Zugangskontrolle und Benutzermanagement

Single Sign-on (SSO) statt Passwörter!

| Autor / Redakteur: Michael Neumayr / Peter Schmitz

Single Sign-on (SSO) kombiniert mit Multi-Faktor-Authentifizierung (MFA) erleichtert nicht nur für die Anwender die tägliche Arbeit mit unzähligen Accounts, sondern reduziert auch in der IT-Abteilung den Support-Stress.
Single Sign-on (SSO) kombiniert mit Multi-Faktor-Authentifizierung (MFA) erleichtert nicht nur für die Anwender die tägliche Arbeit mit unzähligen Accounts, sondern reduziert auch in der IT-Abteilung den Support-Stress. (© NicoElNino - stock.adobe.com)

Anwender müssen in ihrer täglichen Arbeit immer mehr Accounts zu unterschiedlichen Systemen, Anwendungen und Webapps jonglieren und für jeden Zugang soll sich der Benutzer dann auch noch ein sicheres, komplexes Passwort merken und am besten noch regelmäßig erneuern. Single Sign-on (SSO) hat seit langem das Potenzial viele Probleme zu lösen, aber viel zu wenige Unternehmen nutzen es.

Jeder IT-Nutzer kennt das Problem: Der Zugriff auf Programme, Apps und Accounts wird leider häufig durch Zugangsdaten – sprich Benutzername und Passwort – gesichert und reglementiert. Oft muss man sich den Account erst noch selber erstellen, also einen Benutzernamen wählen und sich ein Passwort dazu ausdenken. Oder man bekommt den Account von der IT gestellt und den Benutzernamen zusammen mit einem ein One-Time-Passwort (OTP) zugeschickt – mit der Aufforderung, sich ein neues, eigenes Passwort auszudenken. Schnell kommen so etliche Zugangsdaten zusammen: Laut einer Centrify Studie von 2014 (pdf) legte fast die Hälfte der Befragten pro Jahr mehr als 50 Accounts für Cloud-Services an.

Da stellt sich die Frage, wie man die Passwörter am besten verwaltet. Mehrere einfache Passwörter kann man sich ja vielleicht noch merken. Aber je nach Unternehmen gibt es Richtlinien für die Passwörter und Policies, die Passwörter regelmäßig zu ändern. Starke Passwörter sollen mindestens 8 oder mehr Zeichen, Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten. Mitarbeiter sollen zudem für jeden Account ein anderes, derart starkes Passwort nutzen, ihre Passwörter nicht notieren und dann auch noch regelmäßig ändern. Das überfordert viele Anwender und so verstoßen sie gegen das Verbot, Passwörter aufzuschreiben: Der Klassiker ist der Post-It unter der Tastatur, aber auch Excel-Dateien, die dann unverschlüsselt abgelegt werden, sind leider sehr beliebt. Wenn dann Hacker in die IT einbrechen und diese Excel-Dateien findet, ist der Schaden immens. Besser sind da schon Passwort-Safes, in denen Zugangsdaten verschlüsselt abgelegt werden. Anwender müssen sich nur noch das Master-Passwort merken, um Zugriff auf den Safe und damit auf ihre dort abgelegten Benutzerdaten zu erhalten. Erbeutet ein Hacker jedoch das Master-Passwort, sind sogleich alle Accounts gefährdet.

Sichere digitale Identitäten sind Grundlage der Digitalisierung

Neues eBook „Identity Protection“

Sichere digitale Identitäten sind Grundlage der Digitalisierung

09.06.17 - Wer die Vorteile der Digitalisierung nutzen will, muss sich um die Absicherung der digitalen Identitäten kümmern. Ohne Identity Protection birgt die Digitalisierung mehr Risiken als Chancen. lesen

Immer mehr Accounts, immer größerer Support-Aufwand

Die Realität zeigt, dass die Zahl der Accounts ständig weiter steigt und Anwender häufig Passwörter vergessen. Für Anwender ist das ärgerlich und kostet Zeit: Muss man doch bei der IT die Rücksetzung des Passworts beantragen. Oder man lässt sich vom Dienst selbst ein neues Passwort zuschicken, was dann wiederum meist ein OTP ist. Also wieder ein neues Passwort ausdenken und merken. Oder doch das neue Passwort in die Excel-Liste eintragen, oder aufschreiben, oder ein Ticket eröffnen und bei der IT einen Passwort-Safe beantragen. Bedeutet eine Passwortrücksetzung für den Anwender nur Ärger und Zeitverlust, sieht die unternehmensweite Bilanz schon ganz anders aus. In kleinen Unternehmen mit 500 Mitarbeitern belaufen sich die jährlichen Kosten bereits auf ungefähr 170.000 Euro, weil Passwörter zurückgesetzt werden müssen oder sich Anwender nur mühsam an ihre Passwörter erinnern.

Zum Ärger mit der Verwaltung der Zugangsdaten kommt noch die Sicherheitsproblematik hinzu. Niemand will auf Phishing-Mails hereinfallen. Und niemand verwendet absichtlich ein sehr einfaches Passwort, damit Hacker per Wörterbuch- oder Brute-Force-Attacke besonders leichtes Spiel haben. Auch verwendet man nicht absichtlich dasselbe Passwort für mehrere Accounts, um es Hackern einfach zu machen. Aber gute Absichten allein sind kein wirksamer Schutz. Bei einer Centrify Umfrage auf der it-sa 2016 gaben 17 Prozent der Befragten an, dass sie nur zwischen ein bis fünf Passwörter nutzen. Fast 8 Prozent der Befragten gaben erschreckenderweise sogar zu, lediglich ein Passwort für all ihre Systeme und Online Accounts zu nutzen. Kommen dann noch fehlende Policies hinzu, sind die Sicherheitslücken enorm: zu viele gleiche, zu viele einfache und zu viele gleiche einfache Passwörter „schützen“ die Systeme nicht ausreichend.

Da verwundert es nicht, dass Zugangsdaten die einfachste und am weitesten verbreitete Angriffsmöglichkeit sind. Laut dem Verizon Data Breach Investigation Report 2017 lassen sich 81 Prozent der durch Hacks verursachten Datenschutzverletzungen auf gestohlene bzw. schwache Passwörter zurückführen.

Single Sign-on macht vieles einfacher

Zugangsdaten, die in den Händen der Endanwender liegen, sind also nicht nur unproduktiv und teuer, sondern sie bieten auch keinen guten Schutz. Die Lösung dafür heißt Single Sign-on (SSO), kombiniert mit Multi-Faktor-Authentifizierung (MFA). So müssen Anwender beispielsweise beim Single Sign-on des Centrify Identity Service (CIS) im einfachsten Fall – also innerhalb der Domäne und je nach Policy – nur ihr Gerät entsperren. Außerhalb der Domäne muss man sich, abhängig von den Policies, eventuell noch beim Start des Centrify Portals mit Benutzername und Passwort anmelden. Einmal im Portal eingeloggt, übernimmt ein Service alle weiteren Anmeldeprozesse bei Cloud-, Mobil- und On-Premise-Applikationen. Somit entfällt nicht nur das händische Einloggen bei jedem einzelnen Account, als Anwender wird man komplett von der Passwort-Verwaltung befreit. Und da man als Endanwender die einzelnen Passwörter nun gar nicht mehr kennt, kann man sie weder aufschreiben, verlieren, vergessen, noch bei Phishing-Mails eingeben.

Das SSO-Prinzip erleichtert es der IT auch, neuen Anwendern neue Accounts bei Applikationen zuzuweisen. Startet man als neuer Mitarbeiter in einem Unternehmen, kann man Cloud-, Mobil- und On-Premise-Applikationen sofort nutzen, ohne selbst erst Accounts erstellen zu müssen. Auch wenn Anwender aus einem Unternehmen ausscheiden, macht SSO es der IT-Abteilung leichter: Die Accounts eines ausgeschiedenen Mitarbeiters lassen sich zentral mit wenigen Klicks stilllegen.

Für den Zugriff auf manche Applikationen gelten besonders hohe Sicherheitsregeln, weshalb sie von der IT-Abteilung per MFA gesichert werden. Dann werden ein oder mehrere zusätzliche Faktoren neben dem Passwort für ein Login benötigt. Als Anwender kann man sich bei herkömmlichen MFA-Lösungen oft nur dann anmelden, wenn man sein normales Passwort weiß und Smartcards oder Tokens dabeihat oder komplizierte Einmalpasswörter eingibt. Prinzipiell ist MFA eine gute Sache, verhindert sie doch, dass Hacker nur mit Benutzername und Passwort Zugriff auf Systeme bekommen.

Aber für Anwender ist MFA erst dann keine Produktivitätseinschränkung mehr, wenn MFA vom Anwender her gedacht wird. Herkömmliche MFA-Lösungen versagen hier leider oft: Smartcards oder Tokens kann man vergessen, das Eingeben komplizierter Einmalpasswörter kostet Zeit. Zeitgemäße MFA-Lösungen und die dazugehörigen gut integrierten Apps funktionieren eingebundene mobile Endgeräte zu Authentifizierungsinstrumenten um. Ein Tap auf einen Button auf Smartwatch- oder Smartphone-Display genügt zum Einloggen bzw. bestätigen – Smartwatch oder Smartphone fungieren hier als zweiter Faktor. Innovative MFA-Lösungen realisiert so eine gute Balance zwischen Sicherheit und Komfort.

Mit Derived Credentials können Anwender auch auf per Smartcard geschützte Applikationen zugreifen. Anwender müssen dazu erst beispielsweise per Self Service in einem Portal die Daten ihrer Smartcard verschlüsselt auf ihre mobilen Endgeräte spielen und speichern. Will man nun auf eine IT-Ressource zugreifen, für die eine Authentifizierung per Smartcard erforderlich ist, muss man jetzt nicht mehr die physische Smartcard in ein Lesegerät einführen. Stattdessen fragt der Service die so genannten Derived Credentials vom mobilen Endgerät ab, liefert sie bei der IT-Ressource ab und vermittelt dann den Zugriff. Somit sind zusätzliche Smartcard-Lesegeräte überflüssig.

Das Problem mit der Multi-Faktor-Authentifizierung

Auch wenn MFA ähnlich anwenderfreundlich wie oben skizziert funktioniert, ist sie für Anwender immer noch relativ störend, wenn sie nicht adaptiv ist. Adaptiv bedeutet, dass MFA nur dann erforderlich ist, wenn ein Sicherheitsrisiko besteht. Leider ist bei vielen Lösungen MFA entweder immer an oder immer aus. Denn bisher wurde bei der Erstellung von Sicherheitsrichtlinien für Mitarbeiter, Auftragsnehmer, Partner und privilegierte Anwender typischerweise die Sicherheit über die Benutzererfahrung gestellt. Policies für Endgeräte, Apps, Seiten, Services und Ressourcen mussten zudem händisch erstellt werden und waren dann vergleichsweise starr.

Um das zu lösen, bietet es sich an, dass eine MFA-Lösung maschinelles Lernen zur Risikoeinschätzung nutzt. Die Risikoeinschätzung basiert auf dem (sich ständig verändernden) Anwenderverhalten. Anhand dieser Risikoeinschätzungen wird die passende Reaktion auf eine Anwenderaktivität durchgeführt. Dabei entscheidet die Lösung in Echtzeit, ob der Zugriff gewährt wird, ob zu einer besseren Authentifizierung per MFA aufgefordert werden soll oder ob der Zugriff komplett geblockt wird.

Informationen zu Ort, Uhrzeit und Gerät und mehr bilden die Basis für die Risikoeinschätzung. Für Anwender bedeutet das, dass sie eine reibungslose Benutzererfahrung per SSO ohne MFA genießen können, wenn sie ein geringes Risiko darstellen. Wenn man also als Anwender im Firmenstandort zur gewohnten Zeit mit seinem üblichen Gerät arbeitet und seine üblichen Applikationen nutzt, ist keine MFA mehr nötig. Vertriebsmitarbeiter, die häufig in Deutschland unterwegs sind, würden dagegen nur dann zur MFA aufgefordert werden, wenn sie sich beispielsweise aus Frankreich anmelden. Oder von einem anderen Gerät aus. Adaptive MFA bedeutet für Anwender unkomplizierten Zugriff und gesteigerte Produktivität bei gleichzeitig hoher Sicherheit.

Die Arbeit verändert sich durch SSO und adaptive MFA aber nicht nur für den einzelnen Anwender. Auch die IT-Abteilung wird durch SSO und ein auf maschinellem Lernen basierenden System unterstützt. Policies für Endgeräte, Apps, Seiten, Services und Ressourcen müssen nicht mehr händisch erstellt werden. Was machen die Kollegen aus der IT-Abteilung dann eigentlich, wenn sie nicht mehr ständig Passwörter zurücksetzen oder händisch Policies erstellen müssen? Den Führungskräften fällt da sicher was ein: Bestimmt können dann endlich Projekte verstärkt vorangetrieben werden, von denen die Organisation als Ganzes profitiert und die neue Einnahmen generieren.

Über den Autor: Michael Neumayr ist Regional Sales Manager Zentraleuropa bei Centrify.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44815213 / Single Sign-on)