Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

25.03.2019

Internet Security aus der Cloud für Steuerberater

Auf Basis einer ganzheitlichen Remote Access VPN-Lösung bietet die Nürnberger DATEV eG ihren Genossenschaftsmitgliedern und auch deren Mandanten ein Komplettangebot zur sicheren Nutzung des Internets für alle wichtigen Kommunikationsszenarien. Über ein vollautomatisiertes Benutzer- und Rollen-Management haben IT-Administratoren des Dienstleisters alle Fäden zu jeder Zeit in der Hand.

Das Leistungsspektrum der DATEV reicht von mehr als 200 PC-Programmen über Cloud-Dienste wie Online-Anwendungen, Datenverarbeitung und -archivierung im Rechenzentrum bis hin zu Outsourcing-Leistungen sowie Sicherheitsdienstleistungen. Genutzt wird das Angebot von Steuerberatern, Wirtschaftsprüfern und Rechtsanwälten sowie deren Mandanten, aber auch von Kommunen, Vereinen und Institutionen.

Um ihren Kunden die nahtlose Integration des Internets in die Arbeitsprozesse anbieten zu können, führte die DATEV bereits 2000 das "DATEVnet" ein, eine Kommunikationsinfrastruktur auf Basis eines Virtuellen Privaten Netzes (VPN) sowie zentral bei DATEV verwaltete Security Services zur sicheren Nutzung des Internets. Ziel war es, den Kunden optimalen Schutz des Internetzugangs an deren Arbeitsplatz zu bieten, ohne dass diese eigene Ressourcen für die Sicherheit aufwenden müssen. "Der Managed Security Service DATEVnet ist ein wichtiges Alleinstellungsmerkmal der DATEV und erlaubt auch kleinen und mittleren Betrieben, einfach und komfortabel das hohe Niveau der Internet Security eines Großunternehmens zu nutzen", erklärt Dr. Oliver Beys, Leiter Entwicklung Kommunikationsprodukte bei der DATEV.

Zum Angebot gehörten auch Produktbausteine, die es dem Kunden erlauben, von unterwegs, aus dem Homeoffice oder vom Mandanten aus auf die Daten und Anwendungen in der Kanzlei bzw. im Unternehmen zugreifen zu können. Mobil eingesetzte Arbeitsplätze als letztlich schwächstes Glied der Kette müssen dabei nach denselben Sicherheitsrichtlinien geschützt sein wie alle anderen Rechner, um die strengen Vorgaben seitens der DATEV zu erfüllen. Die rasante technische Entwicklung der Kommunikationslösungen und Endgeräte sowie die Mobilität durch das Internet blieben dabei nicht ohne Wirkung auf das Informations- und Leistungsangebot der DATEV.

Sicherheit plus hoher Grad an Mobilität plus einfaches Handling!

2010 fiel die Entscheidung, mit der Neugestaltung der DATEVnet-Kommunikationsplattform IT-seitig mehr Raum für innovative Lösungen zu schaffen. Es galt, die Einrichtung von DATEVnet in den Kundenbetrieben zu vereinfachen, zugleich die Sicherheit noch weiter auszubauen und den Kunden ein Höchstmaß an Flexibilität auch für neue Kommunikationsmöglichkeiten zu erschließen.

Flexiblere Kommunikationsmöglichkeiten bedeuteten gleichzeitig aber auch komplexere Sicherheitsanforderungen. Um eine transparente Netzwerkanbindung auf höchstem Sicherheitsniveau anbieten zu können, musste die neue VPN-Lösung über eine modulare Architektur und spezifische sicherheitstechnische Automatismen verfügen. Überdies war es für die DATEV wichtig, dass die VPN-Lösung für Anwender und Administratoren einfach zu bedienen und zu handha-ben war. Die vorherige Installation löste dies nicht zufriedenstellend.

"Security by Design"
Innerhalb einer umfangreichen Voruntersuchung war "Security by Design" ein festverankertes Element. Denn für die IT-Spezialisten der DATEV galt: Sicherheit beginnt bereits bei der Konzeption, nicht erst da, wo eigentlich der Entwicklungsprozess zu Ende ist, nämlich bei der Penetration. Dazu gehörte im ersten Schritt ein umfassendes Pflichtenheft mit Fragen zu kommunikations- und sicherheitstechnischen Parametern, dem System Management, der Performance und der Zukunftssicherheit. Letzteres bedeutete: Keine proprietären Kommunikationssysteme, sondern Lösungen, die durchgängig auf Standards aufsetzen. Testphasen mit auf die Anwendungsszenarien der Kunde abgestimmten, intensiven Penetrationstests (Blackbox and Whitebox) schlossen die Evaluierung ab.

Zentrales Management mit hohem Automatisierungsgrad

Folgende Faktoren waren im Auswahlprozess entscheidend: Die Remote Access VPN-Lösung musste über Selfservices zentral administrierbar sein und über einen hohen Automatisierungsgrad für Installation, Konfiguration und Software-Updates verfügen. In einer Remote Access-Struktur, in der viele Kunden gemeinsam eine VPN-Plattform nutzen, war zudem eine ausreichend abgesicherte Trennung der einzelnen Kundenkonfigurationen gefordert, um zu verhindern, dass Dritte unauthorisiert Daten einsehen und manipulieren können. Um den mobilen Arbeitsplatz vor Hackerattacken nachhaltig zu schützen, sollte der VPN-Client zudem über eine integrierte Personal Firewall verfügen und starke Authentisierungsmechanismen unterstützen.

Im Auswahlverfahren für die mobile Kommunikation entschied sich die DATEV für das zentrale VPN-Management-System "NCP Secure Enterprise Management" und die zentral administrierbare VPN Client Suite "NCP Secure Enterprise Client" der NCP engineering GmbH. NCP war Dr. Beys und seinem Team auch infolge der Inhouse-Nutzung der entsprechenden Komponenten als kompetenter Technologielieferant bereits bekannt. Die Anbindung der Kanzleinetze erfolgt durch VPN-Gateways von Lancom Systems. Um sicherzustellen, dass die VPN-Lösung schnell und möglichst problemlos eingerichtet werden konnte, arbei-teten die DATEV, NCP und Lancom bei der Planung und Realisierung eng zusammen. "Bei der Umsetzung eines solchen Projektes spielen verschiedene Faktoren zusammen. Zum einen natürlich die Technologie, aber es erfordert auch viel Know-how und Erfahrung und last but east ein schnelles und unbürokratisches Handeln", lobt Dr. Beys die Projektarbeit.

Inzwischen nutzen rund 2500 Kunden die Lösung "DATEVnet pro Telearbeitsplatz / Einzelplatz", um über einen beliebigen Internet-Zugang (z. B. DSL oder UMTS) und einen sicheren VPN-Tunnel auf das Kanzleinetzwerk oder zur DATEV zuzugreifen.

Einfache Bedienbarkeit bei hohem Komfort
Bei jeder Bestellung einer Telearbeitsplatz-Lösung wird nach Vorgaben des Kunden und entsprechend den strengen Sicherheitsrichtlinien der DATEV über das NCP Secure Enterprise Management System ein Default-Profil für den Anwender erstellt. Nach Installation der Client-Software wird mit der ersten Anschaltung die Konfiguration automatisch vom Management System an das Endgerät übertragen. Bei der Einwahl in das geschützte DATEVnet müssen sich die Benutzer mit "Besitz und Wissen" authentisieren.

Dies erfolgt über die DATEV SmartCard (Besitz), die DATEV-Kunden als übergreifendes Security Device auch für zahlreiche andere Szenarien einsetzen. Auf dieser ist der Schlüssel für den virtuellen Eintritt ins DATEVnet sicher abgelegt. Die Freigabe dieses Schlüssels erfolgt über die Eingabe eines Passwortes (Wissen). Nach erfolgreicher Authentisierung baut der VPN-Client einen durchgängigen VPN-Tunnel auf, d.h. dem Anwender stehen am Telearbeitsplatz über die NCP Secure Client Suite alle Netzwerkapplikationen und -funktionalitäten wie im Büro zur Verfügung. Für den IT-Laien ist die Handhabung des Clients denkbar einfach, da jeder Verbindungsaufbau der VPN Client Suite vollautomatisiert abläuft. Er hat nur eine Oberfläche vor sich, benötigt nur einen Klick für die Verbindung und muss nicht verschiedene Oberflächen anderer Tools für WLAN oder UMTS bedienen können. Über die integrierte, dynamische Personal Firewall greift - in Abhängigkeit vom Standort (Hotspot, Home Office oder am firmeneigenen WLAN) - jeweils ein spezielles Regelwerk.

Präzises Definieren von Parametersperren
Die Konfigurationsparameter des VPN Clients sind so anlegt, dass sie vom Anwender nicht umgeh- bzw. manipulierbar sind. "Das entlastet nicht nur den Helpdesk enorm, sondern ist auch für die Sicherheit äußerst wichtig. Sicherheit lässt sich nur gewährleisten, wenn der Anwender keine Möglichkeiten hat, Veränderungen am VPN-Client vorzunehmen", so Dr. Beys. Die Parametersperren lassen sich über das NCP Secure Enterprise Management System (SEM) granular definieren, so dass präzise Zugriffsschutzlisten erstellt werden können. Die Daten der einzelnen Kunden werden so streng voneinander abgeschottet und der Zugriff unberechtigter Personen auf Informationen anderer Mandanten verhindert.

Vollautomatisiertes Benutzer- und Rollen-Management
Die IT-Spezialisten der DATEV sind mit der installierten VPN-Basis rundum zufrieden und profitieren von der zentral administrierbaren Remote Access-Lösung. "Das SEM integriert sich in die Backend-Systeme bei DATEV. Sämtliche Konfigurationsänderungen, neue Parameter usw. im VPN werden automatisch übernommen. Da das Management System von NCP Hand in Hand mit dem Management System von Lancom für die Kanzleinetzwerke läuft, haben wir eine Lösung aus einem Guss", erläutert Dr. Beys.

Vormals komplizierte und aufwandsintensive Aufgaben wie das Anlegen und Löschen von Benutzern, die Verwaltung der Zugangsdaten und der einzelnen Nutzerrechte werden nun komfortabel durch den Systemadministrator über eine Web-Oberfläche administriert und über einen Webservicebus und die daran angebundenen Managementsysteme von NCP und Lancom auf die Endgeräte provisioniert. Gleichzeitig sorgen die Managementsysteme für die Überwachung und Einhaltung der kundenspezifischen Sicherheitsrichtlinien. Jedes Software-Update läuft vollautomatisiert ab, ohne dass der Anwender dieses selbst initiieren muss. Die Gefahr, dass er ein Update vergisst, oder die Update-Meldung einfach ignoriert, besteht nicht – ein weiterer wichtiger Baustein in punkto Sicherheit. Die NCP Remote Access VPN-Lösung hat sich für die DATEV als gute Investition erwiesen. Die hohe Modularität und Skalierbarkeit der VPN Software-Lösung geben der DATEV für die Zukunft genügend Spielraum für den Ausbau der Sicherheitsdienstleistung DATEVnet.
Lesen Sie hier den gesamten Anwenderbericht
NCP engineering GmbH auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter