54. Empfohlen: Message Transmission Optimization Mechanism (MTOM) Siehe Message Transmission Optimization Mechanism (MTOM) im Abschnitt 8.1.1 „Kommunikati on zwischen Applikationen innerhalb der Verwaltung“ auf Seite 54. PI 8.1.2 Kommunikation mit verwaltungsexternen Applikationen 57 Empfohlen: Hypertext Transfer Protocol (HTTP) 1.1 PI Siehe Hypertext Transfer Protocol (HTTP) 1.1 im Abschnitt 8.1.1 „Kommunikation zwischen Appli kationen innerhalb der Verwaltung“ auf Seite 55. Beobachtet: Simple Object Access Protocol (SOAP) 1.2 PI Siehe Simple Object Access Protocol (SOAP) 1.2 im Abschnitt 8.1.1 „Kommunikation zwischen Ap plikationen innerhalb der Verwaltung“ auf Seite 55. Bestandsgeschützt: Web Services (WS)-Security 1.0 PI Siehe Web Services (WS)-Security 1.0 im Abschnitt 8.1.1 „Kommunikation zwischen Applikationen innerhalb der Verwaltung“ auf Seite 56. Bestandsgeschützt: SOAP Messages with Attachments (SwA) PI Siehe SOAP Messages with Attachments (SwA) im Abschnitt 8.1.1 „Kommunikation zwischen Ap plikationen innerhalb der Verwaltung“ auf Seite 56. Bestandsgeschützt: Common Object Request Broker Architecture (CORBA) PI Siehe Common Object Request Broker Architecture (CORBA) im Abschnitt 8.1.1 „Kommunikation zwischen Applikationen innerhalb der Verwaltung“ auf Seite 56. Bestandsgeschützt: Hypertext Transfer Protocol (HTTP) 1.0 PI Siehe Hypertext Transfer Protocol (HTTP) 1.0 im Abschnitt 7.10.2 „Austauschformate für Au dio-Streaming“ auf Seite 48. 8.2 Netzwerkprotokolle Verbindlich: Internet Protocol Version 4 (IPv4) / Version 6 (IPv6) Das Internet Protocol (IP)184 ist ein verbindungsloses Protokoll der Vermittlungsschicht und erlaubt den Austausch von Daten zwischen zwei Rechnern ohne vorherigen Verbindungsaufbau. Im Jahr 1981 wurde IP in der Version 4 als RFC 791 von der IETF veröffentlicht. IPv6 wurde im Jahr 1998 als RFC 2460 von der IETF publiziert. Eines der wesentlichen Unterscheidungsmerkmale zu IPv4 ist der durch die Verwendung von 128bit-Adressen stark erweiterte Adressraum von IPv6. Auf internationaler Ebene ist der Adressraum von IPv4 bereits erschöpft. Außerdem wurde u. a. die Netzwerksicherheit (IP Security – IPSec) mit der Version 6 zum Bestandteil des Protokolls. IP MUSS zur Übermittlung von Datenpaketen innerhalb eines Netzwerkes unterstützt werden. Die fachlichen Anforderungen bestimmen, welche Version von IP zum Einsatz kommt. Falls die Wahl auf IPv4 fällt, SOLLTE geprüft werden, ob zusätzlich auch eine Unterstützung von IPv6 angestrebt werden sollte, um eine spätere Migration zu erleichtern. 184 IPv4: http://tools.ietf.org/html/rfc791; IPv6: http://tools.ietf.org/html/rfc2460 PI 8.2 Netzwerkprotokolle 58 Verbindlich: Domain Name System (DNS) PI DNS185 ist ein Protokoll zur Beantwortung von Anfragen zur Namensauflösung in Netzwerken. Im Jahr 1987 wurde DNS als RFC 1034 und RFC 1035 von der IETF veröffentlicht. DNS MUSS für die Namensauflösung in IP-Adressen („forward lookup“) und die umgekehrte Auflö sung von IP-Adressen in Namen („reverse lookup“) verwendet werden. 8.3 E-Mail-Kommunikation Verbindlich: Multipurpose Internet Mail Extensions (MIME) 1.0 PI Siehe Multipurpose Internet Mail Extensions (MIME) 1.0 im Abschnitt 7.3 „Technologien zur In formationsaufbereitung“ auf Seite 32 Verbindlich: Simple Mail Transfer Protocol (SMTP) PI SMTP186 definiert ein textorientiertes Protokoll der TCP/IP-Protokollfamilie, welches zur Übertra gung von E-Mails an Mail-Server und für die Kommunikation der Mail-Server untereinander ver wendet werden MUSS. Zum Abruf der E-Mails vom Server durch den Nutzer kommen andere Proto kolle zum Einsatz. Im Jahr 2008 wurde SMTP als RFC 5321 von der IETF veröffentlicht. Empfohlen: Common PKI Specifications for Interoperable Applications (Common PKI) 2.0 PI Siehe Common PKI Specifications for Interoperable Applications (Common PKI) 2.0 im Abschnitt 7.7.7 „Gesicherter Dokumentenaustausch“ auf Seite 42. Empfohlen: Internet Message Access Protocol, Version 4rev1 (IMAP4rev1) PI IMAP187 ist ein Anwendungsprotokoll für den Zugriff, die Verwaltung und die Bearbeitung von E-Mails, die sich im Postfach auf einem Mail-Server befinden. Im Jahr 2003 wurde IMAP in der Version 4 rev1 als RFC 3501 von der IETF veröffentlicht. IMAP v4rev1 SOLLTE für die server-seitige Verwaltung von elektronischen Postfächern, bei denen alle Daten auf dem Server verbleiben, verwendet werden. Empfohlen: Post Office Protocol, Version 3 (POP3) POP188 ist ein Anwendungs- und Übertragungsprotokoll für das Abholen von E-Mails von einem Mail-Server. Im Jahr 1996 wurde POP in der Version 3 als RFC 1939 von der IETF veröffentlicht. POP3 SOLLTE für die client-seitige Verwaltung von elektronischen Postfächern, bei denen alle Daten vom Server auf den Client verschoben werden, verwendet werden. 185 186 187 188 http://tools.ietf.org/html/rfc1034; http://tools.ietf.org/html/rfc1035 http://tools.ietf.org/html/rfc5321 http://tools.ietf.org/html/rfc3501 http://tools.ietf.org/html/rfc1939 PI 8.3 E-Mail-Kommunikation 59 Empfohlen: DomainKeys Identified Mail (DKIM) PI DKIM189 definiert ein Verfahren zur Authentifizierung von E-Mails mittels Public-Key-Verschlüsse lung. Es SOLLTE zur Abwehr von Spam und Phishing eingesetzt werden. DKIM wurde ursprünglich von Yahoo! entwickelt und zum Patent angemeldet. Yahoo! lizenziert das Verfahren unter GPL (GNU General Public License) 2.0 und hat es im Jahr 2007 durch die IETF als RFC 4871 standardisieren lassen. DKIM erlaubt die Authentifizierung von Quelle und Inhalt einer Nachricht. Die verschlüsselnde Do main übernimmt dabei die Verantwortung für eine E-Mail-Nachricht und stellt damit die Identität des Absenders und die Integrität der Nachricht sicher. Dies grenzt DKIM von Verfahren wie Sender ID und SPF ab, die sich auf die Authentifizierung des Absenders beschränken. Beobachtet: Sender ID PI Das Sender ID Framework (kurz SIDF oder Sender ID)190 ist eine Methode um festzustellen, ob ein Mail-Server berechtigt ist, eine bestimmte E-Mail zu versenden. Im April 2006 wurde Sender ID von der IETF als RFC 4406 veröffentlicht. Sender ID KANN – auch in Ergänzung zu DKIM – verwendet werden, um besser zu beurteilen, ob eine E-Mail als Spam einzuordnen ist oder nicht. Beobachtet: Sender Policy Framework (SPF) 1.0 PI Sender Policy Framework (SPF)191 ist ein Protokoll, das es Domain-Besitzern ermöglicht, die HostComputer zu identifizieren, die E-Mail-Nachrichten für die Domain versenden dürfen. Im April 2006 wurde SPF von der IETF als RFC 4408 veröffentlicht. SPF KANN – auch in Ergänzung zu DKIM – zur besseren Abwehr von Spam-Mails verwendet wer den. Bestandsgeschützt: Common ISIS-MTT Specifications for Interoperable PKI Applica tions (Common PKI) 1.1, Teile 1 bis 6 PI Common PKI 1.1 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version 2.0 ersetzt. Bestandsgeschützt: Industrial Signature Interoperability Specification (ISIS)-MTT 1.0 PI Siehe Industrial Signature Interoperability Specification (ISIS)-MTT 1.0 im Abschnitt 7.7.7 „Gesi cherter Dokumentenaustausch“ auf Seite 43. Bestandsgeschützt: MailTrusT (MTT) Version 2 Siehe MailTrusT (MTT) Version 2 im Abschnitt 7.7.7 „Gesicherter Dokumentenaustausch“ auf Seite 43. 189 http://tools.ietf.org/html/rfc4871 190 http://tools.ietf.org/html/rfc4406 191 http://tools.ietf.org/html/rfc4408 PI 8.4 IP-Telefonie 60 8.4 IP-Telefonie Sprache beziehungsweise Telefonie ist ein wichtiger und etablierter Kommunikationskanal für Bür ger, Unternehmen und Behörden. Auch Behörden betreiben bereits Call-Center und nutzen dafür teilweise Telefonanlagen mit Voice-over-IP (VoIP). Für diese Kommunikationsart sind im Bereich der Präsentation die Schnittstellen nach außen anzubieten und im Backend Schnittstellen zu Softwa re-Systemen bereitzustellen (Computer Telephony Integration – CTI). So können den Kunden auf Webseiten kontextabhängig VoIP-Verbindungen zu den jeweils spezialisierten Bearbeitern oder CallCenter-Mitarbeitern angeboten und beim Bearbeiter die bis dahin eingegebenen Daten medienbruch frei angezeigt werden. Empfohlen: H.323 PI H.323192 ist ein Standard für die Übertragung von Echtzeitverbindungen (Video, Audio, Daten) in pa ketorientierten Transportnetzen wie IP-Netzen. Die von der ITU-T veröffentlichte Spezifikation H.323 SOLLTE für die IP-Telefonie verwendet wer den. Empfohlen: Session Initiation Protocol (SIP) 2.0 PI SIP193 ist eine Spezifikation, die im Anwendungsbereich IP-Telefonie eingesetzt werden SOLLTE. Es beschreibt die Modalitäten zur Verbindungsaushandlung bzw. -vereinbarung. Die Kommunikations daten werden über andere, dafür geeignete Protokolle ausgetauscht. SIP wurde von der IETF in einer Reihe von RFCs beginnend mit RFC 3261 spezifiziert und erwei tert. 8.5 Anwendungsprotokolle Empfohlen: File Transfer Protocol (FTP) PI FTP194 ist ein Dateiübertragungsstandard, der zu den ältesten Internetdiensten gehört. Das Protokoll wird benutzt, um Dateien zwischen einem Client und einem Server auszutauschen. Im Jahr 1985 wurde FTP von der IETF veröffentlicht und SOLLTE nur für Anwendungen mit norma lem Schutzbedarf eingesetzt werden, da FTP sämtliche Daten unverschlüsselt überträgt. Mit dem RFC 2228195 wurde die Möglichkeit geschaffen, FTP über verschlüsselte Kanäle zu verwenden (FTPS). Bei gegebenem Schutzbedarf SOLLTE davon Gebrauch gemacht werden. Empfohlen: Hypertext Transfer Protocol (HTTP) 1.1 HTTP196 SOLLTE zur Übertragung von Daten zwischen Client und Web-Server verwendet werden. Im Jahr 1999 wurde HTTP in der Version 1.1 von der IETF als RFC 2616 veröffentlicht. Bei erhöhtem Schutzbedarf SOLLTE die HTTP-Übertragung mittels TLS gesichert werden (HTTPS). 192 193 194 195 196 http://www.itu.int/rec/T-REC-H.323/en http://tools.ietf.org/html/rfc3261 http://tools.ietf.org/html/rfc959 http://tools.ietf.org/html/rfc2228 http://tools.ietf.org/html/rfc2616 PI 8.5 Anwendungsprotokolle 61 Empfohlen: Online Service Computer Interface (OSCI)-Transport 1.2 PI OSCI-Transport197 unterstützt Transaktionen in Form von Web Services und deren vollständige Ab wicklung über das Internet. Als Teil des Online Service Computer Interface (OSCI) löst OSCI-Trans port die Querschnittsaufgaben im Sicherheitsbereich. Als sicheres Übertragungsprotokoll ermöglicht es verbindliche (auch SigG-konforme) Online-Transaktionen. Im Jahr 2002 wurde OSCI-Transport in der Version 1.2 durch den KoopA ADV veröffentlicht. Empfohlen: Secure Shell, Version 2 (SSH-2) PI Das Secure Shell (SSH) Protokoll198 SOLLTE in der Version 2 für die Absicherung von Netzwerkdiens ten über unsichere Netze verwendet werden. SSH-2 wurde ab 2006 von der IETF in mehreren RFCs (RFC 4250-4256, u. a.)199 spezifiziert. Empfohlen: Transport Layer Security (TLS) 1.0 / 1.2 PI TLS200 ist ein kryptografisches Protokoll, das eingesetzt werden SOLLTE, um die Informationssicher heit hinsichtlich der Eigenschaften Vertraulichkeit und Integrität in IP-basierten Netzwerken (z. B. dem Internet) sicherzustellen. TLS eignet sich zur Sicherung verschiedener Protokolle, z. B. HTTP. Die IETF gibt TLS heraus. Version 1.0 ist im RFC 2246201 und Version 1.2 im RFC 5246202 spezifi ziert. TLS 1.0 unterstützt lediglich Verschlüsselung auf Basis der veralteten Verfahren IDEA und TripleDES. Für höhere Sicherheitsanforderungen SOLLTE TLS 1.2 verwendet werden. Falls Web-Browser als Client zur Anwendung kommen, SOLLTE zusätzlich TLS 1.0 unterstützt werden, da der verbreitete Browser Firefox bisher nur TLS 1.0 implementiert hat. Wenn die Sicherheitsanforderungen für die Verwendung von TLS 1.0 zu hoch sind, SOLLTE ausschließlich TLS 1.2 eingesetzt werden und die Anwender MÜSSEN darauf hingewiesen werden, Firefox nicht zu verwenden. Empfohlen: WWW Distributed Authoring and Versioning (WebDAV) PI WebDAV203 ist eine Spezifikation, die als Erweiterung von HTTP das Schreiben und Verändern von Dateien in Netzwerken ermöglicht. Im Juni 2007 wurde WebDAV von der IETF als RFC 4918 herausgeben. Beobachtet: Online Service Computer Interface (OSCI)-Transport 2.0 Siehe Online Service Computer Interface (OSCI)-Transport 1.2 im gleichen Abschnitt. Im Unterschied zu Version 1.2 übernimmt OSCI-Transport 2.0 mittlerweile verfügbare Protokolle des Web-Service-Stack. Daher ist OSCI-Transport 2.0 nicht abwärtskompatibel zur Version 1.2. OSCI-Transport 2.0204 wurde im April 2010 durch den KoopA ADV veröffentlicht. 197 198 199 200 201 202 203 204 http://www.xoev.de/ → „Download“ → „OSCI Transport 1.2“ → „OSCI-Transport 1.2 - Spezifikation“ http://datatracker.ietf.org/wg/secsh/ http://datatracker.ietf.org/wg/secsh/ http://tools.ietf.org/html/rfc2246 http://tools.ietf.org/html/rfc2246 http://tools.ietf.org/html/rfc5246 http://tools.ietf.org/html/rfc4918 http://www.xoev.de/ → „Download“ → „OSCI-Transport 2.0“ PI 8.5 Anwendungsprotokolle 62 Beobachtet: Service Provisioning Markup Language (SPML) v2 PI SPML205 ist ein auf XML basierendes Protokoll, das zum systemübergreifenden Austausch von In formationen zu Benutzern, Ressourcen und Berechtigungen eingesetzt werden KANN. Im Jahr 2006 wurde SPML v2 von der OASIS herausgegeben. Beobachtet: Extensible Messaging and Presence Protocol (XMPP) PI XMPP206 KANN als Protokoll zur Übermittlung von kurzen Textnachrichten in Echtzeit, sogenanntes Instant Messaging, verwendet werden. Im Jahr 2004 wurde XMPP als RFC 3920 - RFC 3923 von der IETF veröffentlicht. Beobachtet: File Transfer and Access Management (FTAM) PI FTAM207 ermöglicht den Transport von Dateien. Dabei erlaubt FTAM u. a. gesicherten Transfer und Wiederanlaufmechanismen nach Verbindungsunterbrechungen. Bereits 1988 wurde FTAM als ISO 8571 normiert. FTAM KANN für die gesicherte Übertragung in Verfahren mit hohem Transfervolumen verwendet werden. Bestandsgeschützt: Hypertext Transfer Protocol (HTTP) 1.0 PI Siehe Hypertext Transfer Protocol (HTTP) 1.0 im Abschnitt 7.10.2 „Austauschformate für Au dio-Streaming“ auf Seite 48. Bestandsgeschützt: Secure Sockets Layer (SSL) 3.0 PI Bis zu SAGA 2.1 war SSL zusammen mit dem Nachfolge-Standard TLS als „Obligatorisch“ klassifi ziert. Für neue Software-Systeme SOLLTE TLS unterstützt werden. SSL 3.0 KANN für bestehende An wendungen weiter genutzt werden, dagegen DARF SSL 2.0 wegen Sicherheitsmängeln NICHT mehr zum Einsatz kommen. Bestandsgeschützt: Service Provisioning Markup Language (SPML) v1.0 SPML v1.0 wurde zusammen mit SPML v2 im Zuge von SAGA 3.0 in die Vorschlagsliste aufge nommen. SPML v1.0 wurde mit SAGA 4.0 auf die Bestandsschutzliste verschoben. 8.6 Geodienste Alle Spezifikationen in diesem Abschnitt sind entweder Spezifikationen des Open Geospatial Con sortium (OGC)208 oder bauen auf diesen auf. Die Klassifikationen wurden mit der Geodateninfra struktur Deutschland (GDI-DE)209 abgestimmt und orientieren sich am GDI-DE Architekturkonzept 205 206 207 208 209 http://www.oasis-open.org/committees/download.php/17708/pstc-spml-2.0-os.zip http://tools.ietf.org/html/rfc3920 u. a. http://www.iso.org/ siehe http://www.opengeospatial.org/ eine Initiative von Bund, Ländern und Kommunen für den Aufbau einer länder- und ressortübergrei fenden Geodateninfrastruktur Deutschland, siehe http://www.gdi-de.org/ PI 8.6 Geodienste 63 2.0210. Dieses Konzept enthält außerdem weitere Empfehlungen, die über die in SAGA klassifizierten Spezifikationen hinausgehen und die bei der Umsetzung von Geodiensten beachtet werden SOLLTEN. Die Festlegung von Formaten für den Austausch von Geoinformationen erfolgt im Abschnitt 7.12 auf Seite 50. Verbindlich: Catalogue Services Specification 2.0.2 – ISO Metadata Application Profile 1.0 PI OGC-CSW OpenGIS Catalogue Service Specification 2.0.2 – ISO Metadata Application Profile, Version 1.0211 ist ein Standard für einen Suchdienst und MUSS für einen webbasierten Zugriff auf Me tadaten über Geodaten, Geodatendienste und Anwendungen verwendet werden. Die Version 1.0 wurde 2007 vom OGC veröffentlicht. Soll ein CSW als INSPIRE Suchdienst eingesetzt werden, MUSS die INSPIRE-Umsetzungsanleitung „Technical Guidance to implement INSPIRE Discovery Services“ 212 basierend auf dem CSW 2.0.2 – ISO Metadata Application Profile 1.0 verwendet werden, um eine Konformität zur EU-Richtline IN SPIRE sicherzustellen. Verbindlich: Web Map Service (WMS) 1.3.0 PI WMS213 dient dazu, über eine standardisierte Schnittstelle Kartensichten auf geografische Informa tionen in Bildformaten anzuzeigen. Der Dienst bietet optional auch die Möglichkeit, Attributinfor mationen zu einem so genannten Karten-Layer über eine Bildkoordinate (Pixel) abzufragen. Die Spezifikation wurde im Jahre 2000 in der Version 1.0 vom OGC veröffentlicht und liegt seit März 2006 in der Version 1.3.0 vor. Die ISO hat WMS als ISO 19128:2005 normiert. Soll ein Kartendienst für geografische Informationen eingesetzt werden, MUSS WMS 1.3.0 verwendet werden. Soll ein WMS als INSPIRE Darstellungsdienst eingesetzt werden, MUSS die INSPIRE-Um setzungsanleitung für Darstellungsdienste „Technical Guidance to implement INSPIRE View Ser vices“214 basierend auf dem WMS 1.3.0 verwendet werden, um eine Konformität zur EU-Richtline INSPIRE sicherzustellen. Verbindlich: Web Coverage Service (WCS) ≥1.1 WCS215 dient dazu, über eine standardisierte Schnittstelle mehrdimensionale gerasterte Geodaten be reitzustellen und ist wie der WFS grundsätzlich als Download-Dienst anzusehen. Die Spezifikation WCS wird vom OGC herausgegeben. WCS wurde im Jahre 2007 in der Version 1.1.2 veröffentlicht und liegt seit 2010 in der Version 2.0 vor. Soll ein WCS als INSPIRE Download-Dienst eingesetzt werden, MUSS die INSPIRE-Umsetzungsan leitung „Technical Guidance to implement INSPIRE Download Services“ 216 verwendet werden, um die Konformität zur EU-Richtline INSPIRE sicherzustellen. 210 siehe (GDI-DE 2010) 211 http://www.opengeospatial.org/standards/cat 212 http://inspire.jrc.ec.europa.eu/documents/Network_Services/TechnicalGuidance_DiscoveryServices_ v3.0.pdf 213 http://www.opengeospatial.org/standards/wms 214 http://inspire.jrc.ec.europa.eu/documents/Network_Services/TechnicalGuidance_ViewServices_v3.0. pdf 215 http://www.opengeospatial.org/standards/wcs PI 8.6 Geodienste 64 Verbindlich: Web Feature Service (WFS) 2.0 PI WFS217 definiert eine standardisierte Schnittstelle, die zum Herunterladen und optional zur Manipu lation von Geodaten im Format GML verwendet werden MUSS. Die Spezifikation wurde im Jahre 2005 in der Version 1.1 vom OGC veröffentlicht und liegt seit 2010 in der Version 2.0 vor. Soll ein WFS als INSPIRE Download-Dienst eingesetzt werden, MUSS die INSPIRE-Umsetzungsan leitung „Technical Guidance to implement INSPIRE Download Services“ 218 basierend auf dem WFS 2.0 verwendet werden, um eine Konformität zur EU-Richtline INSPIRE sicherzustellen. Empfohlen: Simple Feature Access – Part 2: SQL Option (SFA-2) 1.1.0 PI SFA-2219 spezifiziert ein SQL-Schema, das für die Speicherung, Abfrage und Manipulation von raumbezogenen Informationen über das SQL Call Level Interface (SQL/CLI) verwendet werden SOLLTE. Im Jahr 1999 wurde SFA-2 in der Version 1.1.0 vom OGC veröffentlicht und 2004 von der ISO als ISO 19125-2 normiert. Beobachtet: Simple Feature Access – Part 2: SQL Option (SFA-2) 1.2.1 PI Siehe Simple Feature Access – Part 2: SQL Option (SFA-2) 1.1.0 im gleichen Abschnitt. SFA-2 wurde im Jahr 2010 in der Version 1.2.1 vom OGC veröffentlicht. Beobachtet: Web Map Tile Service (WMTS) 1.0.0 PI WMTS220 dient dazu, auf bereits vorberechnete gekachelte Kartensichten standardisiert zuzugreifen. Im April 2010 wurde WMTS in der Version 1.0.0 vom OGC veröffentlicht und dient der Komplettie rung bestehender Darstellungsdienste zur webbasierten Distribution von digitalen Karten (WMS). WMTS KANN eingesetzt werden, um hoch performante und skalierbare webbasierte Anwendungen zur Visualisierung von Geoinformationen zu erstellen. Bestandsgeschützt: Web Feature Service (WFS) 1.1 PI WFS 1.1 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version 2.0 er setzt. Bestandsgeschützt: Web Feature Service (WFS) 1.0 WFS 1.0 wurde mit der Aktualisierung von SAGA 4.0 durch Version 1.1 ersetzt. 216 http://inspire.jrc.ec.europa.eu/documents/Network_Services/INSPIRE%20Draft%20Technical %20Guidance%20Download%20(Version%202.0).pdf 217 http://www.opengeospatial.org/standards/wfs 218 http://inspire.jrc.ec.europa.eu/documents/Network_Services/INSPIRE%20Draft%20Technical %20Guidance%20Download%20(Version%202.0).pdf 219 http://www.opengeospatial.org/standards/sfs 220 http://www.opengeospatial.org/standards/wmts PI 8.6 Geodienste 65 Bestandsgeschützt: Web Coverage Service (WCS) 1.0 PI WCS 1.0 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version ≥1.1 er setzt. Bestandsgeschützt: Web Map Service Deutschland (WMS-DE) 1.0 PI WMS-DE 1.0 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestands schutzliste verschoben. Stattdessen wurde WMS 1.3.0 in SAGA aufgenommen. 9 Backend 9.1 Zugriff auf Verzeichnisdienste Empfohlen: Lightweight Directory Access Protocol, Version 3 (LDAPv3) PI LDAP221 ist ein auf hierarchisch geordnete Informationen optimiertes Protokoll des Internets, das auf X.500 basiert und für den Zugriff auf Verzeichnisdienste verwendet werden SOLLTE. Im Juni 2006 wurde LDAPv3 von der IETF als RFC 4510 veröffentlicht. LDAP-Server sind auf sehr kurze Latenzzeiten bei Lesezugriffen optimiert und bieten einfache Suchfunktionen in verteilten Verzeichnisdiensten. Beobachtet: Directory Services Markup Language (DSML) v2.0 PI DSML222 bietet die Möglichkeit, Anfragen und Änderungen an einen Verzeichnisdienst als XMLDokument zu senden. DSML v2.0 Dokumente können vielfältig verwendet werden, z. B. können sie via HTTP an einen Server zur Weiterverarbeitung geschickt werden. Im April 2002 wurde DSML v2.0 als OASIS-Standard verabschiedet. Der Zugriff auf Verzeichnisdienste KANN unter Verwendung dieser Spezifikation erfolgen, falls kein LDAP-Client zur Verfügung steht oder das LDAP-Protokoll durch eine Firewall blockiert wird. Beobachtet: Universal Description, Discovery and Integration (UDDI) v2.0 UDDI223 ist die Basis für den Aufbau einer standardisierten, interoperablen Plattform, die das einfa che, schnelle und dynamische Auffinden von Web Services erlaubt. Es setzt auf Standards des W3C und der IETF auf, wie z. B. XML, HTTP, DNS und SOAP. Die Version 2.0 von UDDI wurde 2003 von der OASIS als Standard verabschiedet. 221 http://tools.ietf.org/rfc/index 222 http://www.oasis-open.org/committees/dsml/docs/DSMLv2.doc 223 http://www.oasis-open.org/specs/ PI 9.2 Zugriff auf Datenbanken und Registrys 66 9.2 Zugriff auf Datenbanken und Registrys Empfohlen: Java Database Connectivity (JDBC) 4.0 PI JDBC 4.0224 SOLLTE für eine datenbankunabhängige Verbindung zwischen einem auf Java basieren den Programm und einer SQL-Datenbank verwendet werden. Kommt aufgrund fachlicher Anforde rungen eine NoSQL-Datenbank zum Einsatz oder wird kein Java verwendet, SOLLTE der Datenbank zugriff über eine geeignete herstellerunabhängige Schnittstelle bzw. Spezifikation erfolgen. Im Jahr 2006 wurde JDBC in der Version 4.0 als JSR 221 vom JCP veröffentlicht. Beobachtet: Java Content Repository (JCR) 2.0 PI JCR225 spezifiziert ein abstraktes Modell und eine Java API für die Datenspeicherung und zugehörige Services von inhaltsorientierten Anwendungen. Vom JCP wurde JCR 2.0 im September 2009 als JSR 283 verabschiedet und ersetzt die ältere Versi on 1.0 (JSR 170)226. JCR KANN nicht nur für traditionelle Content Management Systeme (CMS), sondern für jede Anwen dung, die mit unstrukturierten digitalen Objekten und strukturierten Informationen umgehen muss, eingesetzt werden. Beobachtet: Content Management Interoperability Services (CMIS) 1.0 PI CMIS227 definiert ein Modell und eine Reihe von Web Services, die von Anwendungen für den Zu griff auf Content Management Systeme (CMS) oder Repositorys verwendet werden KÖNNEN. Im Mai 2010 wurde CMIS 1.0 von der OASIS als Standard herausgegeben. Im Gegensatz zu Java Content Repository (JCR) beschreibt CMIS keine Programmierschnittstellen, sondern eine weitere Abstraktionsschicht, das auf bestehenden (z. B. auch JCR-konformen) CMS aufsetzt. Beobachtet: ebXML Registry Services and Protocols (ebXML RS) 3.0 / ebXML Registry Information Model (ebXML RIM) 3.0 „ebXML RS“228 beschreibt die Dienste und Protokolle, über die auf eine ebXML 229-konforme Re gistry zugegriffen werden KANN. Eine ebXML-Registry ist ein System, das beliebige Inhalte und zu gehörige, standardisierte Metadaten sicher verwaltet. „ebXML RIM“ 230 beschreibt das zugehörige In formationsmodell. Die Anwendung der Spezifikationen SOLLTE zusammen erfolgen. 2005 wurden „ebXML RS“ und „ebXML RIM“ von der OASIS in der Version 3.0 veröffentlicht. 224 225 226 227 228 229 230 http://jcp.org/en/jsr/detail?id=221 http://jcp.org/aboutJava/communityprocess/final/jsr283/ http://jcp.org/aboutJava/communityprocess/final/jsr170/ http://docs.oasis-open.org/cmis/CMIS/v1.0/os/cmis-spec-v1.0.html http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=regrep ebXML = Electronic Business using XML http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=regrep PI 9.2 Zugriff auf Datenbanken und Registrys 67 Bestandsgeschützt: Java Database Connectivity (JDBC) 3.0 PI JDBC 3.0 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version 4.0 er setzt. Bestandsgeschützt: Java Database Connectivity (JDBC) 2.0 PI Die Version 2.0 von JDBC war in SAGA 1.1 als „Obligatorisch“ klassifiziert. Mit der Aufnahme von J2xE 1.4 in SAGA 2.0 wurde auch das zugehörige JDBC 3.0 in SAGA 2.0 aufgenommen. 9.3 Zugriff auf Bestandssysteme In der deutschen Verwaltung werden verschiedene Bestands- oder Legacy-Systeme eingesetzt und mit einer hohen Wahrscheinlichkeit auch weiterhin betrieben (z. B. ERP, Mainframe-Transaktions verarbeitung, Datenbanksysteme und andere Legacy-Applikationen). Diese Legacy-Systeme können je nach unterstützter Betriebsart in drei Klassen gruppiert werden: a. transaktionsgesicherte Verarbeitung durch Endbenutzer mittels vorhandener Dialogsysteme, b. asynchrone Verarbeitung von Daten mit Stapelverarbeitungsprozessen (Massendatenverar beitung) und c. Programm-Programm-Kommunikation auf der Basis proprietärer Protokolle. Zur Integration von Bestandssystemen existieren zwei grundsätzliche Möglichkeiten: a. direkte Integration über so genannte „Legacy-Schnittstellen“ oder b. Integration über eine eigene Integrationsschicht, in welcher der eigentliche Zugriff auf die Bestandssysteme modular gekapselt wird. Detaillierte Lösungskonzepte müssen in Anbetracht der zu erreichenden Ziele, der zur Verfügung stehenden Zeit, des vorhandenen Budgets und der Funktionen, die bei der Integration des Bestands systems unterstützt werden sollen, bewertet und verglichen werden. Die folgenden Abschnitte skizzieren unterschiedliche Lösungskonzepte, die sich bei den drei ge nannten Betriebsarten bewährt haben. Die Spezifikation der zu übertragenden Datenelemente SOLLTE mittels der in Kapitel 4 „Datenmodel le“ auf Seite 16 und im Abschnitt 7.6 „Austauschformate für Daten“ auf Seite 35 benannten Spezifi kationen erfolgen. Verbindlich: Web Services Security (WS-Security) 1.1 PI Siehe Web Services Security (WS-Security) 1.1 im Abschnitt 8.1.1 „Kommunikation zwischen Ap plikationen innerhalb der Verwaltung“ auf Seite 54. Empfohlen: Java EE Connector Architecture (JCA) 1.6 JCA231 definiert eine Architektur, die eine Einbindung von heterogenen betrieblichen Informations systemen (Enterprise Information Systems – EIS) in die Java EE Plattform ermöglicht. 231 http://jcp.org/en/jsr/detail?id=322 I 9.3 Zugriff auf Bestandssysteme 68 Im Dezember 2009 wurde JCA in der Version 1.6 vom Java Community Process (JCP) als JSR 322 veröffentlicht. JCA 1.6 SOLLTE für den Zugriff auf Bestandssysteme aus einer auf Java EE 6 basierenden Anwen dung heraus verwendet werden. Empfohlen: Java Message Service (JMS) 1.1 I Siehe Java Message Service (JMS) 1.1 im Abschnitt 8.1.1 „Kommunikation zwischen Applikationen innerhalb der Verwaltung“ auf Seite 54. Empfohlen: Simple Object Access Protocol (SOAP) 1.1 PI Siehe Simple Object Access Protocol (SOAP) 1.1 im Abschnitt 8.1.1 „Kommunikation zwischen Ap plikationen innerhalb der Verwaltung“ auf Seite 54. Beobachtet: Simple Object Access Protocol (SOAP) 1.2 PI Siehe Simple Object Access Protocol (SOAP) 1.2 im Abschnitt 8.1.1 „Kommunikation zwischen Ap plikationen innerhalb der Verwaltung“ auf Seite 55. Bestandsgeschützt: UN/EDIFACT PI UN/EDIFACT war in SAGA 1.1 als „Empfohlen“ klassifiziert und wurde als Beispiel für weit ver breitete Industriestandards verwendet. Mit SAGA 2.0 wurde es auf die Bestandsschutzliste verscho ben. Bestandsgeschützt: J2EE Connector Architecture (JCA) 1.5 I JCA 1.5 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch die Version 1.6 er setzt. Bestandsgeschützt: Java to IDL Language Mapping (JAV2I) 1.0 JAV2I 1.0 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestandsschutz liste verschoben. 10 Verschlüsselung Die Überführung klar lesbarer Daten in einen nicht ohne weiteres lesbaren Geheimtext wird Ver schlüsselung genannt. Die Umkehrung wird als Entschlüsselung bezeichnet. Als Parameter werden in beiden Fällen Schlüssel verwendet. Algorithmen zur Verschlüsselung werden grundsätzlich in symmetrische und asymmetrische Verfahren unterschieden. Während symmetrische Verfahren zur Ver- bzw. Entschlüsselung den gleichen Schlüssel verwenden, nutzen asymmetrische Verfahren von einander verschiedene Schlüssel, ein sogenanntes Schlüsselpaar. Um die Vorteile asymmetrischer und symmetrischer Verfahren in der Praxis zu nutzen, werden oft Kombinationen beider Verfahren als sogenannte hybride Kryptosysteme verwendet. Dabei erfolgt die eigentliche Verschlüsselung der Daten mit einem symmetrischen Verfahren, um dessen große Ef fizienz zu nutzen. Der symmetrische Schlüssel wiederum wird zuvor mit einem asymmetrischen Al gorithmus verschlüsselt und zwischen Sender und Empfänger ausgetauscht oder durch Schlüsselaus I 10 Verschlüsselung 69 tauschverfahren vereinbart (z. B. Diffie-Hellman). Somit wird ein optimales Verhältnis zwischen Si cherheit und Performanz erreicht. 10.1 Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren werden auch Public-Key-Verfahren genannt, da sie ein Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel zum Verschlüsseln sowie einem privaten Schlüssel zum Entschlüsseln, verwenden. Asymmetrische Verschlüsselungsverfahren sind in der Regel wesentlich langsamer als symmetrische Verfahren, umgehen aber das Problem, einen geheimen Schlüssel zwischen Sender und Empfänger austauschen zu müssen. Empfohlen: RSA PI Das RSA-Verfahren232 wurde 1977 von Rivest, Shamir und Adleman entwickelt und ist das am wei testen verbreitete asymmetrische Verschlüsselungsverfahren. Die Parameter für den Einsatz des RSA-Verfahrens, wie z. B. die Schlüssellängen, sind entsprechend der aktuellen Empfehlungen der Bundesnetzagentur233 auszuwählen. 10.2 Symmetrische Verschlüsselungsverfahren Bei symmetrischen Verfahren erfolgen sowohl die Verschlüsselung als auch die Entschlüsselung mit tels des gleichen geheimen Schlüssels. Diese Verfahren sind im Allgemeinen sehr effizient. Der Nachteil solcher Verfahren liegt in der Notwendigkeit zur sicheren Übertragung des verwendeten Schlüssels. Verbindlich: Advanced Encryption Standard (AES) PI AES234 ist ein symmetrischer Blockchiffre und der am weitesten verbreitete symmetrische Verschlüs selungsalgorithmus. Herausgeber von AES ist das US-amerikanische National Institute of Standards and Technology (NIST). AES MUSS für die symmetrische Verschlüsselung verwendet werden. Bestandsgeschützt: International Data Encryption Algorithm (IDEA) PI In SAGA 2.0 wurde IDEA als „Obligatorisch“ klassifiziert. In SAGA 2.1 wurde es von AES ver drängt. Bestandsgeschützt: Triple Data Encryption Standard (Triple-DES) Der in SAGA 2.0 eingeführte symmetrische Kryptoalgorithmus Triple-DES war zuletzt in SAGA 2.1 als „Empfohlen“ klassifiziert worden. Mit SAGA 3.0 wurde Triple-DES auf die Bestandsschutzliste verschoben. 232 http://people.csail.mit.edu/rivest/Rsapaper.pdf 233 Siehe (BNETZA, 2011) 234 http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf PI 10.2 Symmetrische Verschlüsselungsverfahren 70 Bestandsgeschützt: Chiasmus PI Chiasmus ist ein symmetrischer Verschlüsselungsalgorithmus, der in der gleichnamigen Verschlüsse lungs-Software des BSI eingesetzt wird. 11 Elektronische Signatur Elektronische Signaturen dienen dazu, die Authentizität der Signaturersteller zu gewährleisten und die Integrität signierter Daten zu prüfen. In der deutschen Gesetzgebung werden einfache, fortgeschrittene und qualifizierte elektronische Si gnaturen sowie qualifizierte elektronische Signaturen mit Anbieterakkreditierung unterschieden. Für die Gewährleistung der Rechtsverbindlichkeit werden in der Praxis qualifizierte elektronische Signa turen benötigt. Im Wesentlichen hängt die Sicherheit von elektronischen Signaturen von der Stärke der zugrunde liegenden Algorithmen ab. Deren Sicherheit wiederum beruht darauf, dass diese mit der heutigen Technik nicht in vernünftiger Zeit gebrochen werden können. Daher liegt es nahe, dass eine ständige Sicherheitsprüfung erforderlich ist. Weitere Spezifikationen, die im Zusammenhang mit elektronischen Signaturen von Bedeutung sind, finden sich im Abschnitt 7.7.7 „Gesicherter Dokumentenaustausch“ auf Seite 42 und Kapitel 10 „Verschlüsselung“ auf Seite 68. Verbindlich: Kryptoalgorithmen nach Bundesnetzagentur für die elektronische Signatur PI Bei der Auswahl der Algorithmen und zugehörigen Parameter zur Erzeugung von Signaturschlüs seln, zum Hashen zu signierender Daten oder zur Erzeugung und Prüfung qualifizierter elektroni scher Signaturen MUSS der Algorithmenkatalog der Bundesnetzagentur235 in der jeweils aktuellen Ver sion angewendet werden. Er wird regelmäßig im Bundesanzeiger veröffentlicht. 11.1 Hashen von Daten Hash-Funktionen dienen dazu, Zeichenfolgen beliebiger Länge auf relativ kurze Zeichenfolgen fes ter Länge – den Hash-Werten – abzubilden. Eine im kryptografischen Sinne geeignete Hash-Funkti on zeichnet sich durch Kollisionsresistenz aus, d. h., dass verschiedene Zeichenfolgen stets auf ver schiedene Hash-Werte abgebildet werden. Dies wird im Kontext elektronischer Signaturen einge setzt, um nur den kurzen Hash-Wert zu signieren und nicht den vollständigen Datensatz. Die Algorithmen der ersten Generation (SHA-1) wurden aufgrund nicht garantierter Kollisionsresis tenz durch eine zweite Generation (SHA-2) ersetzt. Im jährlichen Rhythmus stellt die Bundesnetz agentur die Sicherheitseignung von Hash-Funktionen im Kontext von elektronischen Signaturen fest. Verbindlich: Secure Hash Algorithm (SHA-2) Zu den Algorithmen der SHA-2-Familie, spezifiziert unter FIPS PUB 180-3236, gehören SHA-224, SHA-256, SHA-384 und SHA-512. Sie unterscheiden sich in der Länge des Hash-Werts. Je nach be nötigtem Sicherheitsniveau MUSS einer dieser Algorithmen verwendet werden. 235 Siehe (BNETZA, 2011) 236 http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf PI 11.1 Hashen von Daten 71 Im Zusammenhang mit elektronischen Signaturen ergeben sich zusätzliche Anforderungen an die Eignung der verwendeten Hash-Funktion: SHA-256, SHA-384 und SHA-512 sind laut Bundesnetz agentur bis Ende 2017 für die Anwendung bei qualifizierten elektronischen Signaturen geeignet, SHA-224 hingegen nur bis Ende 2015.237 Bestandsgeschützt: Secure Hash Algorithm (SHA-1) PI In SAGA 2.1 wurde SHA-1 unterhalb der Klassifikationen von „SSL/TLS“, „XML Signature“, „XML Encryption“ und „Kryptoalgorithmen nach RegTP238“ in den Beschreibungen erwähnt. Mit SAGA 3.0 wurde Hash-Algorithmen ein eigener Abschnitt gewidmet, der sicherere Alternativen (z. B. SHA-256) enthalten hat. SHA-1 wurde auf die Bestandsschutzliste aufgenommen. Es darf laut Empfehlung der Bundesnetzagentur239 noch bis Ende 2015 aber ausschließlich zur Prü fung qualifizierter Zertifikate verwendet werden. Bestandsgeschützt: RIPEMD-160 PI RIPEMD-160 darf laut Empfehlung der Bundesnetzagentur240 noch bis Ende 2015 aber ausschließ lich zur Prüfung von qualifizierten Signaturen verwendet werden. 11.2 Asymmetrische Signaturverfahren Ein asymmetrisches Signaturverfahren besteht aus einem Signier- und einem Verifizierungsalgorith mus. Das Signaturverfahren hängt von einem Schlüsselpaar ab, bestehend aus einem privaten Schlüssel zum Signieren und dem dazugehörigen öffentlichen Schlüssel zum Verifizieren der Signa tur. Empfohlen: RSA PI Das RSA-Verfahren241 ist ein asymmetrisches Kryptosystem, welches sowohl für die Verschlüsse lung242 als auch bei der digitalen Signatur zum Einsatz kommen SOLLTE. Die Parameter für den Ein satz des RSA-Verfahrens, wie z. B. die Schlüssellängen, sind entsprechend der aktuellen Empfehlun gen der Bundesnetzagentur243 auszuwählen. Empfohlen: Digital Signature Algorithm (DSA) DSA244, im amerikanischen Digital Signature Standard (DSS) 1991 spezifiziert, ist ein reines Signa turverfahren und SOLLTE sowohl zur Erstellung als auch zur Prüfung von Signaturen verwendet wer den. Aktuell werden bis zum Jahr 2017 eine Schlüssellänge von 2048 Bit sowie bis 2015 eine Para meterlänge von 224 Bit für DSA empfohlen245. 237 Siehe (BNETZA, 2011) 238 Die Regulierungsbehörde für Telekommunikation und Post (RegTP) heißt seit 2005 Bundesnetz agentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA). 239 Siehe (BNETZA, 2011) 240 Siehe (BNETZA, 2011) 241 http://people.csail.mit.edu/rivest/Rsapaper.pdf 242 Siehe RSA im Abschnitt 10.1 „Asymmetrische Verschlüsselungsverfahren“ auf Seite 69 243 Siehe (BNETZA, 2011) 244 http://csrc.nist.gov/publications/PubsFIPS.html 245 Siehe (BNETZA, 2011) PI 11.2 Asymmetrische Signaturverfahren 72 RSA und DSA sind im Kontext von Signaturen bezüglich Nutzen und Sicherheit gleichberechtigt. Das RSA-Verfahren ist in der Praxis jedoch weiter verbreitet. 11.3 Key Management Sowohl im Kontext von elektronischen Signaturen als auch bei der Verschlüsselung spielen Schlüs sel eine zentrale Rolle. Zum Management sowie zum Austausch und zur Prüfung dieser Schlüssel MÜSSEN jedoch geeignete Strukturen vorhanden sein. Empfohlen: XML Key Management Specification (XKMS) 2.0 PI XKMS 2.0246 spezifiziert Protokolle zur Registrierung und Verteilung von öffentlichen Schlüsseln (Public Keys). Die Protokolle sind für das Zusammenspiel mit XML Signature und XML Encryption entworfen worden und finden ihr Anwendungsgebiet deshalb bei XML-basierter Kommunikation, wie z. B. bei Web Services. Die Spezifikation besteht aus zwei Teilen: die XML Key Registration Service Specification (X-KRSS) und die XML Key Information Service Specification (X-KISS). Clients können vergleichsweise einfache XKMS-Anfragen zum Auffinden und Validieren von Public Keys einsetzen und Relay-Server greifen zur Beantwortung der Anfragen auf bestehende LDAP- und OCSP247-Infrastrukturen zu. Mit nur einem Protokoll können so parallel verschiedene Verzeichnis dienste genutzt werden. 12 Smartcards Als Smartcards bzw. Integrated Circuit Card (ICC) werden Chipkarten mit einem integrierten Schalt kreis bezeichnet. Im Gegensatz zu Chipkarten, welche nur der Speicherung von Daten dienen, kön nen Smartcards auch Daten verarbeiten. Sie können als Personal Security Environment dienen, um vertrauenswürdige Zertifikate und private Schlüssel sicher aufzubewahren und darüber hinaus als si chere Signaturerstellungseinheit fungieren. Smartcards werden in kontaktbehaftete und kontaktlose Smartcards unterschieden. Während kon taktbehaftete Smartcards über sichtbare, äußere Kontaktflächen verfügen, wird die Kommunikation mit den Lesegeräten bei kontaktlosen Smartcards über Funkkommunikation (Radio Frequency IDen tification – RFID) hergestellt. 12.1 Kontaktbehaftete Smartcards Verbindlich: Identification Cards – Integrated circuit cards Die internationale Norm ISO 7816248 vereinheitlicht die wesentlichen elektrischen und physikali schen Merkmale von kontaktbehafteten Smartcards. Dazu zählen Größe, Anordnung und Funktion der Kartenkontakte, Übertragungsprotokolle zwischen Smartcard und Terminal, Nummerierungssys teme sowie Sicherheitsaspekte. 246 http://www.w3.org/TR/xkms2/ 247 OCSP = Online Certificate Status Protocol 248 http://www.iso.org/ PI 12.2 Kontaktlose Smartcards 73 12.2 Kontaktlose Smartcards Verbindlich: Identification Cards – Contactless integrated circuit cards PI Die physikalischen und elektrischen Eigenschaften sowie die von kontaktlosen Smartcards verwen deten Protokolle werden in der Norm ISO 14443249 spezifiziert. Solche Smartcards kommen bei Identifikationssystemen, Zugangskontrollen und Bezahlsystemen zum Einsatz. 12.3 Lesegeräte und Schnittstellen für Smartcards Verbindlich: BSI – Technische Richtlinie „eCard-API-Framework“ (BSI TR-03112) ≥1.1 PI Das eCard-API-Framework250 umfasst eine Reihe von einfachen und plattformunabhängigen Schnitt stellen und vereinheitlicht die Kommunikation zwischen den jeweiligen Anwendungen und den ein gesetzten Smartcards. Es bildet das technische Fundament für die eCard-Strategie der Bundesregie rung und liegt seit Mai 2011 in Version 1.1.1 vor. Verbindlich: BSI – Technische Richtlinie für die eCard-Projekte der Bundesregierung (BSI TR-03116) ≥3.0 PI Die Technische Richtlinie BSI TR-06116251 stellt eine Vorgabe für die Sicherheitsanforderungen beim Einsatz kryptografischer Verfahren in den eCard-Projekten der Bundesregierung dar. Teil 1 der Richtlinie behandelt die elektronische Gesundheitskarte (eGK) und Teil 2 hoheitliche Dokumente, u. a. den neuen Personalausweis (nPA) und den elektronischen Reisepass. Empfohlen: Interoperability Specification for ICCs and Personal Computer Systems (PC/SC) 2.x PI Der von der PC/SC Workgroup veröffentlichte Standard252 beschreibt eine Schnittstelle zwischen Kartenlesegerät und Anwendungen. Empfohlen: Secure Interoperable ChipCard Terminal (SICCT) 1.20 SICCT253 definiert ein generisches Basiskonzept für interoperable und applikationsunabhängige Smartcard-Terminals auf Basis von bestehenden Normen (ISO 7816, ISO 14443) und Industriestan dards (MKT254, PC/SC, EMV255) zu Kartenterminals und Smartcards. Somit entsteht ein interopera bler und sicherer Kontext für den Betrieb von diversen Smartcard-Arten. 249 http://www.iso.org/ 250 https://www.bsi.bund.de → „Publikationen“ → „Technische Richtlinen“ → „eCard-API-Frame work“ 251 https://www.bsi.bund.de/TR → „Publikationen“ → „Technische Richtlinen“ → „BSI TR-03116 eCard-Projekte der Bundesregierung“ 252 http://www.pcscworkgroup.com/specifications/overview.php 253 http://www.teletrust.de/uploads/media/SICCT-Spezifikation-120.pdf 254 MKT = Multifunktionale Kartenterminals 255 Spezifikation für Zahlungskarten, EMV = Europay International (heute MasterCard Europe), Mas terCard, VISA PI 12.3 Lesegeräte und Schnittstellen für Smartcards 74 Empfohlen: Common PKI Specifications for Interoperable Applications (Common PKI) 2.0 PI Siehe Common PKI Specifications for Interoperable Applications (Common PKI) 2.0 im Abschnitt 7.7.7 „Gesicherter Dokumentenaustausch“ auf Seite 42. Bestandsgeschützt: BSI – Technische Richtlinie „eCard-API-Framework“ (BSI TR03112) 1.0 PI Version 1.0 der Technischen Richtlinie des BSI „eCard-API-Framework“ wurde mit dem SAGAModul „Technische Spezifikationen“ 5.0.0 durch Version 1.1 ersetzt. Bestandsgeschützt: BSI – Technische Richtlinie für die eCard-Projekte der Bundesre gierung (BSI TR-03116) 1.0 PI Version 1.0 der Technischen Richtlinie für die eCard-Projekte der Bundesregierung des BSI wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version 3.0 ersetzt. Bestandsgeschützt: Secure Interoperable ChipCard Terminal (SICCT) 1.10 PI SICCT 1.10 wurde mit der Aktualisierung von SAGA 4.0 durch Version 1.20 ersetzt. Bestandsgeschützt: Common ISIS-MTT Specifications for Interoperable PKI Applica tions (Common PKI) 1.1, Teil 7 PI Common PKI 1.1, Teil 7 wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 durch Version 2.0 ersetzt. 13 Langzeitspeicherung Mit Langzeitspeicherung wird hier die langfristige, rechts- und revisionssichere elektronische Spei cherung von aufbewahrungspflichtigen elektronischen Dokumenten und Daten sowie der dazugehö rigen elektronischen Metadaten bezeichnet. Empfohlen: BSI – Technische Richtlinie „Beweiswerterhaltung kryptographisch si gnierter Dokumente“ (BSI TR-03125) ≥1.1 PI Die Technische Richtlinie BSI TR-03125256 definiert Anforderungen zum Beweiswerterhalt bei der elektronischen Aufbewahrung von kryptografisch signierten elektronischen Dokumenten bis zum Ende ihrer Aufbewahrungsfrist. Im Zentrum stehen Begriffe wie Verfügbarkeit, Lesbarkeit, Integrität, Authentizität, Datensicherheit und Datenschutz von elektronischen Daten. Empfohlen: PDF/Archive 1 (PDF/A-1) PDF257 ist ein Format zum Austausch und zur Ansicht elektronischer Dokumente unabhängig von der Umgebung, in der sie erstellt wurden. PDF/A-1 basiert auf PDF 1.4 und definiert Einschränkungen, sodass die speziellen Anforderungen der Langzeitspeicherung durch das PDF-Format erfüllt werden. 256 https://www.bsi.bund.de → „Publikationen“ → „Technische Richtlinien“ → „BSI TR-03125 Be weiswerterhaltung kryptographisch signierter Dokumente“ 257 http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=38920 PI 13 Langzeitspeicherung 75 Seit 2005 ist PDF/A-1 durch die ISO als ISO 19005-1 normiert. Empfohlen: Joint Photographic Experts Group (JPEG) PI JPEG258 SOLLTE für die Langzeitspeicherung von Fotos und Grafiken mit Farbverläufen, bei denen die verlustbehaftete Kompression dieses Formates unschädlich ist, verwendet werden. JPEG-Dateien bieten für derartige Bilder eine hohe Kompressionsrate. 1992 wurde JPEG von der Joint Photographic Experts Group veröffentlicht und 1994 von der ISO als ISO/IEC 10918-1 normiert. Empfohlen: Tagged Image File Format (TIFF) 6.0 PI Siehe Tagged Image File Format (TIFF) 6.0 im Abschnitt 7.8 „Austauschformate für Bilder“ auf Sei te 44. Empfohlen: Extensible Markup Language (XML) 1.0 PI Siehe Extensible Markup Language (XML) 1.0 im Abschnitt 7.6 „Austauschformate für Daten“ auf Seite 35. XML 1.0 SOLLTE im Bereich der Langzeitspeicherung von Metadaten und stark strukturierten Daten verwendet werden. Insbesondere bei der Langzeitspeicherung schwach strukturierter Daten SOLLTEN andere Spezifikationen vorgezogen werden. Beobachtet: Joint Photographic Experts Group 2000 (JPEG 2000) / Part 1 PI Siehe Joint Photographic Experts Group 2000 (JPEG 2000) / Part 1 im Abschnitt 7.8 „Austauschfor mate für Bilder“ auf Seite 44. Bestandsgeschützt: ArchiSig, Grundsätze für die beweiskräftige und sichere Langzeit archivierung digital signierter Dokumente ArchiSig wurde mit dem SAGA-Modul „Technische Spezifikationen“ 5.0.0 auf die Bestandsschutz liste verschoben. 258 http://www.jpeg.org/jpeg/index.html I A Literatur A 76 Literatur (BFIT, 2011A) Die Beauftragte der Bundesregierung für Informationstechnik: IT-Angebot; 2011; http://www.cio.bund.de/DE/IT-Angebot/it_angebot_node.html; http://www.cio.bund.de/ → „IT-Angebot“ (BFIT, 2011B) Die Beauftragte der Bundesregierung für Informationstechnik: SAGA-Modul Grundlagen; Version de.bund 5.1.0, November 2011; http://www.cio.bund.de/saga (BFIT, 2011C) Die Beauftragte der Bundesregierung für Informationstechnik: SAGA-Modul Konformität; Version de.bund 5.1.0, November 2011; http://www.cio.bund.de/saga (BFIT, 2011D) Die Beauftragte der Bundesregierung für Informationstechnik: SAGA; 2011; http://www.cio.bund.de/saga (BNETZA, 2011) Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung; Juni 2011; http://www.bundesnetzagentur.de/cln_1932/DE/Sachgebiete/QES/Veroeffentlichungen/Algo rithmen/algorithmen_node.html; http://www.bundesnetzagentur.de/ → „Sachgebiete“ → „Qualifizierte elektronische Signatur“ → „Veröffentlichungen“ → „Algorithmen“ (BSI, 2011A) Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kataloge; 2011; https://www.bsi.bund.de/DE/Themen/weitereThemen/ITGrundschutzKataloge/itgrundschut zkataloge_node.html; http://www.it-grundschutz.de/ → „IT-Grundschutz-Kataloge“ (BSI, 2011B) Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Standards; 2011; https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITG rundsch utzStandards_node.html; http://www.it-grundschutz.de/ → „IT-Grundschutz-Standards“ (GDI-DE 2010) Arbeitskreis Architektur der GDI-DE und Koordinierungsstelle GDI-DE: Architektur der Geodateninfrastruktur Deutschland Version 2.0; September 2010; http://www.gdi-de.org/download/AK/A-Konzept_v2_100909.pdf; http://www.gdi-de.org/arbeitskreise/architektur → „Architektur der GDI-DE, Version 2.0“ B Abkürzungsverzeichnis B 77 Abkürzungsverzeichnis ANSI American National Standards Institute API Application Programming Interface BfIT Die/Der Beauftragte der Bundesregierung für Informationstechnik BIA Business Impact Analyse BMI Bundesministerium des Innern BMP Windows Bitmap BNetzA Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen BSI Bundesamt für Sicherheit in der Informationstechnik CAD Computer-Aided Design CLR Common Language Runtime CMS Content Management System CTI Computer Telephony Integration DCMI Dublin Core Metadata Initiative DIN Deutsches Institut für Normung e.V. ebXML Electronic Business using XML Ecma ein Eigenname (früher: European Computer Manufacturers Association) EDIFACT Electronic Data Interchange For Administration, Commerce and Transport EfA Einer-für-alle EIS Enterprise Information Systems EPC Event-driven Process Chain (Ereignisgesteuerte Prozesskette) ERP Enterprise Resource Planning (Planung der Unternehmensressourcen) ETSI European Telecommunications Standards Institute FIPS PUB Federal Information Processing Standards Publication GDI-DE Geodateninfrastruktur Deutschland GIF Graphics Interchange Format GIS Geoinformationssystem GNU GNU’s Not Unix GPL GNU General Public License GSM Global System for Mobile Communications I gültig nur für Individualentwicklungen, nicht für Produkte ICC Integrated Circuit Card B Abkürzungsverzeichnis 78 IEC International Electrotechnical Commission IETF Internet Engineering Task Force INSPIRE Infrastructure for Spatial Information in the European Community (Richtlinie 2007/2/EG vom 14. März 2007 des Europäischen Parlaments und des Rates vom 14. März 2007 zur Schaffung einer Geodateninfrastruktur in der Europäischen Ge meinschaft) ISMS Informationssicherheits-Managementsystem ISO International Organization for Standardization IT Informationstechnologie IT-Rat Rat der IT-Beauftragten der Bundesressorts JCP Java Community Process JPEG Joint Photographic Experts Group JSR Java Specification Request KoopA ADV Kooperationsausschuss Automatisierte Datenverarbeitung Bund / Länder / Kommu naler Bereich LZW Lempel-Ziv-Welch-Algorithmus MPEG Moving Picture Experts Group NISO National Information Standards Organization NIST National Institute of Standards and Technology OASIS Organization for the Advancement of Structured Information Standards OCSP Online Certificate Status Protocol OGC Open Geospatial Consortium OMA Open Mobile Alliance OMG Object Management Group OSCI Online Service Computer Interface OSOA Open SOA Collaboration PDA Personal Digital Assistent PI gültig für Produkte und Individualentwicklungen PKI Public-Key-Infrastruktur RFC Request for Comments RFID Radio Frequency Identification SAGA ein Eigenname (ursprünglich: Standards und Architekturen für eGovernment-An wendungen) SGML Standard Generalized Markup Language B Abkürzungsverzeichnis SigG Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz) SOA Service-oriented architecture (Diensteorientierte Architektur) SQL Structured Query Language TCP Transmission Control Protocol TR Technical Report (Technischer Bericht / Technische Richtlinie) UCS Universal Character Set URL Uniform Resource Locator VoIP Voice over IP (Internettelefonie) W3C World Wide Web Consortium WfMC Workflow Management Coalition WS Web Service WS-I Web Services Interoperability Organization XHTML eXtensible HyperText Markup Language XML eXtensible Markup Language 3GPP 3rd Generation Partnership Project 79 C Strukturelle Übersicht klassifizierter Spezifikationen C 80 Strukturelle Übersicht klassifizierter Spezifikationen C.1 IT-Sicherheitskonzeption Abschnitt 2.1 Managementsysteme für Informationssicherheit Verbindlich Empfohlen Beobachtet - BSI-Standard 100-1 ≥1.5 Bestandsgeschützt - BSI-Standard 100-1 1.0 Abschnitt 2.2 IT-Grundschutz-Vorgehensweise Verbindlich Empfohlen Beobachtet - BSI-Standard 100-2 ≥2.0 Bestandsgeschützt - BSI-Standard 100-2 1.0 Abschnitt 2.3 Risikoanalyse Verbindlich Empfohlen Beobachtet - BSI-Standard 100-3 ≥2.5 Bestandsgeschützt - BSI-Standard 100-3 2.0 Abschnitt 2.4 Notfallmanagement Verbindlich Empfohlen Beobachtet Bestandsgeschützt - BSI-Standard 100-4 ≥1.0 Abschnitt 2.5 Umsetzung der Sicherheitskonzeption Verbindlich Empfohlen Beobachtet - BSI, IT-GrundschutzKataloge Bestandsgeschützt - BSI, E-GovernmentHandbuch, Modul „Authentisierung im E-Government“ - KoopA ADV, Handlungsleitfaden 1.1 C.2 Prozessmodelle Abschnitt 3.1 Technologien zur Prozessmodellierung Verbindlich Empfohlen Beobachtet Bestandsgeschützt - UML 2.x - Flussdiagramme - BPMN 1.1/1.2 - EPK - BPMN 2.0 - BPMN 1.0 - UML ≤1.5 C Strukturelle Übersicht klassifizierter Spezifikationen 81 Abschnitt 3.2 Austauschformate für Prozessmodelle Verbindlich Empfohlen Beobachtet Bestandsgeschützt - XMI 2.x - XPDL 2.1 - EPML 1.2 - XMI 1.x C.3 Datenmodelle Abschnitt 4.1 Technologien zur Datenmodellierung Verbindlich Empfohlen Beobachtet - ERD - UML 2.x Bestandsgeschützt - UML ≤1.5 Abschnitt 4.2 Austauschformate für Datenmodelle Verbindlich Empfohlen - XSD 1.0 - Relax NG - XMI 2.x Beobachtet Bestandsgeschützt - XMI 1.x - DTD Abschnitt 4.3 Beschreibungssprachen für Metadaten Verbindlich Empfohlen Beobachtet Bestandsgeschützt Beobachtet Bestandsgeschützt - RDF Abschnitt 4.4 Vokabulare für Metadaten Verbindlich Empfohlen - DCES C.4 Applikationsarchitektur Abschnitt 5.1 Applikationsarchitektur für große Projekte Verbindlich Empfohlen Beobachtet - Java EE 6 - CLI Bestandsgeschützt - Java EE 5 - J2EE 1.4 - J2EE 1.3 Abschnitt 5.2 Applikationsarchitektur für kleine und mittlere Projekte Verbindlich Empfohlen Beobachtet Bestandsgeschützt - Java SE 6 - PHP 5.x - C++ - Python - Ruby - CLI - J2SE 5.0 - J2SE 1.4 - J2SE 1.3 - PHP 4.x - Perl C Strukturelle Übersicht klassifizierter Spezifikationen 82 Abschnitt 5.3 Diensteorientierte Architekturen Verbindlich Empfohlen Beobachtet - WS-I Basic Profile 1.1 / 1.2 - WSDL 1.1 - WS-BPEL 2.0 - WS-I Basic Profile 2.0 - WSDL 2.0 - SCA 1.0 Bestandsgeschützt C.5 Client Abschnitt 6.1.3 Client-Anwendungen Verbindlich Empfohlen Beobachtet - Java SE 6 - JNLP 6.x Bestandsgeschützt - J2SE 5.0 - JNLP 1.5 Abschnitt 6.2 Informationszugriff mit mobilen Endgeräten Verbindlich Empfohlen Beobachtet Bestandsgeschützt - Java ME / MIDP 2.0 Abschnitt 6.4 Technologien zur Authentisierung Verbindlich Empfohlen Beobachtet Bestandsgeschützt - WS-Trust 1.3 - WS-Federation 1.1 - SAML ≥1.0 - XACML 2.0 - Kerberos 5 - Open-ID 2.0 - Open-ID 2.0 - ID-SIS 1.0 - ID-FF 1.2 - ID-WSF 1.1 - BSI, E-GovernmentHandbuch, Modul „Authentisierung im E-Government“ Beobachtet Bestandsgeschützt Beobachtet Bestandsgeschützt C.6 Präsentation Abschnitt 7.1 Barrierefreie Darstellung Verbindlich Empfohlen - BITV Abschnitt 7.2 Zeichensätze und -kodierungen Verbindlich - Unicode ≥2.1 - UTF-8 Empfohlen - ISO 8859-1 - ISO 8859-15 - UTF-16 C Strukturelle Übersicht klassifizierter Spezifikationen 83 Abschnitt 7.3 Technologien zur Informationsaufbereitung Verbindlich Empfohlen - MIME 1.0 - XHTML 1.0 - HTML 4.01 - CSS2 - XSL 1.1 - XSLT 1.0 / 2.0 - XQuery Beobachtet Bestandsgeschützt - HTML 3.2 - XSL 1.0 Abschnitt 7.4 Spezifikationen für aktive Inhalte Verbindlich Empfohlen Beobachtet rd Bestandsgeschützt - ECMAScript, 5th Ed. - ECMAScript, 3 Ed. Abschnitt 7.5 Formulare Verbindlich Empfohlen Beobachtet Bestandsgeschützt - XForms 1.1 - XForms 1.0 Empfohlen Beobachtet Bestandsgeschützt - XML 1.0 - EML 5.0 Abschnitt 7.6 Austauschformate für Daten Verbindlich Abschnitt 7.7.1 Formate für Textdokumente zum Informationsaustausch Verbindlich Empfohlen - PDF ≥1.4 - Text Beobachtet Bestandsgeschützt - PDF 1.3 Abschnitt 7.7.2 Formate für Textdokumente zur Weiterbearbeitung Verbindlich Empfohlen Beobachtet Bestandsgeschützt - Text - ODF 1.1 - OOXML Transitional - OOXML Strict - DocBook 4.5 - ODF 1.0 - MS Office File Formats - XML 1.0 Abschnitt 7.7.3 Formate für Tabellen zum Informationsaustausch Verbindlich Empfohlen - PDF ≥1.4 - CSV - HTML 4.01 - XHTML 1.0 Beobachtet Bestandsgeschützt - PDF 1.3 C Strukturelle Übersicht klassifizierter Spezifikationen 84 Abschnitt 7.7.4 Formate für Tabellen zur Weiterbearbeitung Verbindlich Empfohlen Beobachtet Bestandsgeschützt - CSV - ODF 1.1 - ODF 1.0 - OOXML Transitional - MS Office File - OOXML Strict Formats - XML 1.0 Abschnitt 7.7.5 Formate für Präsentationen zum Informationsaustausch Verbindlich Empfohlen Beobachtet Bestandsgeschützt - PDF ≥1.4 - HTML 4.01 - XHTML 1.0 - SMIL 3.0 - PDF 1.3 - SMIL 2.0 Abschnitt 7.7.6 Formate für Präsentationen zur Weiterbearbeitung Verbindlich Empfohlen Beobachtet Bestandsgeschützt - ODF 1.1 - ODF 1.0 - OOXML Transitional - MS Office File - OOXML Strict Formats - XML 1.0 Abschnitt 7.7.7 Gesicherter Dokumentenaustausch Verbindlich Empfohlen Beobachtet - Common PKI 2.0 - XadES ≥1.3.2 - XML Encryption - XML Signature Bestandsgeschützt - Common PKI 1.1 - ISIS-MTT 1.0 - MTT v2 - XadES 1.2 Abschnitt 7.8 Austauschformate für Bilder Verbindlich Empfohlen Beobachtet Bestandsgeschützt - JPEG - PNG 1.2 - GeoTIFF 1.8.2 - GIF v89a - TIFF 6.0 - SVG 1.1 - JPEG 2000 - ECW Empfohlen Beobachtet Bestandsgeschützt - GIF v89a - SVG 1.1 Abschnitt 7.9 Animation Verbindlich Abschnitt 7.10.1 Austauschformate für Audiodateien Verbindlich Empfohlen Beobachtet Bestandsgeschützt - Ogg - MP4 - RealMedia - ASF 1.2 - mp3 C Strukturelle Übersicht klassifizierter Spezifikationen 85 Abschnitt 7.10.2 Austauschformate für Audio-Streaming Verbindlich Empfohlen Beobachtet Bestandsgeschützt - HTTP 1.1 - RTSP - Ogg - MP4 - RealMedia - ASF 1.2 - HTTP 1.0 Abschnitt 7.10.3 Austauschformate für Videodateien Verbindlich Empfohlen Beobachtet Bestandsgeschützt - Ogg - MP4 - ASF 1.2 - QTFF - RealMedia Abschnitt 7.10.4 Austauschformate für Video-Streaming Verbindlich Empfohlen Beobachtet Bestandsgeschützt - HTTP 1.1 - MP4 - Ogg - RTSP - ASF 1.2 - HTTP 1.0 - QTFF - RealMedia Beobachtet Bestandsgeschützt Abschnitt 7.11 3D-Daten Verbindlich Empfohlen - X3D Ed. 2 - U3D, 4th Ed. Abschnitt 7.12 Austauschformate für Geoinformationen Verbindlich Empfohlen - GML 3.2.x - CityGML 1.0.0 - GeoTIFF 1.8.2 - KML 2.2.0 Beobachtet Bestandsgeschützt - GML 3.1.1 - GML 3.0 - GML 2.1.2 - GML 2.0 Abschnitt 7.13 Datenkompression Verbindlich Empfohlen Beobachtet - ZIP 4.5 - Gnu ZIP 4.3 / TAR Bestandsgeschützt - ZIP 2.0 Abschnitt 7.14 Technologien für die Präsentation auf mobilen Endgeräten Verbindlich - SMS Empfohlen Beobachtet Bestandsgeschützt - XHTML Basic 1.1 - WAP 2.0 - XHTML Basic 1.0 - WAP 1.x - WML 1.x C Strukturelle Übersicht klassifizierter Spezifikationen 86 C.7 Kommunikation Abschnitt 8.1.1 Kommunikation zwischen Applikationen innerhalb der Verwaltung Verbindlich Empfohlen Beobachtet Bestandsgeschützt - WS-Security 1.1 - SOAP 1.1 - MTOM - JMS 1.1 - HTTP 1.1 - Java Portlet Specification ≥1.0 - WSRP ≥1.0 - SOAP 1.2 - WS-Security 1.0 - SwA - JCA 1.5 - CORBA - JAV2I 1.0 - HTTP 1.0 Abschnitt 8.1.2 Kommunikation mit verwaltungsexternen Applikationen Verbindlich Empfohlen Beobachtet Bestandsgeschützt - WS-Security 1.1 - SOAP 1.1 - MTOM - HTTP 1.1 - SOAP 1.2 - WS-Security 1.0 - SwA - CORBA - HTTP 1.0 Beobachtet Bestandsgeschützt Abschnitt 8.2 Netzwerkprotokolle Verbindlich Empfohlen - IPv4/IPv6 - DNS Abschnitt 8.3 E-Mail-Kommunikation Verbindlich Empfohlen Beobachtet Bestandsgeschützt - MIME 1.0 - SMTP - Common PKI 2.0 - IMAP4rev1 - POP3 - DKIM - Sender ID - SPF 1.0 - Common PKI 1.1 - ISIS-MTT 1.0 - MTTv2 Beobachtet Bestandsgeschützt Empfohlen Beobachtet Bestandsgeschützt - FTP - HTTP 1.1 - OSCI-Transport 1.2 - SSH-2 - TLS 1.0 / 1.2 - WebDAV - OSCI-Transport 2.0 - SPMLv2 - XMPP - FTAM - HTTP 1.0 - SSL 3.0 - SPML 1.0 Abschnitt 8.4 IP-Telefonie Verbindlich Empfohlen - H.323 - SIP 2.0 Abschnitt 8.5 Anwendungsprotokolle Verbindlich C Strukturelle Übersicht klassifizierter Spezifikationen 87 Abschnitt 8.6 Geodienste Verbindlich Empfohlen Beobachtet Bestandsgeschützt - Catalogue Services Specification 2.0.2 - WMS 1.3.0 - WCS ≥1.1 - WFS 2.0 - SFA-2 1.1.0 - SFA-2 1.2.1 - WMTS 1.0.0 - WFS 1.1 - WFS 1.0 - WCS 1.0 - WMS-DE 1.0 Empfohlen Beobachtet Bestandsgeschützt - LDAPv3 - DSML v2.0 - UDDI v2.0 C.8 Backend Abschnitt 9.1 Zugriff auf Verzeichnisdienste Verbindlich Abschnitt 9.2 Zugriff auf Datenbanken und Registrys Verbindlich Empfohlen Beobachtet Bestandsgeschützt - JDBC 4.0 - JCR 2.0 - CMIS 1.0 - ebXML RS 3.0 / ebXML RIM 3.0 - JDBC 3.0 - JDBC 2.0 Abschnitt 9.3 Zugriff auf Bestandssysteme Verbindlich Empfohlen Beobachtet Bestandsgeschützt - WS-Security 1.1 - JCA 1.6 - JMS 1.1 - SOAP 1.1 - SOAP 1.2 - UN/EDIFACT - JCA 1.5 - JAV2I 1.0 C.9 Verschlüsselung Abschnitt 10.1 Asymmetrische Verschlüsselungsverfahren Verbindlich Empfohlen Beobachtet Bestandsgeschützt - RSA Abschnitt 10.2 Symmetrische Verschlüsselungsverfahren Verbindlich - AES Empfohlen Beobachtet Bestandsgeschützt - IDEA - Triple-DES - Chiasmus C Strukturelle Übersicht klassifizierter Spezifikationen 88 C.10 Elektronische Signatur Abschnitt 11 Elektronische Signatur Verbindlich Empfohlen Beobachtet Bestandsgeschützt Beobachtet Bestandsgeschützt - Algorithmenkatalog der BNetzA Abschnitt 11.1 Hashen von Daten Verbindlich Empfohlen - SHA-2 - SHA-1 - RIPEMD-160 Abschnitt 11.2 Asymmetrische Signaturverfahren Verbindlich Empfohlen Beobachtet Bestandsgeschützt Beobachtet Bestandsgeschützt Beobachtet Bestandsgeschützt Beobachtet Bestandsgeschützt - RSA - DSA Abschnitt 11.3 Key Management Verbindlich Empfohlen - XKMS 2.0 C.11 Smartcards Abschnitt 12.1 Kontaktbehaftete Smartcards Verbindlich Empfohlen - Identification Cards – Integrated circuit cards Abschnitt 12.2 Kontaktlose Smartcards Verbindlich Empfohlen - Identification Cards – Contactless integrated circuit cards Abschnitt 12.3 Lesegeräte und Schnittstellen für Smartcards Verbindlich Empfohlen - BSI TR-03112 ≥1.1 - BSI TR-03116 ≥3.0 - PC/SC 2.x - SICCT 1.20 - Common PKI 2.0 Beobachtet Bestandsgeschützt - BSI TR-03112 1.0 - BSI TR-03116 1.0 - SICCT 1.10 - Common PKI 1.1 C Strukturelle Übersicht klassifizierter Spezifikationen 89 C.12 Langzeitspeicherung Abschnitt 13 Langzeitspeicherung Verbindlich Empfohlen Beobachtet Bestandsgeschützt - BSI TR-03125 ≥1.1 - PDF/A-1 - JPEG - TIFF 6.0 - XML 1.0 - JPEG 2000 - ArchiSig D Alphabetische Übersicht klassifizierter Spezifikationen D 90 Alphabetische Übersicht klassifizierter Spezifikationen Advanced Encryption Standard (AES).................................................................................................69 Advanced Systems Format (ASF) 1.2......................................................................................46, 48, 49 AES .......................................................................................................................................................69 ArchiSig, Grundsätze für die beweiskräftige und sichere Langzeitarchivierung digital signierter Do kumente.................................................................................................................................................75 ASF 1.2.....................................................................................................................................46, 48, 49 Barrierefreie Informationstechnik Verordnung (BITV).......................................................................30 BITV......................................................................................................................................................30 BPMN 1.0 ............................................................................................................................................14 BPMN 1.1/1.2.......................................................................................................................................13 BPMN 2.0..............................................................................................................................................14 BSI – Technische Richtlinie „Beweiswerterhaltung kryptographisch signierter Dokumente“ (BSI TR-03125) ≥1.1.....................................................................................................................................74 BSI – Technische Richtlinie „eCard-API-Framework“ (BSI TR-03112) 1.0......................................74 BSI – Technische Richtlinie „eCard-API-Framework“ (BSI TR-03112) ≥1.1....................................73 BSI – Technische Richtlinie für die eCard-Projekte der Bundesregierung (BSI TR-03116) ≥3.0......73 BSI – Technische Richtlinie für die eCard-Projekte der Bundesregierung (BSI TR-03116) 1.0........74 BSI TR-03112 1.0.................................................................................................................................74 BSI TR-03116 >3.0...............................................................................................................................73 BSI TR-30116 1.0.................................................................................................................................74 BSI TR-03125 >1.1...............................................................................................................................74 BSI TR-03112 >1.1...............................................................................................................................73 BSI-Standard 100-1 > 1.5.....................................................................................................................10 BSI-Standard 100-1 1.0.........................................................................................................................11 BSI-Standard 100-1: Managementsysteme für Informationssicherheit ≥1.5.......................................10 BSI-Standard 100-1: Managementsysteme für Informationssicherheit 1.0.........................................11 BSI-Standard 100-2 > 2.0.....................................................................................................................11 BSI-Standard 100-2 1.0.........................................................................................................................11 BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise ≥2.0...............................................................11 BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise 1.0..................................................................11 D Alphabetische Übersicht klassifizierter Spezifikationen 91 BSI-Standard 100-3 > 2.5 ....................................................................................................................11 BSI Standard 100-3 2.0.........................................................................................................................12 BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz ≥2.5......................................11 BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz 2.0........................................12 BSI-Standard 100-4 > 1.0.....................................................................................................................12 BSI-Standard 100-4: Notfallmanagement ≥1.0....................................................................................12 BSI, E-Government-Handbuch.............................................................................................................12 BSI, E-Government-Handbuch, Modul „Authentisierung im E-Government“...................................30 BSI, IT-Grundschutz-Kataloge.............................................................................................................12 Business Process Modeling Notation (BPMN) 1.0..............................................................................14 3.1Business Process Modeling Notation (BPMN) 1.1 / 1.2.................................................................13 Business Process Modeling Notation (BPMN) 2.0..............................................................................14 5.2C++....................................................................................................................................................... 21 Cascading Style Sheets, Level 2 (CSS2)..............................................................................................33 Catalogue Services Specification 2.0.2 – ISO Metadata Application Profile 1.0................................63 Chiasmus...............................................................................................................................................70 City Geography Markup Language (CityGML) 1.0.0..........................................................................50 CityGML 1.0.0......................................................................................................................................50 Common Language Infrastructure (CLI)........................................................................................19, 22 CMIS 1.0...............................................................................................................................................66 Comma-Separated Values (CSV)..........................................................................................................39 Common ISIS-MTT Specifications for Interoperable PKI Applications (Common PKI) 1.1, Teil 3..... .......................................................................................................................................................43 Common ISIS-MTT Specifications for Interoperable PKI Applications (Common PKI) 1.1, Teil 7..... .......................................................................................................................................................74 Common ISIS-MTT Specifications for Interoperable PKI Applications (Common PKI) 1.1, Teile 1 bis 6 .......................................................................................................................................................59 Common Language Infrastructure (CLI)........................................................................................19, 22 Common Object Request Broker Architecture (CORBA).............................................................56, 57 Common PKI 1.1, Teil 3.......................................................................................................................42 Common PKI 1.1, Teil 7.......................................................................................................................74 Common PKI 1.1, Teile 1 bis 6............................................................................................................59 Common PKI 2.0..................................................................................................................................42 D Alphabetische Übersicht klassifizierter Spezifikationen 92 CORBA...........................................................................................................................................56, 57 CSS2......................................................................................................................................................33 CSV.......................................................................................................................................................39 DCES.....................................................................................................................................................18 Digital Signature Algorithm (DSA)......................................................................................................71 DIN 66001.............................................................................................................................................13 Directory Services Markup Language (DSML) v2.0...........................................................................65 DKIM....................................................................................................................................................59 DNS.......................................................................................................................................................58 DocBook 4.5.........................................................................................................................................38 Document Type Definition (DTD)........................................................................................................17 Domain Name System (DNS)...............................................................................................................58 DomainKeys Identified Mail (DKIM)..................................................................................................59 DSA.......................................................................................................................................................71 DSML v2.0............................................................................................................................................65 DTD.......................................................................................................................................................17 4.4Dublin Core Metadata Element Set (DCES)...................................................................................18 ebXML Registry Information Model (ebXML RIM) 3.0.....................................................................66 ebXML Registry Services and Protocols (ebXML RS) 3.0..................................................................66 ebXML RIM 3.0 ...................................................................................................................................66 ebXML RS 3.0......................................................................................................................................66 ECMA-262............................................................................................................................................34 ECMAScript Language Specification, 3rd Edition..............................................................................34 ECMAScript Language Specification, 5th Edition..............................................................................34 ECW......................................................................................................................................................45 Election Markup Language (EML) 5.0.................................................................................................35 EML 5.0.................................................................................................................................................35 Enhanced Compressed Wavelet (ECW)...............................................................................................45 Entity-Relationship-Diagramme (ERD)...............................................................................................16 EPC Markup Language (EPML) 1.2....................................................................................................15 EPK .......................................................................................................................................................14 EPML 1.2..............................................................................................................................................15 ERD.......................................................................................................................................................16 D Alphabetische Übersicht klassifizierter Spezifikationen 93 3.1Ereignisgesteuerte Prozesskette (EPK)............................................................................................14 eXtensible 3D (X3D), Edition 2...........................................................................................................49 Extensible Access Control Markup Language (XACML) 2.0 ............................................................29 Extensible Hypertext Markup Language (XHTML) 1.0..........................................................32, 39, 40 Extensible Hypertext Markup Language (XHTML) Basic 1.0............................................................53 Extensible Hypertext Markup Language (XHTML) Basic 1.1............................................................53 Extensible Markup Language (XML) 1.0......................................................................................40, 75 eXtensible Markup Language (XML) 1.0................................................................................40, 40, 41 Extensible Messaging and Presence Protocol (XMPP)........................................................................62 Extensible Stylesheet Language (XSL) 1.0..........................................................................................34 Extensible Stylesheet Language (XSL) 1.1..........................................................................................33 Extensible Stylesheet Language Transformations (XSLT) 1.0 / 2.0....................................................33 File Transfer and Access Management (FTAM)...................................................................................62 File Transfer Protocol (FTP).................................................................................................................60 Flussdiagramme....................................................................................................................................13 FTAM....................................................................................................................................................62 FTP .......................................................................................................................................................60 Geo Tagged Image File Format (GeoTIFF) 1.8.2...........................................................................44, 50 Geography Markup Language (GML) 2.0............................................................................................51 Geography Markup Language (GML) 2.1.2.........................................................................................51 Geography Markup Language (GML) 3.0............................................................................................51 Geography Markup Language (GML) 3.1.1.........................................................................................51 Geography Markup Language (GML) 3.2.x.........................................................................................50 GeoTIFF 1.8.2.................................................................................................................................44, 50 GIF v89a................................................................................................................................................44 GML 2.0................................................................................................................................................51 GML 2.1.2.............................................................................................................................................51 GML 3.0................................................................................................................................................51 GML 3.1.1.............................................................................................................................................51 GML 3.2.x.............................................................................................................................................50 7.13Gnu ZIP (GZIP) 4.3 / Tape ARchive (TAR)..................................................................................52 Graphics Interchange Format (GIF) v89a.......................................................................................44, 45 GZIP......................................................................................................................................................52 D Alphabetische Übersicht klassifizierter Spezifikationen 94 H.323.....................................................................................................................................................60 HTML 3.2..............................................................................................................................................34 HTML 4.01................................................................................................................................33, 39, 40 HTTP 1.0.......................................................................................................................48, 49, 56, 57, 62 HTTP 1.1.......................................................................................................................47, 49, 55, 57, 60 HTTPS...................................................................................................................................................60 Hypertext Markup Language (HTML) 4.01.............................................................................33, 39, 40 Hypertext Markup Language (HTML) 3.2...........................................................................................34 Hypertext Transfer Protocol (HTTP) 1.1......................................................................47, 49, 55, 57, 60 Hypertext Transfer Protocol (HTTP) 1.0......................................................................48, 49, 56, 57, 62 ID-FF 1.2...............................................................................................................................................30 ID-SIS 1.0..............................................................................................................................................30 ID-WSF 1.1...........................................................................................................................................30 ID-WSF 2.0...........................................................................................................................................29 IDEA.....................................................................................................................................................69 Identification Cards – Contactless integrated circuit cards..................................................................73 12.1Identification Cards – Integrated circuit cards..............................................................................72 Identity Web Services Framework (ID-WSF) 1.1................................................................................30 IMAP4rev1............................................................................................................................................58 Industrial Signature Interoperability Specification (ISIS)-MTT 1.0..............................................43, 59 International Data Encryption Algorithm (IDEA)................................................................................69 Internet Message Access Protocol, Version 4rev1 (IMAP4rev1).........................................................58 Internet Protocol Version 4 (IPv4)........................................................................................................57 Internet Protocol Version 6 (IPv6)........................................................................................................57 Interoperability Specification for ICCs and Personal Computer Systems (PC/SC) 2.x......................73 IPv4 .......................................................................................................................................................57 IPv6 .......................................................................................................................................................57 ISIS-MTT 1.0..................................................................................................................................43, 59 ISO 14443.......................................................................................................................................73, 73 ISO 15836.............................................................................................................................................18 ISO 19005-1..........................................................................................................................................75 ISO 19125-2..........................................................................................................................................64 ISO 19128:2005....................................................................................................................................63 D Alphabetische Übersicht klassifizierter Spezifikationen 95 ISO 19136:2007....................................................................................................................................50 ISO 23600:2006....................................................................................................................................38 ISO 32000.............................................................................................................................................36 ISO 7816...............................................................................................................................................72 ISO 8571...............................................................................................................................................62 ISO 8859-1............................................................................................................................................31 ISO 8859-15..........................................................................................................................................32 ISO/IEC 10646......................................................................................................................................31 ISO/IEC 10918-1............................................................................................................................43, 75 ISO/IEC 14496......................................................................................................................................46 ISO/IEC 15444-1..................................................................................................................................45 ISO/IEC 19503:2005.............................................................................................................................15 ISO/IEC 19757-2:2003.........................................................................................................................17 ISO/IEC 19775-1:2008.........................................................................................................................49 ISO/IEC 29361......................................................................................................................................23 ISO/IEC 29500 Strict................................................................................................................37, 39, 41 ISO/IEC 29500 Transitional.....................................................................................................37, 39, 41 J2EE 1.3................................................................................................................................................20 J2EE 1.4................................................................................................................................................20 J2EE Connector Architecture (JCA) 1.5.........................................................................................56, 68 J2SE 1.3.................................................................................................................................................23 J2SE 1.4.................................................................................................................................................22 J2SE 5.0...........................................................................................................................................22, 27 JAV2I 1.0.........................................................................................................................................56, 68 Java 2 Platform, Enterprise Edition (J2EE) 1.3....................................................................................20 Java 2 Platform, Enterprise Edition (J2EE) 1.4....................................................................................20 Java 2 Platform, Standard Edition (J2SE) 1.3......................................................................................22 Java 2 Platform, Standard Edition (J2SE) 1.4......................................................................................22 Java 2 Platform, Standard Edition (J2SE) 5.0................................................................................22, 27 Java Content Repository (JCR) 2.0.......................................................................................................66 Java Database Connectivity (JDBC) 2.0...............................................................................................67 Java Database Connectivity (JDBC) 3.0...............................................................................................67 Java Database Connectivity (JDBC) 4.0...............................................................................................66 D Alphabetische Übersicht klassifizierter Spezifikationen 96 Java EE 5...............................................................................................................................................20 Java EE 6...............................................................................................................................................19 Java EE Connector Architecture (JCA) 1.6..........................................................................................67 Java ME.................................................................................................................................................27 Java Message Service (JMS) 1.1....................................................................................................54, 68 Java Network Launching Protocol (JNLP) 1.5.....................................................................................27 Java Network Launching Protocol (JNLP) 6.x.....................................................................................27 Java Platform, Enterprise Edition (Java EE) 5.....................................................................................20 Java Platform, Enterprise Edition (Java EE) 6.....................................................................................19 Java Platform, Standard Edition (Java SE) 6..................................................................................20, 26 Java Plattform, Micro Edition (Java ME) / Mobile Information Device Profile (MIDP) 2.0.............27 Java Portlet Specification ≥1.0.............................................................................................................55 Java SE 6.........................................................................................................................................20, 26 8.1.1Java to IDL Language Mapping (JAV2I) 1.0.........................................................................56, 68 JCA 1.5............................................................................................................................................56, 68 JCA 1.6..................................................................................................................................................67 JCA 2.0..................................................................................................................................................66 JDBC 2.0...............................................................................................................................................67 JDBC 3.0...............................................................................................................................................67 JDBC 4.0...............................................................................................................................................66 JMS 1.1...........................................................................................................................................54, 68 JNLP 1.5................................................................................................................................................27 JNLP 6.x................................................................................................................................................27 Joint Photographic Experts Group (JPEG) ....................................................................................43, 75 Joint Photographic Experts Group 2000 (JPEG 2000) / Part 1......................................................44, 75 JPEG................................................................................................................................................43, 75 JPEG 2000.......................................................................................................................................44, 75 JSR 168.................................................................................................................................................54 JSR 170.................................................................................................................................................66 JSR 221.................................................................................................................................................66 JSR 283.................................................................................................................................................66 JSR 286.................................................................................................................................................55 JSR 322.................................................................................................................................................68 D Alphabetische Übersicht klassifizierter Spezifikationen 97 JSR 914.................................................................................................................................................54 Kerberos 5.............................................................................................................................................29 Keyhole Markup Language (KML) 2.2.0.............................................................................................51 KML 2.2.0.............................................................................................................................................51 KoopA ADV, Handlungsleitfaden für die Einführung der elektronischen Signatur und Verschlüsse lung in der Verwaltung 1.1....................................................................................................................12 Kryptoalgorithmen nach Bundesnetzagentur für die elektronische Signatur ......................................70 LDAPv3................................................................................................................................................65 Liberty Identity Federation Framework (ID-FF) 1.2............................................................................30 Liberty Identity Services Interface Specification (ID-SIS) 1.0............................................................30 Liberty Identity Web Services Framework (ID-WSF) 2.0...................................................................29 9.1Lightweight Directory Access Protocol, Version 3 (LDAPv3).......................................................65 MailTrusT (MTT) Version 2...........................................................................................................43, 59 Message Transmission Optimization Mechanism (MTOM)..........................................................54, 56 Microsoft Office File Formats.................................................................................................38, 40, 41 MIDP 2.0...............................................................................................................................................27 MIME 1.0..............................................................................................................................................32 Mobile Information Device Profile (MIDP) 2.0...................................................................................27 MP3 .......................................................................................................................................................47 MP4 .....................................................................................................................................46, 47, 48, 49 MPEG-1 Layer 3 (MP3).......................................................................................................................47 MPEG-4 Part 14 (MP4)......................................................................................................46, 47, 48, 49 MTOM............................................................................................................................................54, 56 MTT Version 2................................................................................................................................43, 59 Multipurpose Internet Mail Extensions (MIME) 1.0 ....................................................................32, 58 Office Open XML (OOXML) / ISO/IEC 29500 Strict............................................................37, 39, 41 Office Open XML (OOXML) / ISO/IEC 29500 Transitional..................................................37, 39, 41 OGC-CSW............................................................................................................................................63 Ogg .....................................................................................................................................46, 47, 48, 49 Ogg Encapsulation Format (Ogg).......................................................................................46, 47, 48, 49 8.5Online Service Computer Interface (OSCI)-Transport 1.2.............................................................61 Online Service Computer Interface (OSCI)-Transport 2.0...................................................................61 OOXML Strict .........................................................................................................................37, 39, 41 D Alphabetische Übersicht klassifizierter Spezifikationen 98 OOXML Transitional................................................................................................................37, 39, 41 Open Document Format for Office Applications (OpenDocument) 1.0..................................38, 40, 41 Open Document Format for Office Applications (OpenDocument) 1.1..................................37, 39, 41 Open-ID 2.0...........................................................................................................................................29 OpenDocument 1.0...................................................................................................................38, 40, 41 OpenDocument 1.1...................................................................................................................37, 39, 41 OSCI-Transport 1.2...............................................................................................................................61 OSCI-Transport 2.0...............................................................................................................................61 PC/SC 2.x..............................................................................................................................................73 PDF >1.4...................................................................................................................................36, 38, 40 PDF 1.3.....................................................................................................................................36, 39, 41 PDF/A-1................................................................................................................................................74 PDF/Archive 1 (PDF/A-1)....................................................................................................................74 Perl .......................................................................................................................................................22 PHP 4.x..................................................................................................................................................22 PHP 5.x..................................................................................................................................................21 PHP: Hypertext Preprocessor (PHP) 4.x..............................................................................................22 PHP: Hypertext Preprocessor (PHP) 5.x..............................................................................................21 PNG 1.2.................................................................................................................................................43 POP3......................................................................................................................................................58 Portable Document Format (PDF) ≥1.4....................................................................................36, 38, 40 Portable Document Format (PDF) 1.3......................................................................................36, 39, 41 Portable Network Graphics (PNG) 1.2.................................................................................................43 Post Office Protocol, Version 3 (POP3)................................................................................................58 Python....................................................................................................................................................21 QTFF...............................................................................................................................................48, 49 QuickTime File Format (QTFF).....................................................................................................48, 49 RDF.......................................................................................................................................................18 Real Time Streaming Protocol (RTSP)...........................................................................................47, 49 RealMedia (RM).................................................................................................................46, 47, 48, 49 Regular Language Description for XML New Generation (Relax NG)..............................................17 Relax NG...............................................................................................................................................17 Resource Description Framework (RDF).............................................................................................18 D Alphabetische Übersicht klassifizierter Spezifikationen 99 RFC 791................................................................................................................................................57 RFC 1034 und RFC 1035......................................................................................................................58 RFC 1939..............................................................................................................................................58 RFC 2045..............................................................................................................................................32 RFC 2246..............................................................................................................................................61 RFC 2326..............................................................................................................................................47 RFC 2460..............................................................................................................................................57 RFC 2616..............................................................................................................................................60 8.4RFC 3261.........................................................................................................................................60 RFC 3501..............................................................................................................................................58 RFC 3629..............................................................................................................................................31 RFC 3920 - RFC 3923..........................................................................................................................62 RFC 4120..............................................................................................................................................29 RFC 4180..............................................................................................................................................39 RFC 4250-4256.....................................................................................................................................61 RFC 4406 .............................................................................................................................................59 RFC 4408..............................................................................................................................................59 RFC 4510..............................................................................................................................................65 RFC 4871..............................................................................................................................................59 RFC 4918..............................................................................................................................................61 4.4RFC 5013.........................................................................................................................................18 RFC 5246..............................................................................................................................................61 RFC 5321..............................................................................................................................................58 RIPEMD-160........................................................................................................................................71 RM .....................................................................................................................................46, 47, 48, 49 RSA.................................................................................................................................................69, 71 RTSP................................................................................................................................................47, 49 Ruby......................................................................................................................................................21 SAML >1.0............................................................................................................................................29 SCA 1.0.................................................................................................................................................24 Scalable Vector Graphics (SVG) 1.1..............................................................................................44, 45 Secure Hash Algorithm (SHA-1)..........................................................................................................71 Secure Hash Algorithm (SHA-2)..........................................................................................................70 D Alphabetische Übersicht klassifizierter Spezifikationen 100 Secure Interoperable ChipCard Terminal (SICCT) 1.10......................................................................74 Secure Interoperable ChipCard Terminal (SICCT) 1.20......................................................................73 Secure Shell, Version 2 (SSH-2)...........................................................................................................61 Secure Sockets Layer (SSL) 3.0...........................................................................................................62 Security Assertion Markup Language (SAML) ≥1.0...........................................................................29 Sender ID...............................................................................................................................................59 Sender Policy Framework (SPF) 1.0....................................................................................................59 Service Component Architecture (SCA) 1.0........................................................................................24 Service Provisioning Markup Language (SPML) v1.0........................................................................62 Service Provisioning Markup Language (SPML) v2...........................................................................62 Session Initiation Protocol (SIP) 2.0.....................................................................................................60 SFA-2 1.1.0...........................................................................................................................................64 SFA-2 1.2.0...........................................................................................................................................64 SHA-1....................................................................................................................................................71 SHA-2....................................................................................................................................................70 Short Message Services (SMS).............................................................................................................52 SICCT 1.10............................................................................................................................................74 SICCT 1.20............................................................................................................................................73 Simple Feature Access – Part 2: SQL Option (SFA-2) 1.1.0................................................................64 Simple Feature Access – Part 2: SQL Option (SFA-2) 1.2.1................................................................64 Simple Mail Transfer Protocol (SMTP)................................................................................................58 Simple Object Access Protocol (SOAP) 1.1...................................................................................54, 56 Simple Object Access Protocol (SOAP) 1.2...................................................................................55, 57 SIP 2.0...................................................................................................................................................60 SMIL 2.0 ..............................................................................................................................................41 SMIL 3.0...............................................................................................................................................40 SMS.......................................................................................................................................................52 SMTP....................................................................................................................................................58 SOAP 1.1.........................................................................................................................................54, 56 SOAP 1.2.........................................................................................................................................55, 57 SOAP Messages with Attachments (SwA).....................................................................................56, 57 SPF 1.0..................................................................................................................................................59 SPML v1.0.............................................................................................................................................62 D Alphabetische Übersicht klassifizierter Spezifikationen 101 SPML v2................................................................................................................................................62 SSH-2....................................................................................................................................................61 SSL 3.0..................................................................................................................................................62 SVG 1.1...........................................................................................................................................44, 45 SwA.................................................................................................................................................56, 57 Synchronized Multimedia Integration Language (SMIL) 2.0..............................................................41 Synchronized Multimedia Integration Language (SMIL) 3.0..............................................................40 Tagged Image File Format (TIFF) 6.0............................................................................................44, 75 TAR .......................................................................................................................................................52 Text .................................................................................................................................................36, 36 TIFF 6.0...........................................................................................................................................44, 75 TLS 1.0 / 1.2..........................................................................................................................................61 Transport Layer Security (TLS) 1.0 / 1.2.............................................................................................61 Triple Data Encryption Standard (Triple-DES)....................................................................................69 Triple-DES............................................................................................................................................69 U3D 4th Edition.....................................................................................................................................50 UDDI v2.0.............................................................................................................................................65 UML < 1.5.......................................................................................................................................15, 16 UML 2.x..........................................................................................................................................13, 16 UN/EDIFACT.......................................................................................................................................68 Unicode >2.1.........................................................................................................................................31 Unified Modeling Language (UML) ≤1.5......................................................................................15, 16 Unified Modeling Language (UML) 2.x........................................................................................13, 16 Universal 3D (U3D) 4th Edition...........................................................................................................50 Universal Description, Discovery and Integration (UDDI) v2.0.........................................................65 UTF-16..................................................................................................................................................32 UTF-8....................................................................................................................................................31 WAP 1.x.................................................................................................................................................53 WAP 2.0.................................................................................................................................................53 WCS >1.1..............................................................................................................................................63 WCS 1.0................................................................................................................................................65 Web Coverage Service (WCS) ≥1.1.....................................................................................................63 Web Coverage Service (WCS) 1.0........................................................................................................65 D Alphabetische Übersicht klassifizierter Spezifikationen 102 Web Feature Service (WFS) 1.0...........................................................................................................64 Web Feature Service (WFS) 1.1...........................................................................................................64 Web Feature Service (WFS) 2.0...........................................................................................................64 Web Map Service (WMS) 1.3.0............................................................................................................63 Web Map Service Deutschland (WMS-DE) 1.0...................................................................................65 Web Map Tile Service (WMTS) 1.0.0..................................................................................................64 Web Services (WS)-Security 1.0....................................................................................................56, 57 Web Services Business Process Execution Language (WS-BPEL) 2.0...............................................23 Web Services Description Language (WSDL) 1.1...............................................................................23 Web Services Description Language (WSDL) 2.0...............................................................................23 Web Services for Remote Portlets (WSRP) ≥1.0.................................................................................55 Web Services Security (WS-Security) 1.1................................................................................54, 56, 67 WebDAV...............................................................................................................................................61 WFS 1.0.................................................................................................................................................64 WFS 1.1.................................................................................................................................................64 WFS 2.0.................................................................................................................................................64 Wireless Application Protocol (WAP) 1.x............................................................................................53 Wireless Application Protocol (WAP) 2.0............................................................................................53 Wireless Markup Language (WML) 1.x...............................................................................................53 WML 1.x...............................................................................................................................................53 WMS 1.3.0............................................................................................................................................63 WMS-DE...............................................................................................................................................65 WMTS 1.0.0..........................................................................................................................................64 WS-BPEL 2.0........................................................................................................................................23 WS-Federation 1.1................................................................................................................................28 WS-I Basic Profile 1.1 / 1.2..................................................................................................................23 WS-I Basic Profile 2.0..........................................................................................................................23 WS-Security 1.0..............................................................................................................................56, 57 WS-Security 1.1........................................................................................................................54, 56, 67 WS-Trust 1.3.........................................................................................................................................28 WDSL 1.1..............................................................................................................................................23 WDSL 2.0..............................................................................................................................................23 WSRP > 1.0...........................................................................................................................................55 D Alphabetische Übersicht klassifizierter Spezifikationen 103 WWW Distributed Authoring and Versioning (WebDAV)...................................................................61 X3D Ed. 2..............................................................................................................................................49 XACML 2.0...........................................................................................................................................29 XAdES > 1.3.2......................................................................................................................................42 XAdES 1.2............................................................................................................................................43 XForms 1.0............................................................................................................................................35 XForms 1.1............................................................................................................................................35 XHTML 1.0...............................................................................................................................32, 39, 40 XHTML Basic 1.0.................................................................................................................................53 XHTML Basic 1.1.................................................................................................................................53 XKMS 2.0.............................................................................................................................................72 XMI 1.x...........................................................................................................................................15, 17 XMI 2.x...........................................................................................................................................15, 17 XML 1.0..............................................................................................................................15, 35, 38, 75 XML Advanced Electronic Signatures (XAdES) ≥1.3.2......................................................................42 XML Advanced Electronic Signatures (XAdES) 1.2...........................................................................43 XML Encryption ..................................................................................................................................42 XML Key Management Specification (XKMS) 2.0.............................................................................72 XML Metadata Interchange (XMI) 1.x..........................................................................................15, 17 XML Metadata Interchange (XMI) 2.x..........................................................................................15, 17 XML Process Definition Language (XPDL) 2.1..................................................................................15 XML Query Language (XQuery) 1.0...................................................................................................34 XML Schema Definition Language (XSD) 1.0....................................................................................17 XML Signature .....................................................................................................................................42 XMPP....................................................................................................................................................62 XPDL 2.1...............................................................................................................................................15 XQuery 1.0............................................................................................................................................34 XSD 1.0.................................................................................................................................................17 XSL 1.0.................................................................................................................................................34 XSL 1.1.................................................................................................................................................33 XSLT 1.0 / 2.0.......................................................................................................................................33 ZIP 2.0 ..................................................................................................................................................52 ZIP 4.5...................................................................................................................................................51