Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Single Sign-on ein Risiko?


Fachbeitrag: Single Sign-on - Komfort für den Benutzer oder ein Sicherheitsrisiko?
Im gesamten Unternehmen können stärkere Passwörter als von der Policy vorgeschrieben durchgesetzt werden


Von Christian Koch, Consultant bei Secaron AG

(09.11.06) - Eine Anmeldung und man hat Zugriff auf alle Systeme - das ist der Traum eines jeden Benutzers. Wenn man heutzutage einen Blick auf die IT-Landschaften der Unternehmen wirft, so ist dies jedoch meist eine Wunschvorstellung. Die Benutzer haben mit Unmengen von Benutzernamen und Passwörtern für viele Anwendungen zu kämpfen. Problematisch ist dabei auch, dass die verschiedenen Anwendungen meist unterschiedliche Passwort-Policies haben. Nun muss sich der Anwender diese verschiedenen Benutzernamen und Passwörter aber auch noch merken können. Dies endet nicht selten in einer Liste von Namen und Passwörten am Arbeitsplatz des Benutzers oder darin, dass eine Reihe von Standardpasswörtern verwendet wird.

Die verschiedenen Arten von Single Sign-on

Die Idee hinter Single Sign-on (SSO) ist dem Benutzer den Komfort der einmaligen Anmeldung am System und dem Zugriff auf alle anderen Applikationen zu geben.

Grundsätzlich gibt es zwei Arten von Single Sign-on
>> Auf der einen Seite steht eine serverbasierte Lösung die meist für Webanwendungen verwendet wird und
>> auf der anderen Seite eine clientbasierte Lösung auf dem PC des Benutzers.

Bei Variante 1 ist der Hintergrund dem Benutzer mit einer Authentifizierung die Möglichkeiten des Zugriffs auf alle Webanwendungen eines Unternehmens zu geben und dabei auch die Rechte auf die einzelnen Anwendungen zu steuern. Der Single Sign-on ist dabei nur ein Teil der Gesamtlösung. Auf diese Variante wird im Rahmen dieses Artikels nicht eingegangen.

Variante 2 bildet eine reine Lösung zur einmaligen Anmeldung am PC des Benutzers und zum Zugriff auf alle weiteren installierten Anwendungen ohne extra Authentifizierung. Zur Realisierung wird immer eine Software auf dem PC benötigt, welche die Anmeldung an allen Anwendungen vornimmt. Die SSO Software (SSO Client) kennt alle Anmeldedaten des Benutzers in allen Anwendungen und kann somit automatisiert ohne Interaktion des Benutzers die Anmeldung durchführen.
In dieser Tatsache liegt auch das größte Risiko von Single Sign-on. Wenn die SSO-Software angreifbar ist, so besteht die Möglichkeit, dass ein Angreifer Zugriff auf alle Benutzernamen und Passwörter des Anwenders bekommt. Die sichere Speicherung dieser Daten ist dabei das wichtigste Kriterium für die Auswahl der geeigneten Software. Je nach Hersteller erfolgt die Speicherung der Anmeldedaten verschlüsselt auf der Festplatte des Clients, auf einem USB-Token oder auf einem zentralen Server. Aus reiner Sicherheitssicht ist der USB-Token zu bevorzugen, da hierbei eine Zwei-Faktor-Authentifizierung vorliegt. Nur bei Wissen der PIN und Besitz des Tokens kann ein Zugriff erfolgen. Aus reiner Komfortsicht ist sicherlich der zentrale Server zu bevorzugen, da dieser auch Roaming Profiles mit Single Sign-on ermöglicht und keine extra Hardware benötigt wird. Dieser zentrale Server stellt im Unternehmen dann aber auch das größte Sicherheitsrisiko dar.

Funktionsweise des SSO Client

Damit ein SSO-Client automatisch Anmeldedaten an Programme senden und auf Anmelde-Events der Anwendungen reagieren kann werden verschiedene Verfahren verwendet.

Bei normalen Windowsanwendungen erfolgt die Erkennung von Anmeldefenstern meist über "Windowhandler". Diese stellen eine ID zur Erkennung von Anmeldefenstern dar. Erscheint der Windowhandler im System, so erkennt dies der SSO-Client und schreibt automatisch die Anmeldedaten in die entsprechenden Felder der Maske.
Für die Konfiguration des SSO-Client werden die gültigen Windowhandler meist als Template hinterlegt und zentral verwaltet. Bei der ersten Anmeldung gibt der Benutzer seinen Benutzernamen und das aktuelle Passwort ein. Ab jetzt wird die Anmeldung von SSO-Client verwaltet. Die zweite große Gruppe für SSO-Client ist die Anmeldung an Webanwendungen. Hierbei erkennt der Client Eingabefelder auf Webseiten und gibt dem Benutzer die Möglichkeit die Eingaben zu speichern. Bei erneutem Zugriff erfolgt die Anmeldung automatisch.

Viele SSO-Clients besitzen auch die Möglichkeit auf Events der Passwort-Policy zu reagieren. Damit kann zum Beispiel der SSO-Client auf das Event "Passwort ist abgelaufen" reagieren und automatisch eine neues zufälliges Passwort erstellen. Dieses generierte Passwort kann jetzt sehr komplex sein, da es sich kein Benutzer für den täglichen Gebrauch merken muss. Damit kann im gesamten Unternehmen sichergestellt werden, dass nur starke Passwörter anhand der Passwortrichtlinie verwendet werden und dass kein Anwender für verschiedene Anwendungen das gleiche Passwort verwendet.

Fazit
Single Sign-on bietet eine gute Möglichkeit Sicherheit mit Komfort für den Benutzer zu kombinieren. Im gesamten Unternehmen können stärkere Passwörter als von der Policy vorgeschrieben durchgesetzt werden. Die SSO-Software bietet aber auch den größten Angriffsfaktor für das Unternehmen. Gelingt es einem Benutzer diese Software zu kompromittieren, so ist der Zugriff auf alle Anwendungen möglich.
Aus Betriebssicht stellt die SSO-Software auch eine sehr kritische Anwendung im Rahmen der Verfügbarkeit dar. Fällt sie aus, so kann kein Anwender auf seine Applikationen zugreifen, da nur der SSO-Client das Passwort kennt. Alles in allem kann man sagen, dass eine Single Sign-on Software schnell Akzeptanz bei den Benutzern findet, da sie eine Erleichterung darstellt. Der Einsatz ist jedoch nur nach genauer Analyse der einzelnen Anforderungen und nach Konzeption von Abläufen und Prozessen empfehlenswert. Secaron: ra)



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Daten in virtuellen Datenräumen

    Die Lage der IT-Sicherheit ist weiterhin angespannt und die Zahl der Cyberangriffe steigt stetig. Betroffen sind neben Privathaushalten vor allem Unternehmen, Organisationen und Behörden. Das bestätigt auch die aktuelle Studie des Branchenverbands Bitkom: Neun von zehn Unternehmen wurden im vergangen Jahr Opfer eines Cyberangriffs. Eines der größten Einfallstore für Cyberkriminelle ist dabei der ungesicherte Austausch sensibler Informationen. Rund 68 Prozent der befragten Unternehmen geben an, dass Cyberkriminelle Kommunikationsdaten entwendet haben.

  • Moderne Banken-IT-Sicherheit

    Die Sicherheitsabläufe einer Bank zu verwalten, ist ein komplexes Unterfangen. Es bedarf hohem Aufwand, um mit den sich ständig ändernden Sicherheitsanforderungen Schritt zu halten. Entsprechend lang ist die Liste für Sicherheitsverantwortliche. Da ist die kontinuierliche Integration genannter Anforderungen in die bestehende Infrastruktur: IT-Abteilungen müssen mit den stetigen Veränderungen der Gesetzeslage mithalten.

  • Sich für das Lieferkettengesetz wappnen

    Das Lieferkettengesetz bereitet vielen Unternehmen Kopfzerbrechen - vor allem, weil sie nicht wissen, wie sie seine Anforderungen erfüllen sollen, ohne dass der bürokratische Aufwand und die Kosten aus dem Ruder laufen. Ab dem 1. Januar 2023 treten die Vorschriften des Lieferkettengesetzes stufenweise in Kraft. Danach müssen fast 3.000 Unternehmen in Deutschland mit mehr als 1.000 Beschäftigten sicherstellen, dass ihre nationalen und internationalen Lieferanten keine Menschenrechte verletzen, die Grundsätze der Arbeitssicherheit beachten und die Auflagen des Umweltschutzes erfüllen. Hierfür gilt es in den nächsten Monaten die Voraussetzungen zu schaffen.

  • Betriebsrente jenseits BetrAVG

    Wer als Arbeitgeber Betriebsrenten gestalten möchte, schaut in das Betriebsrentengesetz, genauer das Betriebliche Altersversorgungsgesetz (BetrAVG). Doch eine Betriebsrente nach dem BetrAVG zu gestalten passt meist weder zu den Arbeitgeberbedürfnissen noch für Arbeitnehmer. Gesetzesänderungen auch infolge EU-Recht und Rechtsprechung machen das BetrAVG zudem unberechenbar. Wirkliche Freiheit für eine Gestaltung nach eigenen Wünschen gewinnt, wer das BetrAVG als unnötige Belastung und Einschränkung über Bord wirft. Dazu bedarf es erstaunlich wenig - bewirkt indes viel. Das unnötige Korsett des Betriebsrentengesetzes hat bereits abgestreift, wer die Rente nicht als Arbeitgeber selbst zusagt. Denn der erste Satz besagten Gesetzes lautet "Werden einem Arbeitnehmer Leistungen der Alters-, Invaliditäts- oder Hinterbliebenenversorgung aus Anlass seines Arbeitsverhältnisses vom Arbeitgeber zugesagt (betriebliche Altersversorgung), gelten die Vorschriften dieses Gesetzes." Sobald also nicht der Arbeitgeber die Zusage erteilt, gilt schlicht das ganze Gesetz dafür nicht, nicht mal eine einzige Bestimmung daraus. Richtig gemacht ergibt sich so größte Freiheit für eine optimale und flexible Gestaltung von Betriebsrenten.

  • Mittels gezielter Analyse Geldwäsche erkennen

    Terroristen, organisierte Kriminelle, Menschenhändler, Drogenschmuggler, korrupte Politiker - sie alle nutzen den internationalen Finanzmarkt, um ihre inkriminierten Gelder zu waschen und daraus Profit zu schlagen. Geldwäsche. Überall. Ungehindert. Ungestraft. Die aktuellen Enthüllungen um die FinCEN-Files zeigen ein globales Problem schonungslos auf, dessen Dimension kaum zu fassen ist. Laut einstimmigen Berichten werden 5,5 Milliarden Dollar gewaschen - täglich. Die Vereinten Nationen sprechen von nur circa 0,2 und einem Prozent von Fällen, die tatsächlich erkannt werden. Für Deutschland gibt es verschiedene Schätzungen, wonach das Volumen des gewaschenen Geldes zwischen 50 und 110 Milliarden Euro jährlich liegt. Wie die FinCEN-Files laut einschlägigen Medienberichten darlegen, zeigen diese Nachforschungen insbesondere die systemischen Fehler in der Bekämpfung von Geldwäsche auf. Kriminelle können ohne große Hindernisse Geldwäsche betreiben, in mehreren Fällen ist es so, dass die notwendigen Meldungen über verdächtige Transaktionen im Schnitt ein halbes Jahr lang nicht an die entsprechenden Anti-Geldwäsche-Behörden weitergeleitet wurden.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen