10. Februar 2016 - Zugangskontrolle

Tipps zur Einführung von Single Sign-on (SSO)

Wenn Unternehmen ihre Zugangskontrolle optimieren wollen, steht oft auf der Tagesordnung, zahlreiche unsichere Passwörter durch ein besonders starkes Master-Passwort abzulösen. Bei der Einführung solcher Single-Sign-on-Lösungen gibt es allerdings einige Stolpersteine.

IT-Basiswissen-für-den-Datenschutzbeauftragten Eine Single-Sign-on Lösung bietet eine vermeintlich sichere Zugangskontrolle, jedoch ist auch sie nicht frei von Schwachstellen. (Bild: Thinkstock/hudRuk)

Sie kennen das Problem zur Genüge: Starke Passwörter lassen sich durchaus finden, aber kaum merken. Deshalb verzichten viele Mitarbeiter auf komplexe Kennwörter, nutzen zu einfache Passwörter, schreiben sich Passwörter auf, speichern Passwörter, nutzen immer das gleiche Passwort, häufig kommen sogar all die genannten Sicherheitsschwachstellen auf einmal.

Die sogenannten Single-Sign-on-(SSO-)Verfahren in Verbindung mit einer starken Authentifizierung scheinen der richtige Ausweg zu sein. Die SSO-Verfahren bieten die Möglichkeit, viele Zugänge über ein starkes Passwort sowie einen weiteren Sicherheitsfaktor (wie eine Smartcard) abzusichern. Doch allein die Zentralisierung der Zugangskontrolle ist keine Problemlösung. Stattdessen können auch hier Fehler passieren, die zu einem zentralen Problem führen.

Kein falsches Vertrauen in SSO-Lösungen

Werden bei der Einführung von Single Sign-on Fehler gemacht, kann die Situation der Zugangskontrolle im Extremfall schlimmer sein als zuvor: Wenn der zentrale Zugangsschutz geknackt werden kann, dann liegen die Benutzerkonten ungeschützt vor dem Angreifer, genau wie bei Verlust des Generalschlüssels zu einem Gebäude.

Wenn Sie also erfahren, dass die Zugangskontrolle mit einem SSO-Verfahren durchgeführt werden soll, freuen Sie sich nicht zu früh. Auch hier sind zahlreiche Prüfungen und Kontrollen Ihrerseits notwendig.

Passt die SSO-Lösung wirklich?

Zuerst einmal sollten Sie prüfen, welche Zugänge geschützt werden sollen und welche Zugänge die Lösung abgdecken kann. Hier spielen Schnittstellen eine Rolle. Werden wichtige Zugangskontrollen nicht unterstützt, bleiben genug Schwachstellen für Angriffe übrig, denn SSO ist dann nur eine Insellösung.

Anzeige

 IT-Know-how für den DSB

Tipp der Redaktion: IT-Know-how für den Datenschutzbeauftragten

Sie brauchen fundierte, aber leicht verständliche Informationen, um eine Datenschutzprüfung in der IT durchzuführen? Dann ist dieses Werk genau das Richtige für Sie!

Darüber hinaus ist „IT-Know-how für den Datenschutzbeauftragten“ Ihr zuverlässiger, stets aktueller Berater in allen Fragen der IT.


Ist die SSO-Lösung flexibel genug?

Eine weitere, wichtige Frage aus Anwender- und Datenschutzsicht zielt auf die Verhältnismäßigkeit ab. So sollten die Sicherheitsmaßnahmen dem Schutzbedarf entsprechen. Bei Single Sign-on-Lösungen passiert es allerdings häufig, dass selbst für Anmeldungen bei unkritischen Systemen hohe Sicherheitshürden aufgestellt werden, die die Nutzer mit Unverständnis und Ausweichversuchen beantworten.

Statt also immer einen zweiten Sicherheitsfaktor zu verlangen, sollten je nach Schutzbedarf dynamisch zusätzliche Sicherheitsmaßnahmen ergriffen werden. Bei unkritischen Systemen reicht dann ein starkes Passwort, beim Wechsel auf kritische Systeme werden weitere Sicherheitsfaktoren nachgefordert.

Unterscheidet die SSO-Lösung Anwendungen und Nutzer?

Zur notwendigen Flexibilität gehört auch eine intelligente Unterscheidung der Nutzer, Anwendungen und Zugänge. Wenn zum Beispiel ein Nutzer mit hohen administrativen Rechten einen zentralen Zugang über die SSO-Lösung möchte, ist es gleich, welche Anwendung er oder sie nutzen will. Denn es geht um die Bewilligung von weitreichenden Privilegien. Umgekehrt kann ein Nutzer, der nur Standardrechte hat, einen kritischen Zugang verlangen, wenn die gewünschte Anwendung zum Beispiel Kundendaten vorhält. Auch dann ist eine starke Zugangskontrolle notwendig.

Ist die SSO-Lösung ausreichend verfügbar?

Bedacht werden muss auch, dass der Ausfall einer zentralen Zugangskontrolle dazu führen kann, dass sich keine der angeschlossenen Anwendungen mehr nutzen lässt oder aber dass die integrierte Sicherheit nicht mehr vorhanden ist, sich jede Anwendung also selbst schützen muss bei der Zugangskontrolle. Deshalb ist die Absicherung der Verfügbarkeit, die Ausfallsicherheit der SSO-Lösung so wichtig.

Begleiten Sie also die Planungen und die Einführung von Single-Sign-on-Lösungen und nutzen Sie die Checkliste dabei.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Fachjournalist und IT-Analyst

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln