:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
PAM vs. SSO vs. Password Manager Der richtige Zugriffsschutz für die eigene IAM-Strategie
Anwender nutzen immer mehr unterschiedliche Services und fast jedes dieser Systeme verlangt eine Authentifizierung durch Benutzername und Passwort. Egal, ob Unternehmen für eine gesicherte Anmeldung auf PAM (Privileged Access Management), SSO (Single Sign-On) oder Passwort-Management setzen: Jedes Tool spielt eine bestimmte Rolle im Identity and Access Management (IAM).
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Sicherheitsbewusste Unternehmen, die ein IAM-System einführen wollen, sollten wissen, dass es kein einzelnes Tool zur absoluten Minimierung von identitätsbezogenen Risiken gibt. Eine umfassende IAM-Strategie erfordert drei Tools: 1. PAM (Privileged Access Management), 2. SSO (Single Sign-On) und 3. einen Passwort-Manager. Ein genauerer Blick auf jedes einzelne Tool hilft, ein besseres Gefühl dafür zu bekommen, welche Rolle es jeweils für das ganze IAM-System spielt.
PAM (Privileged Access Management) bietet Unternehmen eine sichere Möglichkeit, privilegierte Nutzer mit Zugang zu sensiblen Konten zu autorisieren und zu überwachen. Außerdem kann durch PAM versehentlichem oder bewusstem Missbrauch eines privilegierten Zugangs vorgebeugt werden.
Durch SSO (Single Sign-On) kann das Unternehmen seinen Nutzern über eine einzige Login-Kombination (aus Benutzername und Passwort) pro Sitzung sicheren Zugang zu mehreren Anwendungen gewähren. Nach dem Login sind die Nutzer für alle Anwendungen autorisiert, auf die sie Zugriff haben und die durch die SSO-Lösung abgedeckt werden. SSO bietet SAML-Authentifizierung und kommuniziert über Active Directory (AD). Es ist wichtig, SSO mit einer Zwei-Faktor-Authentifizierung zu verbinden, um für sensible Konten eine zweite Sicherheitsebene einzufügen.
Ein Passwort-Manager ist für Unternehmen eine sichere Methode, um dafür zu sorgen, dass alle Nutzer in allen Konten starke Passwörter verwenden. Wie bei SSO erhält der Nutzer über ein Master-Passwort Zugang zu allen Anmeldedaten. Im Gegensatz zu SSO funktioniert ein Passwort-Manager jedoch für alle Benutzerkonten (auch Cloud-Anwendungen) und ist nicht an eine Sitzung gebunden. Auch hier ist es wichtig, einen Passwort-Manager mit einer Zwei-Faktor-Authentifizierung zu verbinden, um für sensible Konten eine zweite Sicherheitsebene einzufügen.
Vor- und Nachteile: PAM vs. SSO vs. Passwort-Manager
Vorteile von PAM:
- Hoch entwickelt
- Gezielte Kontrolle möglich
- Detaillierte Überprüfung
- Programmgesteuerte Unterstützung im Einzelfall beim Zugangsschlüsselmanagement u. ä. für privilegierte Konten (d. h. Zugangsmanagement über Nutzer mit den weitreichendsten Befugnissen, Zugangsschlüsselmanagement, Rotation für kritische Systeme etc.)
Nachteile von PAM:
- Erhebliche IT-Ressourcen für Einrichtung, Wartung und Überprüfung erforderlich
- Auf das IT-Team begrenzt
- Auf IT-Systeme begrenzt
- Deckt nur wenige Zugangsdaten ab
Vorteile von SSO:
- SAML (Security Assertion Markup Language) ist das am weitesten verbreitete Protokoll für SSO-Lösungen. SAML-basierte Authentifizierung ersetzt Service-Provider-spezifische, Passwort-basierte Authentifizierung über einen IdP (Identity Provider), der die Authentifizierung während einer Sitzung vornimmt und autorisierten Benutzern Zugang zu integrierten Services gewährt (und dabei die Richtlinien der Sicherheitsgruppe einhält).
- SAML-basierte Authentifizierung ist sehr sicher, aber immer davon abhängig, dass der Service Provider das SAML-Protokoll unterstützt.
- Durch die IT kontrolliert, weshalb bei bestimmten Geschäftskonten SSO verwendet werden muss
Nachteile von SSO:
- Nur ca. 10 Prozent der geschäftlichen Anwendungen/Dienste unterstützen das SAML-Protokoll, während die restlichen 90 Prozent nur Passwort-basierte Authentifizierung zulassen
- Deckt nicht alle Cloud-Anwendungen ab
- Deckt nicht alle Mitarbeiter-Konten ab (z. B. Privatkonten)
Vorteile eines Passwort-Managers:
- Kostengünstige, effiziente Lösung zum Schutz vor Angriffen durch unsichere Passwörter
- Fast alle SSO-Implementierungen beruhen auf Passwort-basierter Authentifizierung (somit ist wirklich nur eine Anmeldung erforderlich)
- Deckt alle Mitarbeiter ab
- Deckt alle Konten ab (privat und geschäftlich)
- Einfache Installation und Ausweitung, vor allem für Mitarbeiter, die keine Techniker sind
- Senkt die Zahl der Anfragen zu Passwörtern an die IT-Abteilung
Nachteile eines Passwort-Managers:
- Keine privilegierte Benutzer- oder Systemüberwachung möglich
- Kontrolle durch die IT aufgrund der Art des Tools in gewisser Weise eingeschränkt
:quality(80)/images.vogel.de/vogelonline/bdb/1387700/1387760/original.jpg "Eine Multi-Faktor-Authentifizierungslösung (MFA) erhöht das Sicherheitsniveau im Vergleich zur reinen Benutzername-Passwort-Kombination um ein Vielfaches. (Pixabay)")
Zweiter Faktor zum Schutz digitaler Identitäten
Token für die Multi-Faktor-Authentifizierung (MFA)
Was ist die beste Lösung für die eigene IAM-Strategie?
Mit den gewonnen Kenntnissen über die Vor-und Nachteile, ist es einfacher nachzuvollziehen, welches Tool in die IAM-Strategie passt.
Wenn ein Unternehmen sich um Geld keine Gedanken machen muss und auf der Suche nach Kontrolle und Sicherheit für seine IT-Systeme ist, ist eine PAM-Lösung am besten geeignet.
Eine PAM-Lösung muss jedoch durch SSO und einen Passwort-Manager ergänzt werden, um im gesamten Unternehmen für Sicherheit zu sorgen. Was bringt es, ein Tor (für privilegierte Benutzer/Systeme) zu bauen, wenn es nicht Teil des Zauns ist, mit dem Sie Ihre gesamte Angriffsfläche schützen?
Wenn die Entscheidung auf eine PAM-Lösung gefallen ist, dann sind die Risiken bekannt, die entstehen, wenn Sie auf SSO und einen Passwort-Manager verzichten. Denn damit sind die zahlreichen Cloud-, Arbeits- und Privatkonten, die im Unternehmen die größte Angriffsfläche bieten, geschützt.
Wenn ein Unternehmen ein begrenztes Budget hat und dennoch alle Benutzerkonten sichern und ein sicheres Passwort-Verhalten erzielen will, ist ein Passwort-Manager am besten geeignet.
Ein Passwort-Manager ist der beste erste Schritt zur Absicherung eines Unternehmens. Er deckt nicht nur alle Benutzerkonten ab, sondern ermöglicht und fördert auch eine Verhaltensänderung bei den Mitarbeitern. Statt überall dasselbe Passwort zu benutzen, ermöglicht es ein Passwort-Manager den Mitarbeitern, einzigartige, komplexe Passwörter für jedes Konto zu verwenden – egal, ob es sich um eine Cloud-Anwendung, ein geschäftliches oder ein privates Konto handelt. Und dabei müssen sie sich nur ein Master-Passwort merken.
Wenn ein Unternehmen erfolgreich einen Passwort-Manager eingeführt hat und von den Vorteilen überzeugt ist, wäre es sinnvoll, über eine SSO-Lösung nachzudenken, da dies die perfekte Ergänzung zu einem Passwort-Manager darstellt.
Wenn ein Unternehmen bestimmte Cloud-Anwendungen und die geschäftlichen Konten aller Benutzer sichern möchte, ist eine SSO-Lösung am besten geeignet.
Eine SSO-Lösung bietet einen guten Überblick und Schutz für zentrale Produkte, die ein Mitarbeiter für berufliche Zwecke verwendet. Da es sich bei den Zugangsdaten, die von einem SSO abgedeckt werden, um berufliche Zugangsdaten handelt und Benutzer auf diese Konten für die Arbeit zugreifen müssen, gibt es naturgemäß eine hohe Akzeptanzrate unter Mitarbeitern.
Wenn Unternehmen jedoch versuchen, ihr gesamtes System vor nachlässigem Passwortverhalten zu schützen, stellen sie fest, dass SSO zu kurz greift. Eine SSO-Lösung funktioniert durch Kontrolle und Zugang, da es eine begrenzte Zahl an Systemen gibt, die von der IT ausgewählt werden. Systeme außerhalb der SSO-Lösung sind hingegen unbegrenzt und werden vom Endnutzer ausgewählt. Dadurch entsteht eine Angriffsfläche, die vom Endnutzer geschützt werden muss. Deshalb kann eine SSO-Lösung gut durch einen Passwort-Manager ergänzt werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1301600/1301678/original.jpg "Die Stiftung Warentest hat neun Kennwortmanager verglichen. (pixabay)")
Passwortmanager unter der Lupe
Stiftung Warentest testet Passwort Manager
Warum Passwort-Manager SSO perfekt ergänzen
Die beiden größten Gefahren bei SSO-Lösungen sind folgende:
- Cloud-Anwendungen: SSO-Lösungen können nicht für alle Cloud-Anwendungen genutzt werden, da sie z. T. nicht integriert werden können. Nutzt ein Unternehmen Dutzende, wenn nicht gar Hunderte Cloud-Anwendungen, sollten man sich der Sicherheitslücke bewusst werden, die bestehen wird.
- Zugangsdaten für privaten und geschäftlichen Gebrauch: SSO-Lösungen können nicht für Zugangsdaten genutzt werden, die sowohl privat als auch geschäftlich genutzt werden (wie z. B. ein Expedia-Konto) und die zahlreichen Konten, die nicht für berufliche Zwecke genutzt werden und für die ein Passwort erforderlich ist. Ohne Passwort-Manager bedeutet jedes private Konto ein wiederverwendetes Passwort oder wiederverwendete Zugangsdaten, die genutzt werden können, um auf das Netzwerk oder die Daten Ihres Unternehmens zuzugreifen.
Bei der Suche nach einer Lösung machen Unternehmen meist zwei Fehler:
- Sie konzentrieren sich voll und ganz auf die Kontrolle und Vergabe von Passwörtern für die ihnen bekannten Konten. Stattdessen sollten sie ein System einführen, das dafür sorgt, dass ihre Endnutzer überall starke und einzigartige Passwörter erstellen und benutzen.
- Sie überschätzen die Bedürfnisse der IT-Abteilung und die Erfordernisse aus Richtlinien und unterschätzen die Bedürfnisse und die Erfahrung aller anderen Mitarbeiter.
Die Lösung ist einfach: Nutzt ein Unternehmen eine SSO-Lösung oder will sie als Teil der IAM-Strategie einführen, sollte diese immer mit einem Passwort-Manager kombiniert werden, um alle Benutzerkonten und Cloud-Anwendungen zu sichern und so Ihr gesamtes Netzwerk zu schützen.
In vielen Fällen beginnen Unternehmen zunächst mit einer kostengünstigen Lösung, die alle Bereiche abdeckt, wie z. B. einem Passwort-Manager. Das ist schon ein wichtiger Schritt für mehr Sicherheit im Unternehmen, aber man sollte sich bewusst sein, welche Sicherheitslücken bestehen, wenn man nur in eine PAM- oder SSO-Lösung investiert. Laut dem Datensicherheitsbericht von Verizon ist Datenmissbrauch in 81 Prozent der Fälle auf gestohlene und/oder schwache Passwörter zurückzuführen.
:quality(80)/images.vogel.de/vogelonline/bdb/1383800/1383800/original.jpg "Mit WebAuthn soll in Zukunft eine sichere und einfachere Anmeldung an Webdiensten ohne Kennwörter möglich sein. Daran arbeiten einige der größten IT-Unternehmen der Welt. (FIDO Alliance)")
Mozilla, Firefox, Google und Co mit neuer Authentifizierung
Mit WebAuthn ohne Kennwörter im Web
Über den Autor: Emmanuel Schalit ist der CEO von Dashlane und verfügt über mehr als 20 Jahre Erfahrung in der Geschäftsführung von globalen Unternehmen und Produktinnovationen in der Hightech- und Medienbranche. Schalit hat einen Master-Abschluss von der École Polytechnique in Paris und einen Doktortitel in Informatik der Université de Toulouse. Er studierte auch Marketing und Finanzen im Executive Education Programm an der Harvard Business School.
(ID:45352285)
:quality(80)/p7i.vogel.de/wcms/f1/20/f1201e12a24b35cc52f4483a20cfc12f/0104773382.jpeg "Der Quastenflosser gilt als lebendes Fossil. Auch die IT-Welt hat täglich mit lebenden Fossilien zu tun, den Passwörtern. Sie stammen noch aus einer Frühphase des Computer-Zeitalters, sind aber nach wie vor allgegenwärtig. (Bild: slowmotiongli - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/ea/dcea3e5e3fee5dbe8dc47f881d0973b4/0105030569.jpeg "Unternehmen und ihre IT-Abteilungen werden auf absehbare Zeit nicht auf den Einsatz von Passwörtern verzichten können. (Bild: Vitalii Vodolazskyi - stock.adobe.com)")