Das Szenario für den Anmeldevorgang sah demnach folgendermaßen aus: Die Mitarbeiter schicken ihre Daten nicht offen über die Funkverbindung, sondern halten drei Sicherheitsschritte ein. Zum einen werden die Daten verschlüsselt und - falls notwendig - mit der auf der Smartcard hinterlegten digitalen Unterschrift gesichert. Die Karte stellt zum anderen auch die Zugangsdaten bereit, mit denen sich der Nutzer im WLAN anmeldet. Zum dritten baut er - ebenfalls mit Hilfe der Smartcard - den VPN-Tunnel auf, über den die verschlüsselten Daten schließlich gesendet werden.

Mit dieser Vorgabe sahen sich Golüke und sein Team die Lösungen mehrerer Anbieter an. Schließlich entschieden sie sich für den langjährigen Partner Network Communications Products (NCP), der ebenfalls in Nürnberg ansässig ist. "Der direkte Kontakt bringt Vorteile in der Projektarbeit", ist Golüke überzeugt. Zudem hatte die Datev hinsichtlich der Verschlüsselung und Authentisierung für die ISDN-Einwahl schon mit NCP zusammengearbeitet. Deshalb unterstützte der "NCP Secure Client" auch bereits die Datev-Smartcard. Gemeinsam entschieden Kunde und Anbieter, die vorhandene Client-Software für die neuen Anforderungen weiterzuentwickeln.

Kein Bit am Server vorbei

Ein weiterer Knackpunkt war die kategorische Forderung, dass alle Datev-Laptops nur über den Datev-Server online sein sollten. "Egal welche DFÜ-Einrichtungen auf dem Rechner vorhanden sind - es darf kein Bit am Server der Datev vorbeigehen", so Golüke. Der Nutzer musste also daran gehindert werden, die Konfiguration in der Datenfernübertragung zu ändern, um sich beispielsweise bei seinem privaten Internet-Anbieter einzuwählen.

Die neue Version des "Secure Client" stellt dies sicher: Das System erkennt, wenn der Anwender über eine neue WLAN-Karte oder ein externes Modem die intern festgelegten Einwahlmodi zu umgehen versucht, und blockiert die Verbindung. Last, but not least verfügt die Client-Software über eine integrierte "Personal Firewall", die alle im System vorhandenen Netzadapter schützt.