EDI EDI-Kommunikation Verschlüsselung

OFTP2 oder AS2 – welches EDI-Protokoll wo einsetzen?

Kurzfassung - Für die B2B-Kommunikation sind OFTP (ODETTE File Transfer Protocol) in der aktuellen Version 2 und AS2 häufig verwendete Protokolle. Welches also wann einsetzen? Die Frage nach Vor- und Nachteilen beider Methoden lässt sich technisch nicht so einfach beantworten, sind sie sich doch recht ähnlich.

Mittwoch, 13. November 2019
OFTP2 oder AS2 – welches EDI-Protokoll wo einsetzen?

Was die Sicherheit der Datenübertragung angeht, nehmen sich die Protokolle im Prinzip nichts. Beide verschlüsseln die Daten und verwenden eine digitale Signatur, um den Absender zweifelsfrei zu identifizieren. Um zu verhindern, dass Nachrichten abgefangen oder unterwegs verfälscht werden, setzt OFTP2 auf SSL/TLS-Technologie, während AS2 die Integrität über Hash-Algorithmen absichert. OFTP2 schützt den EDI-Verkehr auf drei Ebenen: Die Verbindungssicherheit wird über Verschlüsselung der TCP/IP-Pakete gewährleistet. Zusätzlich werden die übermittelten Daten verschlüsselt. Mit Hilfe von Hash-Werten, die signiert werden können, lässt sich außerdem die Integrität und Echtheit der Daten überprüfen.

AS2 arbeitet hier mit einer Art „Briefumschlag“. In diesen werden elektronische Geschäftsdokumente beliebigen Formats (EDI, XML, CSV, TXT etc.) eingebettet, so dass sie mittels HTTP-Protokoll über ein beliebiges, auf TCP/IP basierendes Netzwerk übermittelt werden können. Jede AS2-Nachricht erhält eine elektronische Signatur und wird verschlüsselt an die Empfangsseite übermittelt. Ebenso wie OFTP2 arbeitet AS2 mit einer Zwei-Faktor-Verschlüsselung. Zum einen sorgt HTTPS (also SSL bzw. TLS) für eine Grundverschlüsselung der gesamten Kommunikation, d. h. der HTTP-Header. So ist nicht ersichtlich, wer an wen mit welchen Zertifikaten Daten schickt. Bei AS2 kommen nun für die eigentliche Datenverschlüsselung noch weitere Zertifikate zum Einsatz, für die der S/MIME-Standard genutzt wird.

Push-and-Pull bei OFTP2 in einer Sitzung

Bei OFTP2 finden Senden und Empfangen innerhalb derselben Sitzung statt, AS2 als reines Push-Protokoll versendet nur und muss zum Empfang im 24/7-Betrieb geöffnet sein. Über diesen Unterschied ließe sich u. U. ein Vorteil der OFTP2-Technologie gegenüber AS2 verargumentieren. Eine Expertengruppe des Automobilverbandes ODETTE International Ltd., dem Erschaffer von OFTP, überprüft und verbessert das Protokoll regelmäßig, sodass es stets den neuesten Sicherheitsstandards genügt. So wird garantiert, dass OFTP2 garantiert stets aktuell ist.

Die ODETTE-Variante besticht ferner durch ihre breite Funktionalität, in dem sich mit ihr nicht nur technische Daten, sondern auch kommerzielle Informationen übertragen lassen. Sie erlaubt zudem die Übertragung großer Datenmengen (mittels Komprimierung), lässt sich über jedes IP-basierte Netzwerk nutzen und bietet eine Rückverfolgbarkeit übertragener Daten mittels Nachverfolgungs-, Empfangs- und Unleugbarkeitsfunktionen. Odette spricht hier von End-to-End Response (EERP) oder auch Negative End-to-End Response (NERP). Auch AS2 sichert die Nachverfolgbarkeit allerdings, und zwar über eine so genannte Message Disposition Notification (MDN). Vergleichbar mit dem EERP und NERP kann die MDN positiv oder negativ sein. Sie enthält die Nachrichten-ID der Datenübertragung, die bestätigt werden soll – analog zum Einschreiben mit Rückschein beim postalischen Versand.

Bei OFTP2 empfiehlt sich – gerade für kleine und mittlere Unternehmen –die Hinzunahme eines EDI-Dienstleisters. Anderenfalls nämlich muss man sich einen eigenen OFTP2-Server für die Kommunikation mit dem Partner anschaffen. Dieser jedoch ist teuer in Anschaffung und Wartung, Verbindungen mit Partnern müssen jeweils neu eingerichtet werden. Auch braucht man digitale Zertifikate, die entweder selbst erzeugt oder zugekauft werden.

Da keine Telefon- bzw. Nutzungsgebühren anfallen, ist OFTP2 und AS2 kostengünstig im Betrieb. Allerdings benötigen Sender und Empfänger jeweils eine Internetverbindung sowie ein Kommunikationsmodul.

Unterschiede vor allem bzgl. der Branchenausrichtung

So wird deutlich: Beide Varianten unterscheiden sich weniger technisch als hinsichtlich ihres Einsatzzwecks und historischen Hintergrunds – was darauf schließen ließe, welches Protokoll für welches Unternehmen/welche Branche geeigneter sein könnte. OFTP wurde von ODETTE International Ltd. eingeführt, der Mitgliedsorganisation der europäischen Automobilindustrie, welche die Standards für E-Business-Kommunikation und Datenaustausch definiert. Folglich wickelt vor allem die Automobilindustrie, aber inzwischen auch der Öffentliche Dienst darüber ihren EDI-Verkehr ab. Ursprünglich wurde es für den Einsatz über ein X.25-Netzwerk entwickelt, welches historisch über ISDN genutzt wurde. Mit der Implementierung von OFTP2 im Jahr 2007 findet die Kommunikation internetbasiert über das TCP/IP Protokoll statt.

AS2 wurde in den USA vom Uniform Code Council (UCC) entwickelt und wird hauptsächlich im Einzelhandel und in der Fertigung eingesetzt. EDI-Verkehr findet mit AS2 über das Internet via HTTP statt. Die Spezifikation des Protokolls beschreibt die reine Übertragung von Daten, nicht deren Validierung und -verarbeitung. Starken Rückenwind bekam das Protokoll, als der Handelskonzern Walmart seinen 10.000 Lieferanten im Jahr 2002 vorschrieb, AS2 zum direkten Austausch von EDI-Daten zu verwenden.

Zurück zur Übersicht