Klassisches Web-SSO ungeeignet für Backend-Zugriffe

Die »Auslagerung der Runtime-Logik nach der Primär-Authentisierung auf transparente Agenten« (Quint) ist das eigentlich delikate Problem bei der Absicherung von Webportalen: »Bei den klassischen Web-SSO-Ansätzen erhalten Nutzer di?rekten Zugriff auf die einzelnen Anwendungen und Backend-Systeme. Dadurch werden vorhandene Schwachstellen nach außen sichtbar und können für Angriffe genutzt werden«, diagnostiziert Markus Greb, Leiter des Kölner Kompetenzzentrums von Evidian, das Problem. Evidian sieht die Lösung laut Greb in einem »Proxy-Ansatz, der mögliche Sicherheitslücken von Anwendungen und Systemen kapselt und nur HTTP-konforme Anfragen an die Anwendungen weiterleitet«. Auch Mike Small, Director Security Management Strategy, legt den Finger in die Wunde, wenn er die Schwierigkeiten einer durchgängigen Sicherheitslösung für heutige Webanwendungen beschreibt: »Der Nutzer meldet sich mit einem Zertifikat an. Die darin enthaltenen Informationen verwandeln sich in ein Ticket und wenn das Ticket beim Mainframe ankommt, transformiert es sich in eine spezielle Mainframe-Identität und wenn dann die Mainframe-Anwendung auf die entsprechende Datenbank zugreifen will, benötigt sie eine weitere spezielle Datenbank-Identität. Eine wirkliche Übersicht, was der Nutzer eigentlich wo, wann, wie tut, ist nicht einfach zu bekommen.« So ist es nicht verwunderlich, dass viele Portale zwar im Vordergrund bei der Primärauthentisierung mit SSO-Systemen ausge?stattet sind, beim Zugriff auf Backend-Systeme dann schwerwiegende Sicherheitslücken aufweisen oder auf das Konstrukt des Technischen Users ausweichen, dessen Unzulänglichkeiten weiter oben schon angesprochen worden sind.