OpenID Connect

Sicherer Datenaustausch im DATEV-Ökosystem

Text: Carsten Fleckenstein

In einer vernetzten Softwarelandschaft sind durchgängige, automatisierte Prozesse für Steuerberatungskanzleien kein Luxus mehr, sondern Notwendigkeit. Das digitale Ökosystem von DATEV unterstützt diese Prozesse – zum Beispiel mit technischen Standards wie OpenID Connect (OIDC).

Mandanten setzen heute spezialisierte Softwarelösungen von Dritten ein – etwa für E-Commerce oder Warenwirtschaft. Damit diese Daten ohne Medienbruch in der DATEV-Software der Kanzlei landen, braucht es technische Brücken – sogenannte APIs (Application Programming Interfaces). Über solche Programmschnittstellen können verschiedene Software-Systeme miteinander kommunizieren. Sicherheit hat dabei Priorität.

Sichere Brücken bauen: Das Prinzip OpenID Connect

Wenn sich ein Nutzer bei einem externen System – z. B. der E-Commerce-Software – mit seinem bekannten DATEV-Login anmelden kann, dann steckt in der Regel OpenID Connect dahinter. Dieses Verfahren basiert auf dem Standard OAuth2, was den Zugriff generell regelt, erweitert um eine Identitätsschicht, den sogenannten ID-Layer, was die Identität eines Clients (Software-Anwendung) bestätigt.

Stellen Sie sich vor, Sie seien im Urlaub und müssten ein Paket bei der Post (Cloud) abholen. Um sich zu verifizieren, verwenden Sie Ihren Personalausweis, was der Konto-ID und dem Passwort entspricht. Da Sie aber nicht anwesend sind, bitten Sie Ihren Nachbarn um Hilfe, der damit in die Rolle des Clients schlüpft. Hier kommt OpenID Connect ins Spiel: Anstatt nun dem Nachbarn den eigenen Ausweis zu geben, erhält dieser einen Abholschein für das Paket (ID-Layer), der nur für die Dauer des Urlaubs gültig ist und nur den Nachbarn autorisiert das Paket entgegenzunehmen. Bezogen auf die Software handelt es sich beim ID-Layer um einen sogenannten Token für definierte Dienste, der die Identität des Nutzers sicher und standardisiert verifiziert, ohne dass die Anwendung die Anmeldedaten direkt verarbeiten muss. Das OpenID Connect-Verfahren erhöht damit die Sicherheit und Kontrolle beim Zugriff auf bestimmte Daten.

Wie funktioniert OpenID Connect?

Benutzeranmeldung:
1. Ein Benutzer versucht, sich bei einer Anwendung (Client) anzumelden, die OIDC verwendet.
2. Die Anwendung leitet den Benutzer an den OIDC-Provider weiter, um sich anzumelden.
Authentifizierung:
1. Der Benutzer gibt seine Anmeldedaten (z. B. Benutzername und Passwort) beim OIDC-Provider ein.
2. Nach erfolgreicher Authentifizierung generiert der OIDC-Provider einen ID-Token, der Informationen über die Benutzeridentität enthält.
Token-Austausch:
1. Der Benutzer wird zusammen mit dem Autorisierungscode zurück zur Anwendung geleitet.
2. Die Anwendung verwendet diesen Code, um beim OIDC-Provider einen Access Token und ein ID-Token anzufordern.
Zugriff auf Ressourcen:
1. Mit dem Access-Token kann die Anwendung auf geschützte Ressourcen, wie APIs zugreifen, die vom OIDC-Provider oder Dritten bereitgestellt werden.
Benutzerinformationen:
1. Das ID-Token enthält Claims (Ansprüche), die Informationen über den Benutzer bereitstellen, wie Name, E-Mail-Adresse und andere Attribute.

Beispiel Buchungsdatenservice

Wenn Mandanten Software-Lösungen von bestimmten DATEV-Marktplatz Partnern einsetzen, lassen sich Buchungsdaten, Stammdaten und Belegbilder mit dem DATEV-Buchungsdatenservice über die DATEV-Cloud in die DATEV-Rechnungswesen-Programme der Kanzlei übertragen. Durch das OpenID Connect-Verfahren werden Daten sicher und standardisiert zwischen den beteiligten Systemen ausgetauscht. Damit sorgt der DATEV-Buchungsdatenservice – der sich an viele verschiedene ERP- bzw. Faktura-Lösungen von DATEV-Marktplatz-Partnern anbinden lässt – dafür, dass eine Kanzlei von ihrem Mandanten fehlerfreie, standardisierte Buchungsdaten in einem klar strukturierten Format zu erhält.

Das reduziert nicht nur den Zeitaufwand, sondern minimiert auch das Risiko von Übertragungsfehlern. Zudem benötigt ein Mandant zum Senden der Daten keine zusätzlichen Zugangsdaten vom Dritthersteller. Nach der Ersteinrichtung des DATEV Buchungsdatenservice, genügt der DATEV-Zugang. Alle übermittelten Daten sind verschlüsselt und damit besonders geschützt. Der DATEV Buchungsdatenservice erfüllt somit hohe Sicherheitsstandards.

Der Nutzen auf einen Blick

Für Mandanten: Bequemer Zugang, keine Mehrfach-Logins, hohe Sicherheit.
Für Kanzleien: Automatisierter, medienbruchfreier Datenfluss vom Drittsystem des Mandanten ins DATEV-Rechnungswesen.
Für beide Seiten: Mehr Effizienz, weniger Aufwand, Sicherheit.

OpenID Connect ist ein Beispiel dafür, wie durchdachte Standards die digitale Zusammenarbeit einfacher und sicherer machen. Für Kanzleien und ihre Mandanten bedeutet das: an weniger Passworte denken, mehr Datenqualität und ein durchgängiger sicherer digitaler Prozess – vom Online-Shop bis zur Buchführung. Möglich wird das durch das digitale DATEV-Ökosystem, das auf Offenheit und Vernetzung setzt – mit DATEV als verlässlichem Partner.