Bestellmanager wird eingestellt

Sehr geehrte Damen und Herren,

heute habe ich den Newsletter zum DATEV-Shop erhalten. Darin konnte man folgendes lesen:

Zitat 1: "Mit dem DATEV-Shop wird das Windows-Programm Bestell-Manager schrittweise abgelöst. Auch wenn eine Bestellung über den Bestell-Manager derzeit noch möglich ist, empfehlen wir Ihnen, ab sofort DATEV-Produkte ausschließlich über den DATEV-Shop zu bestellen. Die Bestell-Manager-Funktionen "Mitarbeiterdaten verwalten" und "Vertragsübersichten" bieten wir Ihnen im kommenden Jahr im DATEV Arbeitsplatz pro an. Voraussichtlich Ende 2012/Anfang 2013 werden wir das Programm Bestell-Manager einstellen."

Zitat 2: "Damit Sie den DATEV-Shop nutzen können, benötigen Sie eine DATEV SmartCard oder einen DATEV mIDentity sowie die Microsoft-Anwendung Silverlight, ein kostenloses Plug-In für den Microsoft Internet Explorer."

Reicht für die Nutzung des DATEV-Shop ein für die Kanzlei existierender Server-mIDentity aus, an den ja die DATEV-Nutzungsrechte der Kanzlei gebunden sind.
Ist von der DATEV geplant, zukünftig weitere Anwendungen nicht mehr (wie bisher) über die NUKO zu administrieren sondern an die SmartCard/den mIDentity zu koppeln?
Wird ggf. die NUKO vollständig durch die Nutzungsrechte der SmardCards/mIDentitys abgelöst?
Müssen zukünftig alle Mitarbeiter einer Kanzlei mit SmardCard/mIDentity ausgerüstet werden um weiter mit den DATEV-Anwendungen arbeiten zu können?
Können künftig NUKO-Rechte auf die SmartCard/den mIDentity übertragen werden?
Wie stellt sich die DATEV zukünftig den Umgang mit den personalisierten SmartCards/mIDentitys (z.B. bei Mitarbeiterwechsel, Umfirmierung, Kanzleizusammenlegung/-trennung usw.) vor?

Fragen über Fragen, auf die ich gerne eine Antwort hätte!

Mit freundlichen Grüßen
Ingo Kröll

[Sarkasmus on]
Hallo Herr Kröll!

Der Newsletter sagt leider nur die halbe Wahrheit!
In Wirklichkeit plant DATEV eine neue Produktreihe - DATEV KANZLEI PRO ONLINE. Bis Ende 2012 werden alle Programme (auch die Pro-Varianten) auf das Internet verlagert. Steuern, Löhne, Buchhaltungen, Abschlüsse etc. etc. etc. können dann nur noch online mit dem Internet-Explorer bearbeitet werden.

Dazu werden unter Federführung der Entwicklung in Nürnberg die Fremdprodukte Silverlight, Flash und Java zu Silverjash vereint.

Bis Ende Februar 2013 muss dann der Umstieg auf DATEV KANZLEI PRO ONLINE vollzogen sein, weil während und nach der Umstellunsphase die Kapazität der Servicehotlines auf 5 % des üblichen Levels reduziert wird.

Viel Spaß

E.H.
[Sarkasmus off]

Hallo Herr Hegerland,

wird dann unsere heutige "Grüne Welt" zur neuen "Blauen Welt"? ;-)

Ich wünsche Ihnen und uns allen einen schönen 2. Advent.

Mit freundlichen Grüßen
Ingo Kröll

Meine Herren,

sie haben es erfasst.
Die zukünftig "Blaue Welt" ist ab Februar 2013 schon alleine deshalb zwingend, da Facebook die feindliche Übernahme der DATEV eG per 01.04.2012 plant.

Ich wünsche einen angenehmen Feierabend.

M.Zuckerberg

Soll das heißen, dass für das Arbeiten mit DATEV dann ein Facbook-Account erforderlich ist?
Und ich war froh, dass ich mich bisher dort nicht anmelden musste ...

Sehr geehrter Herr Kröll,

Fragen über Fragen - hoffentlich kann ich die eine oder andere für Sie beantworten.

Ja, für die Nutzung des DATEV-Shops reicht ein Server-/Betriebstätten-mIDentity aus, wenn dieser lokal an dem Rechner angeschlossen ist, vom dem aus bestellt wird. Wie bei den personalisierten Online-Anwendungen gibt es derzeit noch keine zentrale Bereitstellung.

Was plant DATEV rund um das Rechtemanagement?
Die Ablösung der Nutzungskontrolle durch ein neues Identity- und Accessmanagement bestehend aus Benutzer- und Rechteverwaltung mit Integration der Rechteverwaltung online. Im Zentrum steht der DATEV-Benutzer". Unter diesem werden verschiedene digitale Identitäten eines DATEV-Anwenders, z. B. aus Windows und dem DATEV-Rechenzentrum, zusammengeführt. So kann durchgängig jederzeit der Bezug zum tatsächlichen Anwender hergestellt werden. Bei Anwendungen mit neuer Kommunikationsschiene wird so zukünftig eine persönliche Authentifizierung mit zentraler SmartCard/mIDentity möglich sein.
In der neuen Rechteverwaltung können für den DATEV-Benutzer lokale und RZ-Rechte übergreifend administriert und ausgewertet werden. Für reine Online-Nutzer steht die Rechteverwaltung online weiterhin zur Verfügung.

Mit freundlichem Gruß

Anke Klusmann
DATEV e.G.

Hallo Frau Klusmann,

Sicherlich kennen Sie die Nutzer, die ihre Smartcard quasi per Heißkleber am rückwertigem USB- Port befestigt haben, oder diese im Idealfall sogar im Geräteinneren verbaut haben.

Wie soll sich nun der Admin am Samstag an allen PCs einloggen, um z.B. den Installationsmanager zu öffenen, wenn es keine zentrale NuKo mehr gibt?

Gibt es eigentlich schon eine Lösung, daß zwei Smartcards gleichzeitig gesteckt sein dürfen, damit ein Kollege temporär mit seiner Identität arbeiten kann, ohne den Stick oder gar die Softwareinstallation des Kollegen zu berühren?

Sehr geehrte Frau Klusmann,

zunächst einmal vielen Dank für Ihre Antwort. Meine Vermutung war also gar nicht so weit aus der Luft gegriffen.

Unverständlich für mich bleibt jedoch weiterhin, warum Kanzleimitarbeiter , deren Rechte über die NUKO gesteuert werden und die somit anhand ihrer NUKO-Kennung eindeutig (vorbehaltlich der LogIn-Daten per Hafti am Bildschirm) identifizierbar sind, zusätzlich mit einem mIDentity ausgerüstet werden müssen, um die quasi zwangsweise Nutzung von Onlineanwendungen (z.B. für die digitalen Belege aus UO oder den DATEV-Shop) zu ligitimieren. Der RZ-Aufruf der Infodatenbank funktioniert doch auch ohne mIDentity. Der Einwand, das RZ ist keine echte Online-Anwendung, zählt hierbei nur bedingt, da es sich ja insgesamt um DATEV-Anwendungen handelt.

Auch bleibt für mich weiterhin unklar, wie zukünftig der Umgang mit den mIDentitys erfolgen soll. Da diese ja personalisiert sind, ist eine Übertragung auf eine andere Person (vorbehaltlich der Hardware) ausgeschlossen. Gibt es hierfür eine Empfehlung der DATEV hinsichtlich des Datenschutzes? Der mIDentity kann ja z.B. auch für DATEV-fremde Zwecke eingesetzt werden, die außerhalb der Rechtevergabemöglichkeiten des Admin´s liegen (z.B. Nutzung von ELSTER vom privaten Home-PC des Mitarbeiters für die private Steuererklärung). Es wird hierfür zwar das DATEV-Sicherheitspaket benötigt, mir ist aber keine Sperrmöglichkeit für DATEV-fremde Anwendungen bekannt.

Es bleibt also aus meiner Sicht dabei, Fragen über Fragen .....

Mit freundlichen Grüßen

Ingo Kröll

Hallo Herr Kröll, hallo Herr Wolf,

so wie ich Frau Klusmann verstehe, ist die Verwendung einer SmartCard bzw. eines mIDentity optional.

[...] Bei Anwendungen mit neuer Kommunikationsschiene wird so zukünftig eine persönliche Authentifizierung mit zentraler SmartCard/mIDentity möglich sein. [...]

Viele Grüße

Christian Wielgoß

Sehr geehrter Herr Kröll,
sehr geehrte NG,

jetzt möchte ich gerne meiner Kollegin, Frau Klusmann, zur Seite springen und versuchen, etwas mehr Licht ins Dunkel zu bringen. Zum Start meiner Ausführungen möchte ich aber kurz noch auf M. Zuckerberg eingehen und ihm mitteilen, dass wir, auch wenn der Beitrag wohl etwas sarkastisch gemeint war, auch zukünftig keinen verpflichtenden Facebook-Account für die Nutzung von DATEV-Programmen vorgesehen haben. Obwohl der echte M. Zuckerberg einer solchen Lösung mit Sicherheit etwas abgewinnen könnte.

Herr Kröll, ich will jetzt als erstes mal versuchen, auf Ihre Fragen einzugehen. Aber Vorsicht, es wird länger werden müssen, den viele Fragen bedingen vieler Antworten mit vielen Hintergründen. Beginnen möchte ich, damit meine Antworten dann vielleicht etwas nachvollziehbarer sind, mit einer groben technischen Beschreibung der hier kurz genannten Zugangswege in das DATEV-RZ. Obwohl die Grenzen beider Wege klassische DFÜ und Online-Zugang mittlerweile etwas verschwimmen, handelt es sich im Grundsatz doch um zwei technologisch völlig andere Ansätze.

Die Klassische DFÜ baut dabei auf folgende typische Merkmale auf: Vorort-Programme i. d. R. mit Basispaket, DFÜ-Programm (RZ-Kommunikation od. Kommserver), Besitzkomponente (mIDentity od. alt ISDN-Karte), Wissenskomponente (Beraternummer und Kennwort) und NUKO für die Nutzungssteuerung der Vor-Ort-Programme.

Der Online-Weg sieht heute so aus: Browser (bei uns IE), Sicherheitspaket compact (kleiner Download), Besitzkomponente (mIDentity), Wissenskomponente (SC-PIN), Rechteverwaltung online (Nutzungssteuerung Online-Anwendungen).

Wie man hier schon erkennen kann, haben die beiden Wege nicht viel miteinander zu tun, außer, dass bei beiden unsere Zugangspolicy zum RZ identisch ist. Bei beiden muss eine Zwei-Faktoren-Authentifizierung (Besitz und Wissen) vorhanden sein anders lassen wir keinen in unser Heiligtum . Wo die Klassische DFÜ als Zielgruppe schon immer unsere Kanzleien und Unternehmen fokussierte, die sehr umfangreiche Aufgaben mit Vor-Ort-Programmen erledigen, war es ausgelobtes Ziel der Online-Welt , die Arbeitsteilung zwischen Kanzlei und Unternehmen auch auf einem kleineren und technisch einfacheren Korn zu ermöglichen. Da es hier dann für die Unternehmen auch keine hohen technischen Einstiegshürden geben darf, haben wir diese auf einen Browser, einen mIDentity und eine kleines Sicherheitspaket compact reduziert.

Beide Welten existieren heute so nebeneinander und werden von den unterschiedlichen Zielgruppen so auch rege genutzt. Aber, ja, es gibt mittlerweile einige Sachverhalte, insbesondere in unseren Kanzleien, wo diese beiden Welten zunehmend parallel genutzt (z. B. digitales Belegbuchen) werden. Also Vor-Ort-Programm mit Nutzung Online-Welt . Um dieser Entwicklung auf der Administrationsseite gerecht zu werden, versuchen wir jetzt mit dem von Frau Klusmann bereits genannten Identity- und Accessmanagement (zukünftig bestehend aus einer Benutzer- und Rechteverwaltung) diese beiden Welten unter einem Dach zu verheiraten. Dabei wird die NUKO komplett im IAM aufgehen, eine Rechteverwaltung online wird es dabei aber auch weiterhin und zusätzlich als reine Web-Anwendung geben. Warum letzteres? Weil wir natürlich unseren reinen Online-Anwendern keine Administration über eine Vor-Ort-Programm aufzwingen können. Die Idee, die dann letztendlich hinter dem IAM-Ansatz steht, ist, das man einem Anwender an zentraler Stelle und anwendungsübergreifend (Vor-Ort, RZ- und Online) Rechte und Rollen zuweisen kann. Also zu Frage von Herr Wolf, es wird auch weiterhin eine zentrale NUKO geben, die dann aber Benutzer- und Rechteverwaltung heißt und in der Sie auch weiterhin Benutzer anlegen und mit Rechten versehen können.

Jetzt, Herr Kröll, gerne was zur Nutzung der Anwendungen und die notwendige Authentifizierung. Warum kann der Zugriff auf Online-Anwendungen heute nicht einfach über die NUKO geregelt werden? Die Rechtekonzepte der Vor-Ort-Programme mit RZ und der Online-Welt sind heute völlig anders - bedingt durch die Hauptnutzergruppen - designed. Der reglementierte Anwenderzugriff über eine Vor-Ort-Anwendung auf unser RZ wird heute über den NUKO-Benutzer sichergestellt. Und zwar so, in dem die Rechte bereits in der Vor-Ort-Anwendung wirken. In der Online-Welt gibt es eine solche klassische Vor-Ort-Anwendung, wo solche NUKO-Benutzer wirken könnten, nicht. Somit muss das Recht dann erst selber in der Online-Anwendung durchgesetzt werden. Das passiert heute auf Basis einer SmartCard-ID (= ist damit NUKO-Benutzer der Online-Welt), der über die Rechteverwaltung online entsprechende Rechte für Online-Anwendungen zugewiesen werden. Deshalb, Herr Kröll, braucht heute auch jeder Nutzer einer Online-Anwendung einen mIDentity. Diese Struktur wird für diese beide Welten auch in Zukunft so bleiben müssen. Warum? Würden wir jetzt zum Beispiel die Rechteprüfung für die Online-Anwendungen aus dem RZ in die NUKO verlagern, hätte das einige unschöne Effekte für die Kanzlei und deren Unternehmen. Zum Beispiel müssten dann alle Ihre Mandanten, die heute Unternehmen online nutzen zwingend eine Vor-Ort-NUKO installieren. Diese müssten Sie, die Kanzlei, dann beim Mandanten vor Ort in all den Fällen administrieren, wo diese zum Beispiel auf Datenbestände der Kanzlei zugreifen, denn Sie werden das dem Mandanten mit Sicherheit nicht selbst überlassen wollen ;-) usw. usw.. Ziel muss es aber sein, diese beiden Welten, dort wo diese gemeinsam genutzt werden, für eine übergreifende Administration zusammenzuführen = IAM-Ansatz!

Damit erschließt sich hoffentlich jetzt auch, warum bei Online-Anwendungen für jeden Benutzer heute noch einen persönlicher mIDentity benötigt wird. Die von Ihnen genannte Info-Datenbank gibt es heute aufwendig und redundant in beiden Welten (Klassische DFÜ und Online), damit auch beide Benutzergruppen den Zugang zu unseren Serviceinformationen haben. Aber natürlich ist auch Ihr Hinweis, warum kann ich denn jetzt nicht einen mIDentity an zentraler Stelle für die Nutzung von Online-Anwendungen verwenden, für mich nachvollziehbar. Es gibt dafür derzeit mehrere Gründe, wobei einer ja schon genannt wurde. Rechteträger ist im heutigen Konzept die SmartCard-ID, w. h. jeder der diese nutzt, hat damit automatisch die gleichen Rechte. Was aus Policy-Gründen natürlich nicht tragbar wäre. So was könnten man mit einem neuen Rechtekonzept, das auch existierende Vor-Ort-Identitäten einbezieht, wohl schon, wenn auch sehr aufwendig, hinbekommen Nächster Grund ist aber die Technik selbst. Eine Browser-Anwendung, für die wir uns damals ja wegen der geringen technischen Einstiegslösung für Unternehmen (jeder hat heutzutage einen Browser) entschieden haben, liefert für einen solchen zentralen Ansatz aber noch weitere und schwierigere Hürden. Und zwar müsste man einem Client-Browser beibringen, dass dieser für unsere Online-Anwendung eine SmartCard verwendet, die nicht an dem Gerät selbst sondern an irgendeinem zentralen Gerät steckt, auf das dieser Client zugreifen kann. Standardbordmittel, die da unserem Sicherheitsanspruch für diesen Zugriff entsprechen, gibt es da leider nicht. Und damit das hier auch erwähnt ist: Wir beschäftigen uns mit beiden Sachen (Vor-Ort-Identitäten und zentrale SmartCard für RZ-/Onlineanwendungen nutzen) schon länger und auch intensiv. Aber den richtigen Durchbruch, insbesondere zum sicheren technischen Ansatz der zentralen SmartCard-Verwendung, kann ich hier nicht vermelden und damit auch nicht in Aussicht stellen.

Zum Schluss dann, Herr Kröll, noch was zum Umgang mit Ihren mIDentities. Ein mIDentity (Betriebsstätten-mIDentity außen vor) ist etwas personenbezogenes und sollte so auch in der Kanzlei und bei Mandanten behandelt werden. Was heißt, ist der Mitarbeiter nicht mehr da, ist die dazugehörige SmartCard zu kündigen und die Hardware kann aber für einen anderen Mitarbeiter mit neuer SmartCard-SIM verwendet werden. Mit der Kündigung sind dann auch alle internen Rechte weg und die Karte kann im DATEV-Umfeld nicht mehr genutzt werden. Für den mIDentity-Wechsel gibt es bei uns ein Formular, welches Sie unter Dok-Nr. 0908719 finden. Außerhalb der DATEV können Sie unsere SmartCards nur nutzen, wenn sich der Eigentümer der Karte bei uns entweder persönlich identifiziert (Kopie des Personalausweises vorlegen) hat oder die Fremdanwendung ein eigenes Registrierungsverfahren vorhält. Die Nutzung von Steuerkonto online bedarf z. B. einer solchen Identifizierung, die eine Freischaltung in unserem Verzeichnisdienst bewirkt, gegen das dann die OFD prüft. Bei Kündigung der SmartCard kann auch diese nicht mehr genutzt werden, da sie dann aus dem Verzeichnisdienst verschwindet. ElsterPortal hat z. B. ein eigenes Registrierungsverfahren, in dem diese eine für Sie bekannte Person bzw. Steuernummer nur einer SmartCard für die Online-Authentifizierung zuordnen. Dort interessiert eigentlich nur, ob die SmartCard auch von einem vertrauenswürdigen Herausgeber stammt. Wie diese externen Anwendungen also Ihre Zugriffssicherheit gewährleisten, überlassen wir im Grunde denen , wobei wir aber alle Sicherheitsniveaus dieser Anbieter unterstützen.

Wie anfangs gewarnt, ist es länger geworden, aber ich hoffe, dass ich damit etwas mehr Licht ins Dunkel bringen konnte.

Viele Grüße
Mathias Diersch
Security-HW / Rechteverwaltung online
DATEV eG