Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

06.08.2004 - 

Für den Umstieg auf ein Wireless LAN brauchte die Datev sichere Client-Software

Finanzdaten trotz Funkzugriffs geschützt

Abnehmer der zentral und vor Ort angebotenen Datev-Services sind Steuerberater, Rechtsanwälte, Buch- und Wirtschaftsprüfer sowie deren Mandanten. Die von ihnen gelieferten Auftragsdaten dürfen auf keinen Fall in falsche Hände geraten. Andernfalls drohen rechtliche Konsequenzen, die Haftstrafen nicht ausschließen, denn die Datev unterliegt der im Steuerberatungsgesetz festgelegten beruflichen Verschwiegenheitsverpflichtung.

Auf die in der Zentrale hinterlegten Kundendaten greifen sowohl Außendienstmitarbeiter, Berater und Telearbeiter als auch die in ganz Deutschland verteilten Datev-Informationszentren zu, das sind insgesamt etwa 800 externe Mitarbeiter. Bis vor kurzem konnten sie sich nur über ISDN-Leitungen in das Unternehmensnetz einwählen. Weil sie dafür oft stundenlang mit der Zentrale verbunden waren, verursachten sie in der Summe hohe Online-Kosten.

In der Digital Subscriber Line (DSL) fand die Datev eine Lösung für dieses Problem: Auf das Kupferkabel der ISDN-Leitung wird zusätzlich das DSL-Signal eingespeist. Mit einer Flatrate oder Volumenabrechnung kostet die Einwahl dadurch weit weniger als der Internet-Zugang über ISDN. Zudem lassen sich höhere Bandbreiten als die maximal 128 Kilobit der ISDN-Verbindung nutzen - je nach Tarif zwischen 384 und 3072 Kilobit pro Sekunde für den Daten-Download. Ein DSL-Splitter sorgt dafür, dass Telefon- und DSL-Signal sauber getrennt werden, auch wenn jemand gleichzeitig telefoniert und im Internet surft.

Um die DSL-Technik nutzen zu können, sind entweder spezielle Modems notwendig oder aber Wireless-LAN-Router mit integriertem DSL-Modem, die das Signal drahtlos an den Computer senden können. Die Datev entschied sich für die zweite Option: DSL über ein WLAN. Neben den günstigen Flatrates der Internet-Provider erzielt sie so einen weiteren Vorteil - den deutlich gesunkenen Aufwand für den Fall, dass eines der 26 Informationszentren den Standort wechselt. Dann müssen lediglich die Access Points neu aufgestellt werden; das Verlegen von Kabeln, Switches und Hubs über mehrere Stockwerke erübrigt sich.

Interessante Zukunftsperspektiven

Darüber hinaus eröffnet die Funktechnologie interessante Zukunftsperspektiven: Den Mitarbeitern sollen bald auch PDA- und UMTS-Geräte für den Netzzugang zur Verfügung stehen.

Doch zunächst galt es, ein Problem zu lösen: Per se ist eine Funkverbindung weniger sicher als eine Kupfer- oder Glasfaserverkabelung. Sicherheit ist für das Nürnberger Dienstleistungsunternehmen jedoch eine Grundvoraussetzung: "Wir müssen die Außendienstmitarbeiter ja an das Heiligtum der Firma, das interne Datennetz, anschließen", erläutert Heinrich Golüke, Leiter Kommunikationstechnik bei der Datev.

Das für die Sicherheit zuständige WLAN-Protokoll Wired Equivalent Privacy (WEP) ist längst geknackt. Deshalb schloss die hausinterne Sicherheitspolitik ein Funknetz eigentlich aus. Doch Golüke wollte die Kosten- und Performance-Vorteile der neuen Technik nutzen und suchte deshalb nach einem Ausweg.

Die gesuchte Lösung musste also dieselbe Sicherheit bieten wie ein kabelgebundener Zugriff. Darüber hinaus hatte sie eine Datev-spezifische Anforderung zu erfüllen: Als zertifiziertes Trust-Center darf der Dienstleister rechtlich verbindliche, digitale Signaturkarten ausgeben; folglich hat er eine hauseigene Smartcard als Mitarbeiterausweis eingeführt. Auf dieser Karte sind auch die Authentifizierungs- und Verschlüsselungsdaten für das WLAN und das Virtual Private Network (VPN) gepeichert. Die Client-Software musste also für alle drei Anwendungen die hauseigene Smartcard integrieren.

Drei Sicherheitsschritte

Das Szenario für den Anmeldevorgang sah demnach folgendermaßen aus: Die Mitarbeiter schicken ihre Daten nicht offen über die Funkverbindung, sondern halten drei Sicherheitsschritte ein. Zum einen werden die Daten verschlüsselt und - falls notwendig - mit der auf der Smartcard hinterlegten digitalen Unterschrift gesichert. Die Karte stellt zum anderen auch die Zugangsdaten bereit, mit denen sich der Nutzer im WLAN anmeldet. Er baut zum dritten - ebenfalls mit Hilfe der Smartcard - den VPN-Tunnel auf, über den die verschlüsselten Daten schließlich gesendet werden.

Mit dieser Vorgabe sahen sich Golüke und sein Team die Lösungen mehrerer Anbieter an. Schließlich entschieden sie sich für den langjährigen Partner Network Communications Products (NCP), der ebenfalls in Nürnberg ansässig ist. "Der direkte Kontakt bringt Vorteile in der Projektarbeit", ist Golüke überzeugt. Zudem hatte die Datev hinsichtlich der Verschlüsselung und Authentisierung für die ISDN-Einwahl schon mit NCP zusammengearbeitet. Deshalb unterstützte der "NCP Secure Client" auch bereits die Datev-Smartcard. Gemeinsam entschieden Kunde und Anbieter, die vorhandene Client-Software für die neuen Anforderungen weiterzuentwickeln.

Kein Bit am Server vorbei

Ein weiterer Knackpunkt war die kategorische Forderung, dass alle Datev-Laptops nur über den Datev-Server online sein sollten. "Egal welche DFÜ-Einrichtungen auf dem Rechner vorhanden sind - es darf kein Bit am Server der Datev vorbeigehen", so Golüke. Der Nutzer musste also daran gehindert werden, die Konfiguration in der Datenfernübertragung zu ändern, um sich beispielsweise bei seinem privaten Internet-Anbieter einzuwählen.

Die neue Version des "Secure Client" stellt dies sicher: Das System erkennt, wenn der Anwender über eine neue WLAN-Karte oder ein externes Modem die intern festgelegten Einwahlmodi zu umgehen versucht, und blockiert die Verbindung. Last, but not least verfügt die Client-Software über eine integrierte "Personal Firewall", die alle im System vorhandenen Netzadapter schützt.

Die ersten Konzepte für die Lösung standen Ende 2002, im folgenden Frühjahr war die Softwareentwicklung beendet. Nun folgte eine intensive Testphase mit Penetrationsanalysen, die wiederum einige Nachbesserungen an der Software erforderten. Ein halbes Jahr später war es so weit: Der Datev-Vorstand ergänzte seine Sicherheitspolitik dergestalt, dass die hochsichere WLAN-Internet-Anbindung in den Infozentren und bei den Telearbeitern eingeführt werden konnte.

Um flexibel und zukunftssicher zu bleiben, musste die NCP-Software so angepasst werden, dass sie in der Zentrale auch andere Security-Server, beispielsweise von Cisco, akzeptiert. NCP übernahm die Entwicklung dieser neuen Anforderungen. Allerdings hat sich die Datev an den Entwicklungskosten des Client-Updates beteiligt, da sie der erste Kunde mit so hohen Sicherheitsanforderungen war.

Für die Entwicklung des neuen Secure Client hat NCP etwa fünf Personalmonate aufgewendet. Die Datev investierte insgesamt 20 bis 30 Personalmonate für Planung, Konzeption, Implementierung und Rollout, denn diese Aufgaben übernahm die eigene IT-Mannschaft. Dazu Golüke: "Das Wissen für sicherheitsrelevante Lösungen muss im Haus sein, wir geben in diesem Bereich nur Entwicklungsaufträge und Sicherheitsgutachten nach draußen."

Absolute Priorität: Safety first

Anfang dieses Jahres wurde das erste Informationszentrum in Kassel mit der neuen WLAN-Technik ausgerüstet. Seit Juni arbeiten 40 Pilotanwender im Außendienst mit DSL-Internet-Anschlüssen. Im kommenden Oktober will Golüke das Projekt mit einer allgemeinen Freigabe abschließen. Für den langen Zeitraum zwischen Entwicklung und flächendeckender Einführung hat er eine plausible Erklärung: "Für uns hat die absolute Sicherheit eine höhere Priorität als eine kurzfristige Freigabe."

Die Erfahrungen aus der Pilotphase sind bislang durchweg gut. Die WLAN-Anbindung im Informationszentrum steht der festen Verkabelung in nichts nach, die DSL-Anbindung der Außendienstler bringt den gewünschten Performance-Schub gegenüber der ISDN-Einwahl. Zudem erwartet die Datev, dass sich die Online-Kosten für Außendienstmitarbeiter mit großem Verkehrsaufkommen halbieren lassen, wodurch Einsparbeträge im sechsstelligen Bereich möglich sind.

Als nächsten Schritt plant die Datev einen mobilen Zugang über UMTS-Netze und eine PDA/MDA-Anbindung. Schon aus dem vergangenen Jahr datiert ein UMTS-Pilotprojekt in Zusammenarbeit mit Lucent und T-Mobile. Inzwischen erprobt die Datev, wie sich die freigegebenen UMTS-Netze der großen Provider nutzen lassen.

Auch in diesem Bereich gelten die Rahmenbedingungen der hauseigenen Security-Policy-eine weitere Herausforderung, die mit NCP in Angriff genommen wird. Wesentlich hierfür ist das Zusammenspiel der NCP-Lösung mit der Terminal-Server-Technologie, da die eigentlichen Daten nicht auf dem Endgerät gespeichert sein werden. (qua)

*Nicola Schmidt ist freie Journalistin in München.

Hier lesen Sie ...

- weshalb sich die Datev überhaupt mit der als unsicher geltenden Funknetztechnik beschäftigt;

- welche Voraussetzungen für deren Nutzung erfüllt sein mussten;

- warum der Vorstand seine Sicherheits-Policy schließlich geändert hat;

- welche Rolle UMTS in den Zukunftsplänen des Dienstleisters spielt.

Projektsteckbrief

Projektart: Einführung eines sicheren WLAN für den Remote-Zugriff auf Datenbestände und Ressourcen im Bürokommunikationsnetz.

Branche: Dienstleister.

Zeitrahmen: etwa drei Monate.

Stand heute: läuft produktiv.

Aufwand: 20 bis 30 Personenmonate auf der Datev-Seite.

Produkte: Weiterentwicklung des "NCP Secure Client".

Dienstleister: eigene IT-Mannschaft, teilweise NCP, für den UMTS-Piloten Lucent.

Umfang: Anbindung an das Bürokommunikations-Netz für 800 externe Mitarbeiter.

Ergebnis: halbierte Online-Kosten für die Außendienstmitarbeiter.

Herausforderung: Hochsicherheitsbereich mit strafrechtlichen Konsequenzen.

Nächster Schritt: Ausweitung auf UMTS und PDA-Anbindung.