Die Deutsche Bank hat sich zu diesem Schritt entschlossen, weil das zuerst eingeführte VPN-System über IP Security (Ipsec) gegen Fremdzugriffe gesichert ist und dieses Verfahren im Unterschied zu SSL eine Installation auf den Clients erfordert. "Ein Großteil unseres Budgets floss in die Verteilung von Software und die Konfiguration von Clients", begründet George Young, Director Worldwide Remote Access bei der Deutschen Bank, die Entscheidung. In absehbarer Zukunft würden beide VPNs parallel betrieben, da im Unternehmen nicht alle Anwendungen via Web zugänglich sind. Für diese Programme erfolgt der Zugriff weiterhin über Ipsec-Clients.

Insgesamt hat rund ein Drittel der insgesamt 78000 Mitarbeiter Fernzugangsrechte auf das Intranet. Mittlerweile erfolgen 20 Prozent dieser Zugriffe über das Browser-basierende VPN. Die von Nortel Networks gelieferte Technik läuft auf Servern in den Datenverteilzentren, unter anderem in London, New York und Tokio.

Young hält die beim Ipsec-Verfahren angewandte Verschlüsselung auf dem Netzlayer für sicherer als die SSL-Verschlüsselung auf Anwendungsebene. SSL-basierende VPNs seien beispielsweise anfälliger für Trojanische Pferde. Er hat deshalb eine zusätzliche Vorsichtsmaßnahme ergriffen. Während der SSL-Anmeldungsprozedur wird der Desktop des Anwenders nach Viren gescannt und im Zweifelsfall der Zugriff verweigert. "Über eine Bildschirmmeldung teilen wir den Nutzern mit, dass ihr Rechner gerade geprüft wird", so Young. Der Prüfvorgang nehme nur wenige Sekunden in Anspruch. Der Finanzdienstleister nutzt hierfür "Confidence Online" von Wholesecurity. Die Software lädt ein Active-X- oder Netscape-Plug-in auf jeden Rechner, der von außen auf das Netz zugreifen möchte.

Zusätzlich setzt die Deutsche Bank keine mehrmals verwendbaren Passwörter ein. Stattdessen hat sie an alle zugriffsberechtigten Mitarbeiter und Partner "Secur-ID"-Tokens von RSA Security ausgegeben, womit sich immer neue Passwörter erzeugen lassen. (rg)