PAM vs. SSO vs. Password Manager

Der richtige Zugriffsschutz für die eigene IAM-Strategie

| Autor / Redakteur: Emmanuel Schalit / Peter Schmitz

Eine umfassende IAM-Strategie erfordert drei Tools: PAM, SSO und einen Passwort-Manager.
Eine umfassende IAM-Strategie erfordert drei Tools: PAM, SSO und einen Passwort-Manager. (Bild: Pixabay / CC0)

Anwender nutzen immer mehr unterschiedliche Services und fast jedes dieser Systeme verlangt eine Authentifizierung durch Benutzername und Passwort. Egal, ob Unternehmen für eine gesicherte Anmeldung auf PAM (Privileged Access Management), SSO (Single Sign-On) oder Passwort-Management setzen: Jedes Tool spielt eine bestimmte Rolle im Identity and Access Management (IAM).

Sicherheitsbewusste Unternehmen, die ein IAM-System einführen wollen, sollten wissen, dass es kein einzelnes Tool zur absoluten Minimierung von identitätsbezogenen Risiken gibt. Eine umfassende IAM-Strategie erfordert drei Tools: 1. PAM (Privileged Access Management), 2. SSO (Single Sign-On) und 3. einen Passwort-Manager. Ein genauerer Blick auf jedes einzelne Tool hilft, ein besseres Gefühl dafür zu bekommen, welche Rolle es jeweils für das ganze IAM-System spielt.

PAM (Privileged Access Management) bietet Unternehmen eine sichere Möglichkeit, privilegierte Nutzer mit Zugang zu sensiblen Konten zu autorisieren und zu überwachen. Außerdem kann durch PAM versehentlichem oder bewusstem Missbrauch eines privilegierten Zugangs vorgebeugt werden.

Durch SSO (Single Sign-On) kann das Unternehmen seinen Nutzern über eine einzige Login-Kombination (aus Benutzername und Passwort) pro Sitzung sicheren Zugang zu mehreren Anwendungen gewähren. Nach dem Login sind die Nutzer für alle Anwendungen autorisiert, auf die sie Zugriff haben und die durch die SSO-Lösung abgedeckt werden. SSO bietet SAML-Authentifizierung und kommuniziert über Active Directory (AD). Es ist wichtig, SSO mit einer Zwei-Faktor-Authentifizierung zu verbinden, um für sensible Konten eine zweite Sicherheitsebene einzufügen.

Ein Passwort-Manager ist für Unternehmen eine sichere Methode, um dafür zu sorgen, dass alle Nutzer in allen Konten starke Passwörter verwenden. Wie bei SSO erhält der Nutzer über ein Master-Passwort Zugang zu allen Anmeldedaten. Im Gegensatz zu SSO funktioniert ein Passwort-Manager jedoch für alle Benutzerkonten (auch Cloud-Anwendungen) und ist nicht an eine Sitzung gebunden. Auch hier ist es wichtig, einen Passwort-Manager mit einer Zwei-Faktor-Authentifizierung zu verbinden, um für sensible Konten eine zweite Sicherheitsebene einzufügen.

Vor- und Nachteile: PAM vs. SSO vs. Passwort-Manager

Vorteile von PAM:

  • Hoch entwickelt
  • Gezielte Kontrolle möglich
  • Detaillierte Überprüfung
  • Programmgesteuerte Unterstützung im Einzelfall beim Zugangsschlüsselmanagement u. ä. für privilegierte Konten (d. h. Zugangsmanagement über Nutzer mit den weitreichendsten Befugnissen, Zugangsschlüsselmanagement, Rotation für kritische Systeme etc.)

Nachteile von PAM:

  • Erhebliche IT-Ressourcen für Einrichtung, Wartung und Überprüfung erforderlich
  • Auf das IT-Team begrenzt
  • Auf IT-Systeme begrenzt
  • Deckt nur wenige Zugangsdaten ab

Vorteile von SSO:

  • SAML (Security Assertion Markup Language) ist das am weitesten verbreitete Protokoll für SSO-Lösungen. SAML-basierte Authentifizierung ersetzt Service-Provider-spezifische, Passwort-basierte Authentifizierung über einen IdP (Identity Provider), der die Authentifizierung während einer Sitzung vornimmt und autorisierten Benutzern Zugang zu integrierten Services gewährt (und dabei die Richtlinien der Sicherheitsgruppe einhält).
  • SAML-basierte Authentifizierung ist sehr sicher, aber immer davon abhängig, dass der Service Provider das SAML-Protokoll unterstützt.
  • Durch die IT kontrolliert, weshalb bei bestimmten Geschäftskonten SSO verwendet werden muss

Nachteile von SSO:

  • Nur ca. 10 Prozent der geschäftlichen Anwendungen/Dienste unterstützen das SAML-Protokoll, während die restlichen 90 Prozent nur Passwort-basierte Authentifizierung zulassen
  • Deckt nicht alle Cloud-Anwendungen ab
  • Deckt nicht alle Mitarbeiter-Konten ab (z. B. Privatkonten)

Vorteile eines Passwort-Managers:

  • Kostengünstige, effiziente Lösung zum Schutz vor Angriffen durch unsichere Passwörter
  • Fast alle SSO-Implementierungen beruhen auf Passwort-basierter Authentifizierung (somit ist wirklich nur eine Anmeldung erforderlich)
  • Deckt alle Mitarbeiter ab
  • Deckt alle Konten ab (privat und geschäftlich)
  • Einfache Installation und Ausweitung, vor allem für Mitarbeiter, die keine Techniker sind
  • Senkt die Zahl der Anfragen zu Passwörtern an die IT-Abteilung

Nachteile eines Passwort-Managers:

  • Keine privilegierte Benutzer- oder Systemüberwachung möglich
  • Kontrolle durch die IT aufgrund der Art des Tools in gewisser Weise eingeschränkt
Token für die Multi-Faktor-Authentifizierung (MFA)

Zweiter Faktor zum Schutz digitaler Identitäten

Token für die Multi-Faktor-Authentifizierung (MFA)

09.05.18 - Passwörter sollen unsere digitalen Identitäten sowie unsere Daten schützen. Doch leider sind sie oft die größte Sicherheitsschwachstelle. Für echten Schutz kommt es auf mindestens einen weiteren Faktor an. Moderne Token im Rahmen einer Multi-Faktor-Authentifizierung (MFA) stellen eine solide Lösung dar – und User haben in diesem Bereich heute viele verschiedene Lösungen zur Auswahl. lesen

Was ist die beste Lösung für die eigene IAM-Strategie?

Mit den gewonnen Kenntnissen über die Vor-und Nachteile, ist es einfacher nachzuvollziehen, welches Tool in die IAM-Strategie passt.

Wenn ein Unternehmen sich um Geld keine Gedanken machen muss und auf der Suche nach Kontrolle und Sicherheit für seine IT-Systeme ist, ist eine PAM-Lösung am besten geeignet.

Eine PAM-Lösung muss jedoch durch SSO und einen Passwort-Manager ergänzt werden, um im gesamten Unternehmen für Sicherheit zu sorgen. Was bringt es, ein Tor (für privilegierte Benutzer/Systeme) zu bauen, wenn es nicht Teil des Zauns ist, mit dem Sie Ihre gesamte Angriffsfläche schützen?

Wenn die Entscheidung auf eine PAM-Lösung gefallen ist, dann sind die Risiken bekannt, die entstehen, wenn Sie auf SSO und einen Passwort-Manager verzichten. Denn damit sind die zahlreichen Cloud-, Arbeits- und Privatkonten, die im Unternehmen die größte Angriffsfläche bieten, geschützt.

Wenn ein Unternehmen ein begrenztes Budget hat und dennoch alle Benutzerkonten sichern und ein sicheres Passwort-Verhalten erzielen will, ist ein Passwort-Manager am besten geeignet.

Ein Passwort-Manager ist der beste erste Schritt zur Absicherung eines Unternehmens. Er deckt nicht nur alle Benutzerkonten ab, sondern ermöglicht und fördert auch eine Verhaltensänderung bei den Mitarbeitern. Statt überall dasselbe Passwort zu benutzen, ermöglicht es ein Passwort-Manager den Mitarbeitern, einzigartige, komplexe Passwörter für jedes Konto zu verwenden – egal, ob es sich um eine Cloud-Anwendung, ein geschäftliches oder ein privates Konto handelt. Und dabei müssen sie sich nur ein Master-Passwort merken.

Wenn ein Unternehmen erfolgreich einen Passwort-Manager eingeführt hat und von den Vorteilen überzeugt ist, wäre es sinnvoll, über eine SSO-Lösung nachzudenken, da dies die perfekte Ergänzung zu einem Passwort-Manager darstellt.

Wenn ein Unternehmen bestimmte Cloud-Anwendungen und die geschäftlichen Konten aller Benutzer sichern möchte, ist eine SSO-Lösung am besten geeignet.

Eine SSO-Lösung bietet einen guten Überblick und Schutz für zentrale Produkte, die ein Mitarbeiter für berufliche Zwecke verwendet. Da es sich bei den Zugangsdaten, die von einem SSO abgedeckt werden, um berufliche Zugangsdaten handelt und Benutzer auf diese Konten für die Arbeit zugreifen müssen, gibt es naturgemäß eine hohe Akzeptanzrate unter Mitarbeitern.

Wenn Unternehmen jedoch versuchen, ihr gesamtes System vor nachlässigem Passwortverhalten zu schützen, stellen sie fest, dass SSO zu kurz greift. Eine SSO-Lösung funktioniert durch Kontrolle und Zugang, da es eine begrenzte Zahl an Systemen gibt, die von der IT ausgewählt werden. Systeme außerhalb der SSO-Lösung sind hingegen unbegrenzt und werden vom Endnutzer ausgewählt. Dadurch entsteht eine Angriffsfläche, die vom Endnutzer geschützt werden muss. Deshalb kann eine SSO-Lösung gut durch einen Passwort-Manager ergänzt werden.

Stiftung Warentest testet Passwort Manager

Passwortmanager unter der Lupe

Stiftung Warentest testet Passwort Manager

16.10.17 - Die Stiftung Warentest hat sich Programme zur Speicherung und Verwaltung von Kennwörtern angesehen. Neun Programme waren im Test, neben Cloud-Diensten wie Dashlane und LastPass haben die Tester auch lokale Programme wie F-Secure Key und Kaspersky Passwort Manager überprüft. lesen

Warum Passwort-Manager SSO perfekt ergänzen

Die beiden größten Gefahren bei SSO-Lösungen sind folgende:

  • Cloud-Anwendungen: SSO-Lösungen können nicht für alle Cloud-Anwendungen genutzt werden, da sie z. T. nicht integriert werden können. Nutzt ein Unternehmen Dutzende, wenn nicht gar Hunderte Cloud-Anwendungen, sollten man sich der Sicherheitslücke bewusst werden, die bestehen wird.
  • Zugangsdaten für privaten und geschäftlichen Gebrauch: SSO-Lösungen können nicht für Zugangsdaten genutzt werden, die sowohl privat als auch geschäftlich genutzt werden (wie z. B. ein Expedia-Konto) und die zahlreichen Konten, die nicht für berufliche Zwecke genutzt werden und für die ein Passwort erforderlich ist. Ohne Passwort-Manager bedeutet jedes private Konto ein wiederverwendetes Passwort oder wiederverwendete Zugangsdaten, die genutzt werden können, um auf das Netzwerk oder die Daten Ihres Unternehmens zuzugreifen.

Bei der Suche nach einer Lösung machen Unternehmen meist zwei Fehler:

  • Sie konzentrieren sich voll und ganz auf die Kontrolle und Vergabe von Passwörtern für die ihnen bekannten Konten. Stattdessen sollten sie ein System einführen, das dafür sorgt, dass ihre Endnutzer überall starke und einzigartige Passwörter erstellen und benutzen.
  • Sie überschätzen die Bedürfnisse der IT-Abteilung und die Erfordernisse aus Richtlinien und unterschätzen die Bedürfnisse und die Erfahrung aller anderen Mitarbeiter.

Die Lösung ist einfach: Nutzt ein Unternehmen eine SSO-Lösung oder will sie als Teil der IAM-Strategie einführen, sollte diese immer mit einem Passwort-Manager kombiniert werden, um alle Benutzerkonten und Cloud-Anwendungen zu sichern und so Ihr gesamtes Netzwerk zu schützen.

In vielen Fällen beginnen Unternehmen zunächst mit einer kostengünstigen Lösung, die alle Bereiche abdeckt, wie z. B. einem Passwort-Manager. Das ist schon ein wichtiger Schritt für mehr Sicherheit im Unternehmen, aber man sollte sich bewusst sein, welche Sicherheitslücken bestehen, wenn man nur in eine PAM- oder SSO-Lösung investiert. Laut dem Datensicherheitsbericht von Verizon ist Datenmissbrauch in 81 Prozent der Fälle auf gestohlene und/oder schwache Passwörter zurückzuführen.

Mit WebAuthn ohne Kennwörter im Web

Mozilla, Firefox, Google und Co mit neuer Authentifizierung

Mit WebAuthn ohne Kennwörter im Web

19.04.18 - Mit dem neuen Web-Standard WebAuthentication soll es in Zukunft möglich sein, sich an Webdiensten ohne Kennwort anzumelden. Die großen Browser-Hersteller unterstützen den neuen Standard. Dadurch sind Anmeldungen in Zukunft auch ohne Kennwörter möglich. lesen

Über den Autor: Emmanuel Schalit ist der CEO von Dashlane und verfügt über mehr als 20 Jahre Erfahrung in der Geschäftsführung von globalen Unternehmen und Produktinnovationen in der Hightech- und Medienbranche. Schalit hat einen Master-Abschluss von der École Polytechnique in Paris und einen Doktortitel in Informatik der Université de Toulouse. Er studierte auch Marketing und Finanzen im Executive Education Programm an der Harvard Business School.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45352285 / Passwort-Management)