Mobilwinzlinge bei Datev à la carte

Vorderhand muss man freilich keineswegs Betriebssystem-Kerne angreifen, um Firmen-Handhelds lahm zu legen oder auszuspionieren. Eine jüngst durchgeführte Befragung von Ubitexx hat ergeben, dass gerade bei Unternehmen mittlerer Größe (500 bis 1999 Mitarbeiter) »erschreckend geringe Sicherheitsvorkehrungen zu verzeichnen sind«, so Ubitexx-Geschäftsführer Markus Müller. Nur 46 Prozent dieser besonders in Deutschland wichtigen Unternehmensgruppe haben laut Müller eine Authentisierungs- und Autorisierungslösung auf den Geräten installiert, nur 39 Prozent haben ihre Kleinstrechner verschlüsselt, obwohl jede Menge davon jährlich gestohlen wird oder sonstwie verloren geht. Gerade mal 28 Prozent haben einen VPN-Client installiert und nur etwas über zehn Prozent benutzen eine Smartcard-basierte Authentisierung. Die Zahl der Firmen, die bei der Authentisierung mit Zertifikaten und Tokens arbeiten, liegt nach den Erkenntnissen des Ubitexx-Geschäftsführers im Promillebereich. Der Nürnberger IT-Dienstleister für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte Datev ist einer dieser Vorbilder im Promillebereich. Bei Datev werden auf der MicroSD-Karte »certgate« der gleichnamigen Nürnberger Firma (bis vor Kurzem IICS) die hauseigenen Zertifikate gespeichert, die für die Nutzung von mobilen Rechnern von unterwegs aus vorgeschrieben sind. Die Sicherheitsfunktionen umfassen den Zugangsschutz zu dem Gerät, die Verschlüsselung der auf dem Gerät gespeicherten Daten sowie die Absicherung der VPN-Anbindung an das Firmennetz. Der dazu eingesetzte VPN-Client verwendet das auf der Smartcard gespeicherte Zertifikat zum Aufbau des VPN-Tunnels über Funknetze und zur Verschlüsselung der übertragenen Daten. »Alle anderen Schnittstellen des mobilen Geräts sind verriegelt, sodass ein ungesicherter Datenaustausch über Speicherkarte, USB-, Infrarot- oder Bluetooth-Schnittstelle nicht möglich ist«, sagt Heinrich Golüke, Leiter Kommunikationstechnik bei Datev.