Single Sign-on Sicherer und einfacher Zugriff auf Unternehmensdaten

Redakteur: Andreas Bergler

Dringend benötigt wird Single Sign-on (SSO) von den Unternehmen schon deshalb, weil es viele Sicherheitslücken abdeckt, aber Single Sign-on kann neben mehr Zugriffssicherheit auch höhere Compliance bei geringeren Kosten leisten. Erwin Schöndlinger von Evidian zeigt, wie‘s funktioniert.

Systeme zur Zugriffskontrolle müssen sich der Sicherheitsstrategie des Unternehmens anpassen können.
Systeme zur Zugriffskontrolle müssen sich der Sicherheitsstrategie des Unternehmens anpassen können.
(Bild: ra2 studio - Fotolia.com)

Welche offene Sicherheitsflanken können Unternehmen mit der Umsetzung von SSO decken?

Da ist einmal die Absicherung wichtiger IT-Ressourcen wie Anwendungen, Datenbanken und Diensten inklusive ihrer Daten mittels starker Authentisierung. Ein weiterer wichtiger Sicherheitsvorteil ist die automatische Zuordnung von Autorisierungspasswörtern im Hintergrund. Die Kennwörter für Anwendungen, Datenbanken, Dienste und Plattformen sind somit weder für den Mitarbeiter noch für Dritte ersichtlich. Dadurch können Dritte die Passwörter auch nicht für Angriffe missbrauchen.

Der SSO-Automatismus im Hintergrund erspart zudem, dass Passwörter immer wieder durch neue ­ersetzt und sicher den Mitarbeitern zugewiesen werden müssen. Der Helpdesk verwendet ohne SSO im Schnitt ein Drittel seiner Zeit darauf, unsichere Kennwörter zu deaktivieren, neue Passwörter auszustellen und diese den Mitarbeitern auf sicherem Wege zuzustellen. Das ist aber nicht alles...

Sondern?

Zu den weiteren Stärken gehören eine höhere Produktivität der Mitarbeiter durch Zeitersparnis, eben weil ihnen für den Zugriff auf IT-Ressourcen die Eingabe vieler Autorisierungs-Passwörter erspart bleibt, ein SSO-Self-Service sowie die nachweisliche Einhaltung von Sicherheitsregularien und -regeln im Sinne von mehr Compliance und Governance.

Per Self-Service werden die Mitarbeiter in vorgegebenen Intervallen automatisch aufgefordert, ihre Passwörter zu ändern, die dann für diese Zeitspanne gelten. Compliance und Governance werden einerseits dadurch gestärkt, dass die Authentisierung und Autorisierung gekoppelt und jederzeit nachweisbar im Hintergrund ablaufen, andererseits sämtliche Zugriffe und Zugriffsversuche selbsttätig aufgezeichnet und ausgewertet werden.

Warum sollten bei Planung und Umsetzung von SSO die organisatorischen Anforderungen nicht vernachlässigt werden?

SSO mit seinen Prozessen sollte sich nahtlos in die Organisation mit ihren Fachabteilungen einfügen. Immerhin sind es die Abteilungen, die ihre fachlichen Anforderungen an die IT, die Sicherheit der IT-Ressourcen sowie an Com­pliance und Governance stellen. Eine Verschiebung hin zu einem mehrheitlich organisatorischen Projekt hat auch deshalb stattgefunden, weil SSO-Systeme wie Enterprise-SSO oder Web-SSO von Evidian mittlerweile einen hohe Reifegrad erreicht haben. Damit können die Projektverantwortlichen stärker ihren ­Fokus auf die organisatorische Planung und Umsetzung richten.

Nach mehreren Hundert SSO-Projekten in über 15 Jahren, durchgeführt von Evidian oder seinen Partnern, haben sich sieben goldene Regeln herauskristallisiert, die vornehmlich die Organisation adressieren. Ihre Befolgung ist ein wichtiger Garant für eine erfolgreiche Projektabwicklung mit voller Zielerreichung.

Was besagen diese Regeln?

Am Anfang sollte eine klare Definition der Projektziele stehen, im Konsens zwischen der IT und den Fachabteilungen. Zweitens sollte analysiert und dokumentiert werden, inwieweit mittels der SSO-Prozesse die Regelkonformität verbessert werden kann. Regel 3 besagt, von ­Anfang an ausgesuchte Mitarbeiter in den SSO-Prozess einzubinden. An ihnen können dann exemplarisch eventuelle Vorbehalte gegenüber dem Projekt eruiert werden, um hier durch Aufzeigen der Vorteile und Abbau von Ängsten gezielt entgegenzuwirken.

Als vierte Regel hat sich bewährt, nur dort innerhalb der Organisation SSO-Prozesse ­gegenüber den IT-Ressourcen und den ­Policies zu ändern, wo es unumgänglich ist. Diese Strategie minimiert Reibungsverluste bei der Einführung des SSO und fördert die Akzeptanz unter den Mitarbeitern. Nicht nur das: Beherzigt das ­Unternehmen diese Leitlinie, fallen die Projektkosten geringer aus, und die Projektierungszeit wird verkürzt. So kann beispielsweise die automatische Kopplung von Authentisierung und Autori­sierung vorerst über bestehende Benutzerkonten geführt werden. Dort, wo Änderungen an SSO-Prozessen und ­Policies unumgänglich sind, sollte die IT-Abteilung den Fachabteilungen dafür weitgehend freie Hand geben. Sie kennen ihre Anforderungen an die IT und an die Sicherheit der IT-Ressourcen sowie an Compliance und Governance am besten.

Beziehen sich die letzten drei Regeln auf die Projektabwicklung?

Ja, die Projektverantwortlichen sollten ihr Augenmerk auf die Auswahl einer einfachen Verzeichnisarchitektur richten. Dazu sollte SSO, sofern bereits vorhanden, auf dem LDAP-Verzeichnis aufsetzen. ­Alternativ kann das bestehende Active Directory dazu herangezogen werden, um darin die SSO-Informationen für die Mitarbeiter transparent vorzuhalten. Regel 6 legt eine regelmäßige Dokumentation des Projektfortschritts nach. Dieser Fortschritt kann dann festgemacht werden an der Anzahl der Anrufe beim Helpdesk, der PCs, auf denen die Software installiert worden ist, der Mitarbeiter, die SSO aktiv nutzen, der Probleme, die durch den Helpdesk gelöst wurden, der aktivierten Sicherheitsfunktionen, der Applikationskonten, auf die die einzelnen Mitarbeiter mittels SSO zugreifen sowie an der Zahl der automatisierten Log-ins.

Ein weiterer wichtiger Indikator ist die Mitarbeiterzufriedenheit mit dem neuen System. Die Regel 7 fordert zu einer Bemessung und Beurteilung auf, inwieweit die Projektziele tatsächlich erreicht worden sind. Insbesondere, wenn die Kosteneinsparungen hoch sind und SSO unter den Mitarbeitern ohne große Reibungsverluste schnell akzeptiert worden ist, ist die Bereitschaft groß, einen Ausbau zu einem Identity und Access Management anzustreben.

(ID:43210087)