Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Single Sign-on ein Risiko?


Fachbeitrag: Single Sign-on - Komfort für den Benutzer oder ein Sicherheitsrisiko?
Im gesamten Unternehmen können stärkere Passwörter als von der Policy vorgeschrieben durchgesetzt werden


Von Christian Koch, Consultant bei Secaron AG

(09.11.06) - Eine Anmeldung und man hat Zugriff auf alle Systeme - das ist der Traum eines jeden Benutzers. Wenn man heutzutage einen Blick auf die IT-Landschaften der Unternehmen wirft, so ist dies jedoch meist eine Wunschvorstellung. Die Benutzer haben mit Unmengen von Benutzernamen und Passwörtern für viele Anwendungen zu kämpfen. Problematisch ist dabei auch, dass die verschiedenen Anwendungen meist unterschiedliche Passwort-Policies haben. Nun muss sich der Anwender diese verschiedenen Benutzernamen und Passwörter aber auch noch merken können. Dies endet nicht selten in einer Liste von Namen und Passwörten am Arbeitsplatz des Benutzers oder darin, dass eine Reihe von Standardpasswörtern verwendet wird.

Die verschiedenen Arten von Single Sign-on

Die Idee hinter Single Sign-on (SSO) ist dem Benutzer den Komfort der einmaligen Anmeldung am System und dem Zugriff auf alle anderen Applikationen zu geben.

Grundsätzlich gibt es zwei Arten von Single Sign-on
>> Auf der einen Seite steht eine serverbasierte Lösung die meist für Webanwendungen verwendet wird und
>> auf der anderen Seite eine clientbasierte Lösung auf dem PC des Benutzers.

Bei Variante 1 ist der Hintergrund dem Benutzer mit einer Authentifizierung die Möglichkeiten des Zugriffs auf alle Webanwendungen eines Unternehmens zu geben und dabei auch die Rechte auf die einzelnen Anwendungen zu steuern. Der Single Sign-on ist dabei nur ein Teil der Gesamtlösung. Auf diese Variante wird im Rahmen dieses Artikels nicht eingegangen.

Variante 2 bildet eine reine Lösung zur einmaligen Anmeldung am PC des Benutzers und zum Zugriff auf alle weiteren installierten Anwendungen ohne extra Authentifizierung. Zur Realisierung wird immer eine Software auf dem PC benötigt, welche die Anmeldung an allen Anwendungen vornimmt. Die SSO Software (SSO Client) kennt alle Anmeldedaten des Benutzers in allen Anwendungen und kann somit automatisiert ohne Interaktion des Benutzers die Anmeldung durchführen.
In dieser Tatsache liegt auch das größte Risiko von Single Sign-on. Wenn die SSO-Software angreifbar ist, so besteht die Möglichkeit, dass ein Angreifer Zugriff auf alle Benutzernamen und Passwörter des Anwenders bekommt. Die sichere Speicherung dieser Daten ist dabei das wichtigste Kriterium für die Auswahl der geeigneten Software. Je nach Hersteller erfolgt die Speicherung der Anmeldedaten verschlüsselt auf der Festplatte des Clients, auf einem USB-Token oder auf einem zentralen Server. Aus reiner Sicherheitssicht ist der USB-Token zu bevorzugen, da hierbei eine Zwei-Faktor-Authentifizierung vorliegt. Nur bei Wissen der PIN und Besitz des Tokens kann ein Zugriff erfolgen. Aus reiner Komfortsicht ist sicherlich der zentrale Server zu bevorzugen, da dieser auch Roaming Profiles mit Single Sign-on ermöglicht und keine extra Hardware benötigt wird. Dieser zentrale Server stellt im Unternehmen dann aber auch das größte Sicherheitsrisiko dar.

Funktionsweise des SSO Client

Damit ein SSO-Client automatisch Anmeldedaten an Programme senden und auf Anmelde-Events der Anwendungen reagieren kann werden verschiedene Verfahren verwendet.

Bei normalen Windowsanwendungen erfolgt die Erkennung von Anmeldefenstern meist über "Windowhandler". Diese stellen eine ID zur Erkennung von Anmeldefenstern dar. Erscheint der Windowhandler im System, so erkennt dies der SSO-Client und schreibt automatisch die Anmeldedaten in die entsprechenden Felder der Maske.
Für die Konfiguration des SSO-Client werden die gültigen Windowhandler meist als Template hinterlegt und zentral verwaltet. Bei der ersten Anmeldung gibt der Benutzer seinen Benutzernamen und das aktuelle Passwort ein. Ab jetzt wird die Anmeldung von SSO-Client verwaltet. Die zweite große Gruppe für SSO-Client ist die Anmeldung an Webanwendungen. Hierbei erkennt der Client Eingabefelder auf Webseiten und gibt dem Benutzer die Möglichkeit die Eingaben zu speichern. Bei erneutem Zugriff erfolgt die Anmeldung automatisch.

Viele SSO-Clients besitzen auch die Möglichkeit auf Events der Passwort-Policy zu reagieren. Damit kann zum Beispiel der SSO-Client auf das Event "Passwort ist abgelaufen" reagieren und automatisch eine neues zufälliges Passwort erstellen. Dieses generierte Passwort kann jetzt sehr komplex sein, da es sich kein Benutzer für den täglichen Gebrauch merken muss. Damit kann im gesamten Unternehmen sichergestellt werden, dass nur starke Passwörter anhand der Passwortrichtlinie verwendet werden und dass kein Anwender für verschiedene Anwendungen das gleiche Passwort verwendet.

Fazit
Single Sign-on bietet eine gute Möglichkeit Sicherheit mit Komfort für den Benutzer zu kombinieren. Im gesamten Unternehmen können stärkere Passwörter als von der Policy vorgeschrieben durchgesetzt werden. Die SSO-Software bietet aber auch den größten Angriffsfaktor für das Unternehmen. Gelingt es einem Benutzer diese Software zu kompromittieren, so ist der Zugriff auf alle Anwendungen möglich.
Aus Betriebssicht stellt die SSO-Software auch eine sehr kritische Anwendung im Rahmen der Verfügbarkeit dar. Fällt sie aus, so kann kein Anwender auf seine Applikationen zugreifen, da nur der SSO-Client das Passwort kennt. Alles in allem kann man sagen, dass eine Single Sign-on Software schnell Akzeptanz bei den Benutzern findet, da sie eine Erleichterung darstellt. Der Einsatz ist jedoch nur nach genauer Analyse der einzelnen Anforderungen und nach Konzeption von Abläufen und Prozessen empfehlenswert. Secaron: ra)


- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Beste Liquidität sind vermiedene Ausgaben

    Durch die wirtschaftlichen Auswirkungen der weltweiten Corona-Pandemie sind viele Familienunternehmen mit existenziellen Herausforderungen konfrontiert - auch wenn sie bisher mit einem hervorragenden Geschäftsmodell und wirtschaftlich kerngesund unterwegs waren. Innerhalb weniger Tage muss das Management unverschuldet in den Krisenmodus umschalten, muss lose Enden von der Supply Chain bis zu den Absatzkanälen zusammenhalten, auf Sicht fahren und das Unternehmen ausschließlich über Liquidität steuern - und dies bei rechtlichen Rahmenbedingungen, die sich laufend ändern bzw. unklar sind. Doch wie in diesem Umfeld den Betrieb aufrechterhalten? Vier Schritte führen durch bzw. aus der die Krise.

  • Compliance-bezogene Kosten

    Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen? Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung. Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.

  • Triage-Entscheidungen treffen

    Bei der Bewältigung der Corona-Pandemie kann auch das deutsche Gesundheitssystem an seine Kapazitätsgrenzen stoßen. Abhängig von der weiteren Entwicklung der Pandemie kann es wie etwa in Italien zu Situationen kommen, in denen nicht mehr alle Patienten einer lebenserhaltenden Intensivbehandlung zugeführt werden können. Entscheidungen über die Zuteilung knapper Ressourcen wären dann unausweichlich. Da es an rechtsverbindlichen Vorgaben für solche Entscheidungen fehlt, bewegen sich Mediziner auf ethisch wie rechtlich ungesichertem Terrain. Im Ernstfall drohen Ärzten und Krankenhäusern erhebliche Haftungsrisiken, wenn einem Patienten die medizinisch erforderliche Behandlung verweigert wird.

  • Was bedeutet RTS SCA/CSC für PSD2?

    Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist. Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.

  • Datenqualität sowie Datenmaskierung

    FinTechs machen es den traditionellen Geldinstituten vor, worin die Zukunft liegt: In den Kundendaten. Diese dürfen Banken jedoch nicht mehr in einen großen Pool leiten und in Datensilos verteilen. Stattdessen müssen sie dafür sorgen, dass ihre Abteilungen und Entwickler unkompliziert auf Daten zugreifen und diese datenschutzkonform verarbeiten. Erst dann können Banken ihren Kunden in Echtzeit personalisierte Angebote machen. Sobald eine Kunde etwas tut, gleichen gute Finanz-Startups die Aktion mit der Historie ab, um sofort ein personalisiertes Angebot zu unterbreiten. Diese Agilität ist der große Vorteil. Allerdings haben viele Verbraucher ihr Geld noch überwiegend bei einer klassischen Bank liegen. Die wenigsten wickeln ihre Überweisungen über FinTechs oder Messenger ab. Der Grund: Geldinstitute genießen bei Verbrauchern vor allem hinsichtlich des Datenschutzes das höchste Vertrauen. Diese Einschätzung trifft die "BLC Studie Datenschutz 2018", durchgeführt von Berg, Lund & Company. "Den Vertrauensvorschuss und ihre große Kundenbasis müssen Banken nutzen, um neue Geschäftsmodelle mutig anzugehen", empfiehlt die Studie. Bleibt die Frage nach dem Wie? Das schnelle Entwickeln einer App ist die Antwort. Doch dafür gilt es zunächst, für Datenqualität und -schutz zu sorgen - und zwar so, dass sich der Datenzugriff nicht verlangsamt. Genau das blockieren die Datensilos, welche die meisten Banken verwalten.