Beglaubigte Kopien, den Mietvertrag und andere Nachweise nur noch einmal bei der Verwaltung einreichen: Künftig sollen tausende kommunale Melde-, Grundbuch-, Gewerbe- und andere staatliche Register solche Datensätze austauschen können, um Online-Verwaltungsdienste für Bürgerinnen, Bürger und Unternehmen zu vereinfachen. Dazu schafft das Bundesverwaltungsamt eine zentrale Transportinfrastruktur, das Nationale Once-Only Technical System (NOOTS). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in diesem Zusammenhang zwei Technische Richtlinien (TR) zur Absicherung von Datenübertragung und Nachweisen durch das NOOTS erarbeitet. Während BSI TR-03176 konkrete IT-Sicherheitsanforderungen an das NOOTS selbst formuliert, definiert BSI TR-03190 die Anschlussklassen für eine sichere Anbindung. Beide Technischen Richtlinien liegen seit Mitte November 2025 in der zweiten Kommentierungsfassung vor. Alle Betroffenen und Interessierten sind eingeladen, bis zum 15. Dezember 2025 zu kommentieren.
Mit der Registermodernisierung verfolgen Bund und Länder das Ziel, die staatliche Verwaltung zukunftsfähig zu machen und sie entsprechend dem „Once-Only-Prinzip“ nutzerfreundlich zu gestalten. Perspektivisch sollen weitere Register, beispielsweise von Hochschulen oder Kammern, ebenfalls mit den Onlinediensten und Fachverfahren verbunden werden können. Eine Anbindung des NOOTS an das europäische Pendant EU-OOTS (European Once Only Technical System) soll auch den Abruf von Nachweisen aus Datenbeständen anderer EU-Staaten ermöglichen. Analog können Personen und Unternehmen im EU-Ausland ihre in Deutschland gespeicherten Daten in Online-Anträge einfügen.
BSI TR-03176 – IT-Sicherheitsanforderungen an die Datenübermittlung
Ziel der Technischen Richtlinie BSI TR-03176 ist es, die Datenübermittlung im NOOTS abzusichern. Das NOOTS besteht aus mehreren zentralen Komponenten und einer Vielzahl an dezentralen Anschlusspunkten, den Sicheren Anschlussknoten (SAK). Über diese werden die Register und Onlinedienste angebunden. Im NOOTS wird das Prinzip des Zero Trust durch ein System aus Punkten konsequent umgesetzt, die die Einhaltung der Regeln überwachen und durchsetzen (Policy Decision Points und Policy Enforcement Points). Keine der beteiligten Parteien muss dabei ihren Kommunikationspartnern blind vertrauen. Jede Stelle kann alle notwendigen Informationen – beispielsweise zur Authentifizierung der anfragenden Komponente – selbst nachprüfen. Zudem überwacht ein zentrales Monitoring alle Anfragen und Datenübermittlungen und kann bei Auffälligkeiten kurzfristig Teilnehmer von der Kommunikation über das NOOTS ausschließen.
BSI TR-03190 – IT-Sicherheitsanforderungen für die Anbindung an das NOOTS
Die BSI TR-03190 definiert Anschlussklassen an das NOOTS. Zur Klasse der Data Consumer (DC) gehören etwa Onlinedienste, die Nachweise anfragen. Die Klasse der Data Provider (DP) umfasst beispielsweise Register, die Nachweise zur Verfügung stellen. Die TR stellt Anforderungen an fach- und betriebsverantwortlichen Stellen, die einen DC oder DP oder einen Sicheren Anschlussknoten (SAK) zum Anschluss an das NOOTS betreiben. Hierzu werden Anforderungen aus dem IT-Grundschutz durch spezielle Anforderungen für den NOOTS-Betrieb ergänzt. Dabei wird auch auf die Eigenverantwortung der jeweiligen Stellen hingewiesen, die sich aus der verteilten Struktur und dem Zero-Trust-Ansatz des NOOTS ergibt.