API-Autorisierungsinfrastruktur
IT-Planungsrat | 17.06.2026 | 50. Sitzung | B-2026/16-IT
- Föderale Sicherheitsvorgaben
- Der IT-Planungsrat nimmt die ausgearbeiteten föderalen Sicherheitsvorgaben (Anlagen 4 bis 8) für die Absicherungen von APIs in der föderalen Verwaltung, die ein einheitliches Sicherheitsniveau in der föderalen Architekturlandschaft gewährleisten sollen, zustimmend zur Kenntnis.
- Der IT-Planungsrat beauftragt das FIT-AB, unter Einbeziehung des Bundes (BMDS und BSI) und des FIT-SB und weiterer relevanter Akteure, eine Projektgruppe zu bilden, um einen Vorschlag zur Herstellung der Verbindlichkeit der in Nr. 1.1 genannten Sicherheitsvorgaben zu erarbeiten. Hierzu gehört auch die Beachtung der Sicherheitsvorgaben im D-Stack. Dies schließt die Ausarbeitung eines Zeitplans und ggf. notwendiger Ausnahmen, Übergangsfristen und Benennung notwendiger Unterstützungsleistungen (u. a. Leitfäden, Schulungen) mit ein. Ein entsprechender Beschlussvorschlag wird dem IT-Planungsrat zu seiner 52. Sitzung vorgelegt.
- Offene Fragen und Handlungsbedarfe
Die in Kapitel 7 der „Zielarchitektur föderale API-Autorisierungsinfrastruktur“ (Anlage 3) genannten Punkte werden in der Projektumsetzung gemäß Nr. 3.1 adressiert. Der IT-Planungsrat bittet das FIT-AB, hierzu anlassbezogen dem IT-Planungsrat zu berichten. Dies beinhaltet insbesondere auch einen Abgleich mit dem BSI-Grundschutz++. - Pilotierung zentraler Komponenten der Zielarchitektur
- Der IT-Planungsrat beauftragt die FITKO mit einem Vorprojekt zur Pilotierung zentraler Elemente der Zielarchitektur mit ausgewählten Basisdiensten gemäß der High-Level Umsetzungsroadmap aus der Zielarchitektur und zum Abgleich der bestehenden Architektur mit den technischen, fachlichen und zeitlichen Anforderungen und Vorgaben des Bundes zum D-Stack. Hier werden auch alle in Nr. 2 genannten Punkte beachtet.
- Die FITKO legt dem IT-Planungsrat zu seiner 52. Sitzung auf Basis der Pilotierung folgende mit dem Bund abgestimmte Dokumente vor: Zeitplanung, Kostenschätzung, Betreibermodell und Wirtschaftlichkeitsbetrachtung. Der IT-Planungsrat entscheidet auf dieser Basis über eine vollständige Umsetzung der Infrastruktur.
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_Angreifer_Model (671 KB, pdf)
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_Begleitpräsentation (933 KB, pdf)
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_FAPI_Angreifer-Modell (254 KB, pdf)
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_Föderales_Plattform_Directory (1 MB, pdf)
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_Glossar (275 KB, pdf)
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_Kurzfassung_Zielarchitektur (1 MB, pdf)
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_Langfassung_Zielarchitektur (6 MB, pdf)
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_Sicherheitsvorgaben_APIs_hoch_und_sehr_hoch (547 KB, pdf)
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_Sicherheitsvorgaben_APIs_normal (335 KB, pdf)
- Beschluss_2026_16_API-Autorisierungsinfrastruktur_Sicherheitsvorgaben_APIs_Überblick (258 KB, pdf)