Internet und Sicherheit - angesichts der fast täglichen Berichte über Hacker-Angriffe und Virenattacken scheint dies nur schwer miteinander vereinbar zu sein. Noch schwieriger wird es, wenn die zu schützenden Daten so sensible Informationen wie Steuererklärungen sind. Mit dem Zielkonflikt zwischen Internet-Zugang und höchstmöglicher Sicherheit sah sich auch die Nürnberger Datev konfrontiert, die als IT-Dienstleister rund 39000 Steuerkanzleien betreut: Bei den Steuerberatern wuchs der Wunsch, ebenfalls auf Internet-Dienste wie Web oder E-Mail Zugriff zu haben.
Um dieses Anliegen zu realisieren, waren zwei Szenarien vorstellbar. Die Steuerkanzleien verwirklichen den Internet-Zugang in Eigenregie, oder die Nürnberger bieten ihren Kunden den Zugang zum globalen Netz als Dienstleistung in Form eines zentralen Gateways an. Gerade die erste Option erschien der Datev mit ihren hohen Sicherheitsansprüchen als Horrorszenario. "In diesem Fall", so Heinrich Golüke, Leiter der Abteilung Datennetz-Systeme bei der Datev, "drohte die Gefahr, dass ein einziger unsicherer Zugang in einer Kanzlei die Sicherheit des ganzen Datev-Netzverbundes kompromittiert." In der Vergangenheit hatten die Nürnberger nämlich enorme Anstrengungen unternommen, um eine sichere Netzinfrastruktur aufzubauen. So bekamen etwa die Steuerkanzleien modifizierte ISDN-Karten, die eine sichere Authentifizierung gewährleisten. Ferner sorgte ein Corporate Network dafür, dass die gesamte Kommunikation zwischen Steuerkanzlei und Datev-Rechenzentrum über gesicherte Fernverbindungen lief.
Vor diesem Hintergrund stand für den IT-Dienstleister schnell fest, dass man den Steuerkanzleien einen zentralen Internet-Zugang anbieten sollte. "Allerdings wollten wir uns nicht auf den Internet-Zugang beschränken, sondern den Kanzleien gleich ein ganzes Servicepaket offerieren, das Virenscanner, Proxy, Firewall-Systeme, E-Mail-Postfächer und anderes umfasst", erklärt Golüke. Die Idee des "Datev Net" war geboren. Auch wenn dieses als vollwertiger Internet-Service konzipiert ist, gibt es laut Abteilungsleiter Golüke Einschränkungen: "Uns war klar, dass wir aus Sicherheitsgründen bestimmte Internet-Funktionen nicht durchreichen können." Parallel zu diesen Überlegungen entstand noch die "Datev Stadt", das Internet-Portal der Datev, in dem die eigenen IP-Dienste der Nürnberger zusammengefasst wurden.
Konzeptphase
Während das Dienstleistungskonzept schnell stand, ergaben sich hinsichtlich der Realisierung etliche offene Fragen. Das kleinste Problem war dabei die Wahl des physikalischen Zugangs zu Datev Online. Hier setzten die Nürnberger auf die für Business-Kunden konzipierte IP-Plattform der Telekom, ein VPN mit ATM und Frame Relay. Mehr Kopfzerbrechen bereitete dagegen die Frage, wie man die Benutzer authentifizieren und für bestimmmte Dienste freischalten konnte. "Zumal wir den Kanzleien bei höchster Sicherheit einen großen Freiheitsraum einräumen wollten", erläutert Datev-Manager Golüke, "um ihnen die Möglichkeit zu geben, selbst zu entscheiden, welcher Mitarbeiter welche Dienste nutzen darf."
Angesichts dieser Grundfunktionen entstand das Pflichtenheft für den neuen Datev-Service. Die Diensteplattform sollte die Benutzer zentral identifizieren und autorisieren, gleichzeitig aber eine dezentrale Konfiguration erlauben, um den Kanzleien einen individuellen Gestaltungsraum zu eröffnen. Zudem sollte die Anbindung an die bisherigen Datendienste möglichst automatisch er-folgen, um eine manuelle Migration der dortigen User-Daten zu vermeiden. Ein weiterer Punkt im Pflichtenheft war die Skalierbarkeit der Plattform, um den Datev-Kunden ein performantes System bieten zu können. Damit das ganze System für die Kanzleien möglichst einfach zu bedienen ist, wurde als Frontend ein Web-Browser gefordert. "Und zu guter Letzt sollte natürlich unser Sicherheitsgrundsatz, die Trennung von interner Datev-DV und der DV für unsere Kunden, durchgehalten werden", zählt Golüke eine weitere Anforderung auf.
Aufgrund dieses Pflichtenhefts war bei der Datev allen Beteiligten schnell klar, dass eine solche Plattform nur mit Hilfe eines Directorys in Verbindung mit einem Radius-Server zu realisieren ist, wenn die geforderte Sicherheit garantiert werden soll und gleichzeitig ein wirtschaftlich effizienter Betrieb verlangt ist. Eine mögliche Lösung wäre die Verwendung von Open LDAP als Directory gewesen, denn mit dieser Open-Source-Software hatte die Datev bereits seit längerem im internen Einsatz Erfahrungen gesammelt. "Entsprechend intensiv wurde denn auch die Entscheidung gegen eine Open-Source-Lösung unter den Mitabeitern diskutiert", blickt Datev-Mann Golüke zurück. Gegen Open-Source habe vor allem gesprochen, dass man für den sehr sensiblen Bereich des Kundennetzes einen Partner haben wollte, der auch für die Weiterentwicklung des Produktes verantwortlich und rechtlich greifbar ist. Auch wegen der Punkte Support und Hilfestellung bei der Implementierung entschied man sich für ein kommerzielles Produkt.
Produktwahl
Viele angebotene Diretories schauten sich die Nürnberger nur auf dem Papier an. In die engere Wahl kamen lediglich die Lösungen von Siemens und Critical Path, denn mit letzterem Directory-Hersteller hatte man bereits Erfahrungen im klassischen DFÜ-Umfeld gesammelt. "Die Entscheidung fiel dann zugunsten von Siemens Dir X aus, da dieses mit seiner Shadowing-Funktion ein Feature bot, das die Konkurrenz so nicht hatte. Uns war wichtig, einen sicheren Replikationsmechanismus zwischen einer Master-Instanz und einer praktisch beliebigen Anzahl von Slave-Instanzen mit einzukaufen", erläutert Golüke den Entscheidungsprozess. Ferner sprachen für das Siemens-Produkt weiche Faktoren wie eine lange Zusammenarbeit mit dem Münchner Konzern sowie die Preiswürdigkeit des Angebots.
Das Thema der Konnektoren etwa zu TK-Anlagen und Scannerkassen, das die Hersteller gerne als Unterscheidungsmerkmal anpreisen, spielte bei der Datev nur eine untergeordnete Rolle, "auch wenn es für die Zukunft Freiheitsgrade versprach", so Golüke. Die untergeordnete Bedeutung der Konnektoren erklärt sich dadurch, dass die Nürnberger darauf achteten, LDAP-fähige Applikationen aufzubauen. "Bei der Inbetriebnahme von Anwendersystemen sorgen Host-Programme über LDAP-Schnittstellen für die automatische Erstbestückung des Directory-Service", erklärt Abteilungsleiter Golüke, warum die Konnektoren kein Thema waren.
Wie zahlreiche andere Unternehmen, die sich für eine Directory-Lösung entscheiden, machten auch die Nürnberger die Erfahrung, dass die anstrengendsten Aufgaben bei diesen Projekten in den Vorarbeiten stecken. "Die Erstellung der Schemafunktionen kostete viel Zeit und Hirnschmalz", lässt Golüke die Vorbereitungsphase Revue passieren.
Implementierungsphase
Die Implementierung auf den Rechnern ging dann nach Angaben des Abteilungsleiters deutlich schneller über die Bühne. Während die eigentliche Dir-X-Einführung dank der guten Vorbereitung der Datev-Mannschaft relativ reibungslos ablief, bereitete ein anderer Punkt mehr Probleme. Der Wunsch, den Browser als Web-Interface für die Kanzleien bei der Administration und Verwendung des Directory zu nutzen, war in der Praxis nicht ganz einfach zu verwirklichen. "Weil es sich bei dem zugrunde liegenden Protokoll letztlich um ein zustandsloses Protokoll handelt", schildert Golüke die Schwierigkeiten, "mussten wir viel Arbeit in das Interface investieren." Aber die Nürnberger IT-Mannschaft meisterte auch diese Hürde.
Mit einigem Abstand zur eigentlichen Implementierung blickt Golüke heute, vom Thema Web-Browser einmal abgesehen, zufrieden auf die erfolgreiche Directory-Einführung zurück: "In der Praxis hat sich unsere strikte Trennung von pyhsikalischem Zugang und Dienstenutzung bewährt." Ebenso haben die Nürnberger mit dem Konzept, die Account-Generierung im Directory von den internen Strukturen loszulösen, positive Erfahrungen gesammelt. Und der eigentlich wichtigste Pluspunkt, die Möglichkeit für die Steuerkanzleien, innerhalb des Directories die verschiedenen Internet-Dienste der Datev für die Mitarbeiter individuell freizuschalten, hat die Kunden überzeugt. Für Anwender, die selbst vor einer Directory-Einführung stehen, hat Golüke noch einen Ratschlag parat: "Analysieren Sie vorher die Dienste und das erforderliche Directory-Schema sehr genau, denn ohne diesen Schritt haben Sie bei der Directory-Implementierung verloren."
Mehr als ein Werkzeug
Dass Directories mehr sein können als nur ein Werkzeug, um die unterschiedlichsten Informationsquellen in einem Unternehmen zu harmonisieren, zeigt das Beispiel der Datev. Bei den Nürnbergern öffnete ein Directory den angeschlossenen Steuerkanzleien den Weg ins Internet, ohne dass sie auf Sicherheit verzichten müssen.
Abb: Netzstruktur
Verzeichnisdienste kontrollieren und steuern bei der Datev den Zugriff auf die verschiedenen IT-Dienste. Quelle: Datev