Bessere Zugangskontrolle mit Single Sign-on
Plädoyer für starke Authentifizierung
Für Unternehmen jeder Art und Größe bietet Single Sign-on eine effiziente Möglichkeit, die IT Sicherheit zu erhöhen und zugleich die Produktivität der Benutzer zu fördern. Denn für sie erweist sich die Möglichkeit, mit sich mit einem einzigen Kennwort in alle relevanten Anwendungen einloggen zu können, oft als großer Vorteil.
Unternehmen und ihre IT-Infrastrukturen sind mit einer Vielzahl von Bedrohungen konfrontiert.
Gleichzeitig sollten die verwendeten Maßnahmen zur Etablierung neuer Sicherheitsstandards jedoch
nicht im Widerspruch zu einem hohen Benutzerkomfort für die Mitarbeiter stehen. Doch durch die
Verwendung einer sicheren und effizienten Enterprise-Single-Sign-on-(ESSO-)Lösung, die mit einer
Lösung für die "starke Authentifizierung" gekoppelt ist, lassen sich beide Forderungen erfüllen.
Dies setzt jedoch sowohl die intelligente Auswahl der benutzen Lösung als auch die ständige
Anpassung an die vorhandenen Sicherheitsrisiken voraus.
Enterprise Single Sign-on hat in den letzten Jahren immer mehr an Bedeutung gewonnen. Für
Unternehmen jeder Art und Größe bietet es eine effiziente Möglichkeit, die IT Sicherheit zu erhöhen
und zugleich die Produktivität der Benutzer zu fördern. Für die Mitarbeiter erweist sich die
Möglichkeit, mit sich mit einem einzigen Kennwort in alle relevanten Anwendungen einloggen zu
können, oft als nicht zu unterschätzender Vorteil. Sie müssen sich nicht mehr die Kennwörter von
fünf oder mehr Anwendungen merken. Fehleingaben und Neuversuche gehören der Vergangenheit an, und
der Zeitverlust, der zustande kommt, wenn durch mehrere Fehlversuche das Benutzerkonto gesperrt
wurde, kann so gut wie ausgeschlossen werden. Doch dies ist nur ein Argument von vielen.
Firmeneigene IT-Umgebungen sind längst keine in sich geschlossenen Einheiten mehr und immer mehr
interne wie externe Benutzer greifen lokal, Host- oder Web-basierend auf firmeneigene Anwendungen
zu. So werden unter dem Strich immer mehr Zugriffsmethoden und Gerätetypen genutzt, wodurch auch
das Risiko durch unbefugte Zugriffe dramatisch ansteigt.
Dazu kommt ein wachsendes Bewusstsein gefährlicher Viren, Würmer, Spy-ware und sogar
Internet-Attacken, die viele Unternehmensverantwortliche in ihre Überlegungen einfließen lassen.
Diese Bedrohungen gefährden ihre Informationsressourcen und können zu gravierenden Konsequenzen für
den reibungslosen Geschäftsbetrieb, ihre Kundenbeziehungen und ihr Budget führen.
Ein weiterer Punkt ist die zunehmende Regulierung. In den vergangenen Jahren wurden auf der
ganzen Welt eine Reihe von IT-Sicherheitsmaßnahmen und -prozesse verabschiedet, die auch die IT
betreffen – als Beispiel sei der Sarbanes Oxley Act genannt. Dazu kommen branchenspezifische
Vorschriften wie beispielsweise Basel II und Industriestandards. Durch die entsprechenden Maßnahmen
im Bereich der IT können Unternehmen dafür sorgen, dass sie keine Sorge vor rechtlichen
Konsequenzen haben müssen. Und auch Analysten empfehlen dringend die starke Authentifizierung.
Gartner veröffentlichte bereits 2004 einen Bericht, der zwei wesentliche Empfehlungen für die
Steigerung der Sicherheit und zur Reduzierung von Kennwortproblemen führen: erstens die
Implementierung eines Passwort-Managements und zweitens die Verwendung einer sicheren
Zwei-Faktor-Authentifizierung, also einer starken Authentifizierung.
Durch die Verwendung eines weiteren Sicherheitsfaktors neben dem Passwort ist eine sehr
zuverlässige und sichere Authentifizierung herstellbar. Doch die Einführung einer solchen Lösung
hat Auswirkungen auf das ganze Unternehmen – sowohl auf alle Computerbenutzer als auch die
Helpdesk-Mitarbeiter, die diese Benutzer betreuen. Doch was sind neben dem höheren Benutzerkomfort
für die Mitarbeiter durch das Wegfallen einer Vielzahl an Passwörtern die entscheidenden Argumente
für eine ESSO-Lösung?
Schnellere und höhere Rentabilität durch ESSO in Unternehmen
Durch die Einführung einiger Authentifizierungstechniken können natürlich hohe Kosten
entstehen. Jedoch können Unternehmen durch die Kombination eines preisgünstigen, aber dennoch
qualitativ hochwertigen ESSO mit einem starken (oder zweiten) Authentifizierungsfaktor eine
schnelle und hohe Rentabilität erzielen. Der Grund: Sie können von den zusätzlichen Vorzügen und
Kosteneinsparungen der Kennverwaltung profitieren. Dazu gehören niedrige Helpdesk-Kosten und eine
höhere Produktivität der Benutzer.
Was die bereits angedeuteten Compliance-Bestimmungen angeht, fehlt vielen Unternehmen oftmals
ein objektiver und dokumentierter Nachweis, dass diese Maßnahmen befolgt und durchgesetzt werden.
Daher besteht hier weiterhin das Risiko, als nicht konform eingestuft zu werden. Eine starke
Authentifizierung mit ESSO kann dem effizient entgegen wirken.
Führende -Authentifizierungsverfahren
Die steigende Nachfrage nach starken Authentifizierungsverfahren impliziert auch eine
wachsende Zahl an angebotenen Lösungen. Passwörter – die älteste und einfachste
Authentifizierungsmethode – haben oft den Nachteil, dass es zu viel davon gibt und sie nicht selten
zu einfach waren, um einen hohen Sicherheitsstandard zu gewährleisten. Starke Kennwörter wiederum –
also die Verbindung von Zahlen, Buchstaben und/oder Sonderzeichen – sind häufig zu komplex und
bergen die Gefahr in sich, dass sie von den Benutzern vergessen werden. Oder noch schlimmer: Sie
werden aufgeschrieben und könnten auch an Unbefugte gelangen.
ID-Token sind eine weitere Möglichkeit der sicheren Authentifizierung. Sie generieren
numerischer Codes, die für einen befristeten Zeitraum oder die einmalige Verwendung Zugriff
gewähren. Einige ID-Token-Systeme erfordern als zusätzliche Schutzmaßnahme, dass der Benutzer einen
Challenge-Code in das Token eingibt, bevor der Passcode generiert wird. Oft muss für die
Zwei-Faktor-Authentifizierung zusätzlich zum OTP (Onetime Password – einmaliges Passwort) eine PIN
eingegeben werden.
Smartcards sind durch die integrierte Intelligenz auch eine sinnvolle Lösung. Sie können eine
Fülle von Daten für die Authentifizierung und Sicherheit erhalten. Sie sind nicht manipulierbar und
könne mehrere Funktionen erfüllen. So kann eine einzige Smartcard als Mitarbeiter-ID-Ausweis, Karte
für den Gebäudezutritt und zur Bereitstellung von Passwörtern für Anwendungen dienen.
Ähnlich wie Smartcards sind Passive-Proximity-Cards Chipkarten für die kontaktlose
Zugriffskontrolle, die Authentifizierungsdaten via RF-Technik bereitstellen. Wird dabei eine
passive Proximity-Card in die Nähe eines Kartenlesers gehalten und bewegt, so liest das Gerät die
Benutzerdaten der Karte, um den Karteninhaber zu identifizieren. Wie bei Smartcards lässt sich die
passive Proximity-Technik in traditionelle Mitarbeiter-ID-Ausweise und Karten für den
Gebäudezutritt integrieren.
Aktive Proximity-Cards hingegen erhalten einen drahtlosen Sender, den der Benutzer bei sich
trägt. Dieser Sender steht in der ständigen Kommunikation mit einem Empfänger, der mit der
Workstation des Benutzers verbunden ist, wenn sich der Benutzer in der Nähe befindet. Entfernt sich
der Benutzer von dieser, wird die Kommunikation unterbrochen und der Benutzer automatisch gesperrt.
So ist die Zugriffskontrolle rund um die Uhr sichergestellt. Ein Verfahren, das an Bedeutung
gewinnt, ist die Biometrie.
Alle Verfahren können dazu beitragen, unbefugte Zugriffe auf firmeninterne
Informationssysteme zu verhindern. Doch es gibt weitere bedenkenswerte Gesichtspunkte. Die
Verantwortlichen in den Unternehmen müssen sich fragen, welche speziellen Bedürfnisse für Benutzer
und IT-Abteilungen vorhanden sind, welche Vorschriften relevant sind und wie hoch die Anschaffungs-
und Implementierungskosten sind. Nur wenn Unternehmen ihre Bedürfnisse und Kosten kennen und im
Hinblick auf die Anforderungen des Unternehmens auswerten, können sie die richtige
Authentifizierungslösung wählen.
Denn die Anforderungen sind sehr unterschiedlich: Eine Gesundheitsorganisation benötigt eine
Authentifizierungsmethode, die die gemeinsame Nutzung von Workstations erlaubt und zugleich
vertrauliche Patientendaten schütz, ein großer börsendotierter Finanzdienstleister benötigt eine
Methode, die sich auf kostengünstige Weise unternehmensweit implementieren lässt. Zudem muss vor
dem Hintergrund von Compliance-Vorgaben sichergestellt sein, dass Vorschriften eingehalten werden,
außerdem Kontrollen zum Schutz der Integrität von Mechanismen zur Finanzberichterstattung und eine
Möglichkeit zum Nachweis der Qualität dieser Kontrollen existieren.
Doch die Auswahl einer Methode für die starke Authentifizierung im Unternehmen kann nur der
erste Schritt sein, um ein höheres Sicherheitsniveau beim Zugriff auf Daten sicherzustellen. Damit
die Vorzüge einer starken Authentifizierungslösung optimal genutzt werden, müssen diese mit einer
starken, intelligenten und preisgünstigen ESSO-Lösung zusammenarbeiten. Das Problem dabei besteht
jedoch oft darin, dass bei einigen ESSO-Lösungen die Implementierung einer starken
Authentifizierung zusätzliche Software, Server, Middleware, Unterstützung und Benutzeroberflächen
benötigt. Hinzu kommt, dass einige ESSO-Formen nur bestimmte Formen der Authentifizierung
unterstützen.
Daher ist es von großer Bedeutung, dass das verwendete Produkt ESSO für alle Anwendungen
bereitstellt – Web-, Client-/Server- und traditionelle Anwendungen. Durch einen zentralisierten
Ansatz beim Kennwort-Management sollten ESSO-Services schnell zu implementieren und einfach zu
verwalten sein. Nur so profitieren die Kunden von mehr Produktivität, optimierter
Richtlinieneinhaltung durch die Benutzer und niedrigen Helpdesk-Kosten. Denn wenn sich die
Sicherheitsanforderungen in Zukunft weiter erhöhen – und dies wird der Fall sein – besteht so die
Gewissheit, dass sich ihre ESSO-Lösung bei Bedarf in eine Vielzahl von Authentifizierungsverfahren
einbinden lässt.
Jason Goode ist Regional Sales Director Central Europe bei Imprivata International in
Frankfurt am Main.
Lesen Sie mehr zum Thema
