Die Datev stellte ihren Dienstleistern eine weitere Aufgabe: Als zertifizierter Trustcenter darf sie rechtlich verbindliche, digitale Signaturkarten ausgeben; folglich gibt es eine hauseigene Smartcard als Mitarbeiterausweis im Haus. Auf dieser Karte gespeichert sind auch die für die Anmeldung am WLAN, die Verschlüsselung der Daten und die Authentisierung im Virtual Private Network (VPN) notwendigen Zertifikate. Denn um die Daten sicher über die Funkverbindung zu schicken, verließ sich die Datev nicht nur auf Verschlüsselung. Zusätzlich wird bei jeder Verbindung eine Art geheimer Datentunnel, ein VPN, aufgebaut, zu dem nur Datev-Mitarbeiter Zutritt erhalten sollen und durch den die verschlüsselten Daten fließen. Die Client-Software musste also in der Lage sein, die Smartcard für alle drei Anwendungen zu integrieren.
In der Praxis bedeutet das: Über die vorhandnen ISDN-Leitungen wird das DSL-Signal gelegt – günstige DSL-Flatrates sind nun möglich. Damit keine Kabel zwischen Router und Computer mehr vonnöten sind, schickt ein WLAN-Router das Signal drahtlos an die Computer. Um sich nun am Datev-Server anzumelden, müssen die Mitarbeiter ihre Daten nicht offen über die Verbindung – und damit quasi für jedermann sichtbar „durch die Luft“ – schicken, sondern drei Sicherheitsschritte gehen: Die Daten verschlüsseln und falls notwendig digital unterschreiben – mit den Daten auf der Smartcard. Dann müssen Sie sich mit der Smartcard im WLAN der Datev anmelden und schließlich einen geheimen VPN-Tunnel aufbauen können, um darüber die verschlüsselten Daten zu senden.
Golüke und sein Team sahen sich die Lösungen mehrerer Anbieter an. Schließlich entschieden sie sich für den langjährigen Partner Network Communications Products (NCP), der ebenfalls in Nürnberg ansässig ist. „Der direkte Kontakt bringt Vorteile in der Projektarbeit“, ist Golüke überzeugt. Zudem hatte die Datev hinsichtlich der Verschlüsselung und Authentisierung für die ISDN-Einwahl bereits mit NCP zusammengearbeitet. Deshalb unterstützte der „NCP Secure Client“ bereits die Datev-Smartcard. Gemeinsam entschieden Kunde und Anbieter, die vorhandene Client-Software für die neuen Anforderungen weiterzuentwickeln.
Online nur über Datev-Server
Es gab einen weiteren Knackpunkt: Er betraf die kategorische Forderung, dass alle Datev-Laptops nur über den Datev-Server online sein sollten. „Egal welche DFÜ-Einrichtungen auf dem Rechner vorhanden sind – es darf kein Bit am Server der Datev vorbeigehen“, so Golüke. Der Nutzer musste also daran gehindert werden, die Konfiguration in der Datenfernübertragung zu ändern, um sich beispielsweise bei seinem privaten Internet-Anbieter einzuwählen.
Die neue Version des „Secure Client“ stellt dies sicher: Das System erkennt, wenn der Anwender über eine neue WLAN-Karte oder ein externes Modem die intern festgelegten Einwahlmodi zu umgehen versucht, und blockiert die Verbindung.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.