Das BSI hat mit der TR-03172-1 „Onlinegateway“ einen weiteren Baustein seiner Sicherheitsvorgaben für den Portalverbund veröffentlicht (Meldung vom 12.01.2026). Die Richtlinie betrifft das Portalverbund-Online-Gateway (PVOG) – eine zentrale Komponente, über die Verwaltungsportale Daten zu Online-Leistungen austauschen und bundesweit auffindbar machen.
Was ist veröffentlicht worden – und warum ist das relevant?
Mit der BSI TR-03172-1 liegt ein Teildokument zur Technischen Richtlinie TR-03172 „Portalverbund“ vor. Ziel der TR-03172 ist es, Sicherheitsanforderungen für den Portalverbund und seine angrenzenden Komponenten einheitlich zu beschreiben – damit föderal verteilte Portale (Bund/Länder/Kommunen) interoperabel bleiben, ohne Sicherheit „nach Kassenlage“ zu behandeln. Der Aufbau ist modular: Ein Rahmendokument wird durch komponentenspezifische Teile ergänzt, darunter u. a. „Onlinedienst“, „Antragsrouting“ und eben „PVOG/Portal“.
Dass der Zeitpunkt nicht zufällig ist, zeigt der Blick zurück: Bereits Anfang 2025 wurden erste TR-03172-Dokumente (Rahmendokument sowie Teile 3 und 4) veröffentlicht; weitere Teile – darunter Teil 1 zum Online-Gateway – waren damals ausdrücklich „in Vorbereitung“.
Portalverbund & OZG: Der gesetzliche Rahmen in einem Satz
Das Onlinezugangsgesetz (OZG) verpflichtet Bund und Länder, Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten – und diese Portale in einem Portalverbund so zu verknüpfen, dass Nutzerinnen und Nutzer Leistungen unabhängig vom Einstiegspunkt finden und erreichen können.
Rolle des PVOG: Daten-Drehscheibe für Auffindbarkeit und Verlinkung
Das Portalverbund-Online-Gateway (PVOG) verknüpft die Verwaltungsportale von Bund und Ländern mit dem Ziel, einen bundesweit einheitlichen Zugang zu Online-Leistungen zu unterstützen. Praktisch bedeutet das: Das PVOG aggregiert Beschreibungen und Metadaten zu Verwaltungsleistungen und stellt sie den angeschlossenen Portalen über Schnittstellen wieder zur Verfügung – damit Bürgerinnen, Bürger und Organisationen Leistungen portalübergreifend finden und aufrufen können.
Die FITKO beschreibt das PVOG als Produkt im föderalen Kontext; die Daten werden aus angeschlossenen Redaktionssystemen abgerufen, geprüft und in den Bestand übernommen. In der Praxis läuft das typischerweise in regelmäßigen Intervallen: Daten werden „in der Regel alle 24 Stunden“ komplett abgerufen, validiert und eingespielt; zur Nachnutzung gibt es u. a. eine Such-API, einen Komplett-Export sowie einen einbindbaren Suchclient bzw. eine Verlinkung auf den zentral erreichbaren Suchclient.
Beispiel aus Nutzersicht: Wer etwa „Führerschein verlängern“ sucht, soll über das Portal seiner Wahl (Bund/Land/Kommunal) zu einem passenden Online-Dienst oder zur zuständigen Stelle gelangen – ohne vorher zu wissen, welches Portal „das richtige“ ist. Ob Metadaten wie Zuständigkeit, Fristen oder Gebühren vollständig/aktuell sind, hängt dabei maßgeblich von der Datenpflege in den angeschlossenen Systemen ab (das PVOG kann Datenqualität unterstützen, aber nicht zaubern).
Wo setzt TR-03172-1 an?
Die Kurzbeschreibung zur TR-03172-1 ordnet das Dokument als Teildokument zur TR-03172 ein und verweist auf die Rolle des Online-Gateways, insbesondere als Dienste-/Leistungsverzeichnis der angeschlossenen Portale.
Wichtig in der Einordnung: TR-03172-1 richtet sich nicht an „Endnutzer“, sondern an Umsetzende – also Portalbetreiber, zuständige IT-Dienstleister, Architekturen/Entwicklerteams und Sicherheitsverantwortliche, die PVOG-Anbindungen und angrenzende Komponenten planen, entwickeln oder betreiben.
Sicherheitskontext: ITSiV-PV als verbindlicher Rahmen
Neben dem OZG existiert für den Portalverbund ein eigener Sicherheitsrahmen: Die IT-Sicherheitsverordnung Portalverbund (ITSiV-PV) verlangt für Portalverbund und bestimmte IT-Komponenten Maßnahmen „nach dem Stand der Technik“, um die IT-Sicherheit zu gewährleisten.
Damit wird klar, warum technische Richtlinien wie TR-03172 in der Praxis Gewicht haben: Sie dienen als Konkretisierung, wie „Stand der Technik“ im Portalverbund-Kontext umgesetzt und geprüft werden kann – und schaffen gemeinsame Erwartungen über föderale Grenzen hinweg.
Was bedeutet das für Betreiber und Nachnutzer – ganz praktisch?
Für Organisationen, die Portale betreiben oder PVOG-Daten konsumieren, sind vor allem drei Punkte praxisrelevant:
- Schnittstellen & Vertrauensgrenzen sauber definieren
PVOG-Integration ist immer auch Schnittstellen-Integration. FITKO-Dokumentation beschreibt z. B. API-Nutzung, Bereitstellung/Export sowie einen Suchclient. Außerdem werden technische Aspekte wie REST-APIs (OpenAPI 3.0) und vorgelagerte Prüfungen (z. B. Virenscan für neu eingehende Dateien) genannt. - Datenqualität als Sicherheits- und Vertrauensfaktor behandeln
Fehlerhafte oder veraltete Zuständigkeitsinformationen sind nicht „nur“ UX-Probleme: Sie können zu Fehlleitungen, Mehraufwand und Vertrauensverlust führen. Die FITKO verweist selbst auf Datenqualität/Performance als Daueraufgabe im PVOG-Kontext. - Betrieb & Absicherung nicht erst beim Go-Live
Aus öffentlich verfügbaren technischen Beschreibungen wird deutlich, dass PVOG-Teilsysteme u. a. mit typischen Web-/Backend-Bausteinen arbeiten (z. B. REST-Schnittstellen; in der Kompass-Doku werden konkrete Betriebs-/Technikaspekte beschrieben, inklusive verschlüsselter Übertragung und Authentisierungsmöglichkeiten). Solche Details sind keine „Implementierungsromantik“, sondern entscheidend für Hardening, Monitoring und Incident-Prozesse.