Für die Datev zählt Sicherheit zu den zentralen Leistungsversprechen. Mit dem Datev SmartLogin setzt der IT-Dienstleister jetzt auf eine Authentifizierungslösung, die das Smartphone zur Besitzkomponente macht.
Lohn und Finanzdaten von rund 2,5 Millionen Unternehmen laufen im Datev-Rechenzentrum zusammen. Jeden Monat werden für diese mehr als 11 Millionen Lohn- und Gehaltsabrechnungen mit Datev-Software erstellt – das Gros davon im Rechenzentrum.
Praktisch keine „unsensiblen“ Daten
Doch nicht nur mit den Unternehmen und Steuerberatern stehen die Datev-Rechenzentren in Verbindung. Auch mit den Netzen der Finanz- und Sozialbehörden realisiert die Datev einen ständigen Datenaustausch. Gut 400.000 Smartcards hat Datev inzwischen ausgegeben, um Nutzern sicheren Zugriff zu gewähren – wobei hinter einer solchen Karte teils Einzelpersonen, teils aber auch ganz Unternehmen stehen. Entsprechend wählen sich pro Tag tausende Nutzer und Programme mit sehr unterschiedlichen Autorisierungen ein.
Steuerberater nutzen das Rechenzentrum dabei auch als gemeinsame Arbeitsplattform mit ihren Mandanten, sie können deren Dateien einsehen und verändern. An die Finanz-, und Arbeitsämter wie auch an Sozialversicherungsträger werden Daten übertragen. Zusätzlich greifen viele Anwendungen auf die Daten in den Rechenzentren in Nürnberg und Umgebung zu. Dabei handelt es sich nicht nur um Gehaltsabrechnungen und Bilanzen, sondern um alle steuerrelevanten Unterlagen der Unternehmen: angefangen bei Belegen, die als Scans in die Rechenzentren übertragen werden, über Lohn- und Einkommensteuerdaten bis hin zur Finanz- und Lohnbuchführung der Unternehmen. So etwas wie unsensible Daten gibt es bei der Datev also so gut wie nicht.
2-Faktor-Autorisierung als eisernes Prinzip
Diese Daten vor unautorisiertem Zugriff oder gar Manipulation zu schützen, wäre schon ohne die enorme Menge an Zugriffen von außen anspruchsvoll genug. Da aber wie beschrieben Steuerberater, Unternehmensmitarbeiter und teilweise auch Privatpersonen zugreifen, realisieren die Nürnberger ein sehr strenges Zugriffsmanagement, das bis auf wenige Ausnahmen immer auf der sogenannten 2-Faktor-Authorisierung beruht. Jeder der zugreifen will, wird per Wissens- und per Besitzkomponente autorisiert. Das heißt im Klartext, ohne Smartcard aus dem eigenen Trustcenter ging bei der Datev bisher gar nichts. Für sie erfüllen alternative 2-Faktor-Autorisierungen mittels Einmalpasswörtern nicht die Anforderungen einer eindeutigen und nachweisbaren Autorisierung.
An dieser Stelle kommt Kobil Systems aus Worms ins Spiel. Der Sicherheitsanbieter stellt einen Smartcard-Leser in Form eines USB-Sticks bereit. Die Datev nutzt die Technologie in verschiedenen Ausprägungen. „Wir stellen unseren Anwendern pro Monat rund 5000 Sticks bereit“, erklärt Markus Golling, Leiter Entwicklung Security Produkte bei der Datev. Doch gemessen an der enormen Digitalisierungswelle, die zurzeit durch die Gesellschaft rollt, reiche das noch nicht, konstatiert der Sicherheitsexperte.
Datev SmartLogin-App als virtuelle Smartcard
Die Ausgabe einer solchen Menge an Hardware-basierten Authentifizierungsgeräten bildet natürlich einen immensen Kostenfaktor. Da Datev diesen gerne senken, aber nicht auf die 2-Faktor-Authentifizierung aus Besitz- und Wissenskomponente verzichten will, hat man sich entschlossen, Kobils neues m-Identity-Protection zu nutzen, das ohne ein zusätzliches Hardware-Device auskommt.
Auch die Device freie m-Identity-Protection Lösung arbeitet mit einem Frontend und einem Backend-Teil. Im Backend arbeitet ein sogenannter Smart Security Management Server (SSMS), aber das Frontend bildet eine Smartphone App, die die Smartcard ersetzt und jederzeit mit dem Backend-System in Verbindung steht. Sie werde bei der ersten Aktivierung eindeutig mit dem Smartphone verbunden, auf dem sie läuft, so dass die App auf dem Smartphone die Besitzkomponente darstellt, auf die die Datev nicht verzichten will.
Kobils Plattform setzt nicht nur das Smartphone als Besitzkomponente voraus, sondern auch die Bindung zwischen App, Device und Identität. Außerdem werde für diese Kommunikation ein eigener Übertragungskanal zum SSMS genutzt. Nur in Verbindung mit diesen eindeutigen Merkmalen erlaubt der SSMS den Zugriff auf die virtuelle Smartcard und somit die Berechtigung, die Identität zu nutzen. Das Sicherheitsniveau liegt damit sehr nah an der physischen Smartcard. Zusätzlich werde ein für andere Applikationen unsichtbarer sicherer Kanal zwischen App und Endgerät hergestellt, über den die verschiedenen Sicherheitsmechanismen die Echtheit von Nutzer, Gerät, App und der PIN verifizieren.
Quelle: Datev
Die Implementierung der Kobil-Technologie bietet Datev demnächst unter der Bezeichnung „Datev SmartLogin“ via Smartphone als Service an. Damit können Mandanten der Steuerberater beispielsweise ohne zusätzliche Hardware oder Softwareinstallation mobil per QR-Code-Scan die eigene Steuererklärung freigeben. Bisher war hierfür auf Mandantenseite die Installation des Datev Sicherheitspakets sowie der Besitz einer Datev SmartCard oder eines Datev mIDentity zur Authentifizierung Voraussetzung. Die neue App mache das überflüssig:
• Der Mandant ruft das Freizeichnungsportal der Datev auf und öffnet die SmartLogin-App am Smartphone.
• Er authentifiziert sich über den individuellen Pin in der App.
• Der im Freizeichnungsportal angezeigte QR-Code wird mit der App gescannt. Nach der daraufhin automatischen Anmeldung im Freizeichnungsportal steht dem Mandanten die Steuererklärung als PDF-Dokument zur Prüfung und Freigabe zur Verfügung.
Das Freizeichnungsportal läuft ohne zusätzliche Softwareinstallation in jedem Browser. So könne die Steuererklärung auch auf dem Mac oder iPad freigegeben werden. Eine elektronische Unterschrift ist nicht notwendig. Im Hintergrund dieser Anwendung, arbeitet der SSM-Server von Kobil. Die App und ihre Kommunikation mit dem SSM-Server wird ebenfalls mit Hilfe von Kobil-Technologie abgesichert.
Für die Datev war auch entscheidend gewesen, dass Kobil ein Software Development Kit (SDK) zur Verfügung stellt, das sich in jede App einbetten lasse. Damit kann das eigene App-Entwicklerteam der Datev arbeiten. Das SDK stelle die Fähigkeiten bereit, Apps vor dem Kopieren aus dedizierten Geräten, der Manipulation und der Erstellung von Fake-Apps zu schützen, ohne dabei die App Workflows in Frage zu stellen. Die mit Hilfe des SDK entwickelten Apps beherbergen den Frontend-Teil der Sicherheitslösung. Es biete eine Reihe integrierter Sicherheitsfunktionen wie
• Schutz vor Debugging und Reverse Engineering,
• Security Sensoren (Jailbreak-, Malware-Detection),
• Methoden der Software-Härtung zur Verhinderung bekannter Laufzeitangriffe,
• Schutz von bösartigen URL,
• Verschlüsselung
• Speicher für anwendungsspezifische Zertifikate, vertrauenswürdige Zertifizierungsstellen sowie für private Schlüssel und persönliche Zertifikate.
• Unerreichbarkeit für Anwendungen von Dritten.
Mit diesen Fähigkeiten ausgestattet, wird die App zum virtuellen Authentifizierungsgerät auf dem Smartphone oder Tablet des Kunden. Bei der ersten Aktivierung werde die App mit dem Mobilgerät verknüpft und registriere sich selbst auf dem SSMS.
Er kontrolliert:
• ob die mobile App wirklich auf dem ursprünglich registrierten Gerät läuft oder auf ein anderes Gerät kopiert wurde,
• ob die laufende App noch über ihren Originalcode verfügt oder modifiziert wurde,
• ob die Version dieser App korrekt ist oder aktualisiert werden muss,
• und er überprüft die Authentifizierung (die PIN des Anwenders) der mobilen Plattform.
Datev hat die Hardware-freie m-Identity-Lösung in Pilotprojekten bereits getestet. Für den Datev-Sicherheitsspezialisten Golling hat die Kobil-Lösung fünf Vorteile:
- Sie ist durch 2-Faktor-Authentisierung und 2-Kanalkommunikation praktisch genauso sicher, wie die Hardware basierende m-Identiy-Lösung
- Sie ist für den Anwender sehr einfach zu bedienen.
- Sie kann aufgrund ihrer Hardware- und Betriebssystemunabhängigkeit große Zielgruppen erreichen.
- Sie ist deutlich kostengünstiger als Hardware basierende Lösungen und
- der SSM-Server ist leicht in das Datev-Rechenzentrum und die Geschäftsprozesse integrierbar.
Christoph Witte/hei
Anzeige
IT-Security Guide 2014
Die isi Medien GmbH hat den IT-Security Guide 2014 erstellt. Zum E-Paper hier klicken.
Informationen und Beteiligungsmöglichkeiten erhalten Sie von Frau Charlotte Fellermeier unter: 089/ 90 48 62 23 oder per E-Mail: cfellermeier@isreport.de
