Interview mit Erwin Schöndlinger, Evidian

Befreit vom lästigen Passwortmanagement

Interview mit Erwin Schöndlinger, Geschäftsführer der Evidian GmbH

Erwin Schöndlinger, Evidian

Erwin Schöndlinger, Geschäftsführer der Evidian GmbH

IT-DIRECTOR: Welche Applikationen sollten Unternehmen über die Nutzung eines reinen Passworts hinaus auf jeden Fall mit einer starken Authentifizierung bzw. einem Single-Sign-On (SSO) absichern?
E. Schöndlinger: Für Organisationen und Unternehmen ist es heutzutage sehr wichtig alle Kundendaten, personenbezogenen Daten und kritische Unternehmensdaten vor unbefugtem Zugriff zu schützen. Jüngste Ereignisse der letzten Wochen haben deutlich gezeigt, das der unerlaubte Zugriff und die Weitergabe kritischer Kundendaten für Unternehmen rufschädigend ist und zu wirtschaftlichen Einbußen führt. Daraus ergibt sich, dass alle Anwendungen, mit denen solche Daten verarbeitet werden durch ein SSO und am besten in Verbindung mit eine starken Authentifizierung geschützt werden sollten. Hierzu zählen beispielsweise das KIS-System im Krankenhaus, das CRM-System im Vertrieb, die Kundendatenbank und das Personalsystem in jedem Unternehmen, das Produktionssteuerungssystem, das Finanzsystem, usw.

IT-DIRECTOR: Welche Vorteile hält die Nutzung eines Single-Sign-On für die Anwender bereit?
E. Schöndlinger: In der Praxis sehen wir hier immer wieder einen Konflikt zwischen dem Wunsch des Anwenders eines einfachen und schnellen Zugangs zu seinen Anwendungen (am liebsten ohne Passwort), und der Notwendigkeit des Unternehmens seine Daten durch starke Passwortregeln zu schützen. Allerdings führen starke Passwortregeln in der Verbindung mit dem Zwang das Passwort regelmäßig zu ändern, bei dem Anwender und dem Helpdesk zu einem deutlichen Mehraufwand und häufig hohem Frust mit dem zeitaufwendigen Passwortmanagement. Um dies zu vermeiden werden Passwörter in der Regel notiert, im Rechner gespeichert, etc. Damit wird das, was man eigentlich mit der starken Passwortpolicy erreichen wollte, ad absurdum geführt.

Durch ein Single-Sign-On wird der Nutzer von diesem lästigen Passwortmanagement befreit und gleichzeitig die Sicherheit deutlich gesteigert, da bei nur noch einem Passwort die Notwendigkeit für unsichere Gedächtnisstützen überflüssig wird. Die Produktivität des Anwenders wird durch das schnellere Anmelden an Anwendungen, den Wegfall des zeitraubenden Passwortmanagements und von unproduktiven Wartezeiten – z.B. wegen Passwort rücksetzen, Passwort suchen etc. – deutlich gesteigert.

IT-DIRECTOR: Inwiefern kann SSO die Datensicherheit des Unternehmens gefährden?
E. Schöndlinger: Kritiker heben immer hervor, dass wenn beim SSO das Passwort ausgespäht, oder anders wie erlangt wird, der Angreifer den "Schlüssel für das Königreich" hat. Dies ist zwar grundsätzlich richtig, aber es gibt viele Untersuchung und Praxiserfahrung die genau das Gegenteil beweisen. Denn:
1) Da der Nutzer sich nur noch ein Passwort merken muss, ist es einfacher lange und komplexe Passwörter zu nutzen, die schwieriger auszuspähen sind.
2) Das Risiko, dass der Nutzer Passwörter aufschreibt fällt weg.
3) Für die Anwendungen können kryptische Passwörter verwendet werden, die bei Bedarf täglich automatisch geändert werden.
3) Durch dass SSO ist im Gefahrenfall das Sperren des Zugangs einfach und schnell möglich. Dies ist ohne SSO ein sehr großes Problem, da häufig nicht bekannt ist welche Passwörter ausgespäht wurden und welche Anwendungen der Nutzer hat.

IT-DIRECTOR: Welche Tücken hält ein Single-Sign-On für die IT-Administration bereit?
E. Schöndlinger: Um die Sicherheit auf ein höchst mögliches Niveau zu bringen, beschränkt sich z.B. das E-SSO von Evidian bei der Erkennung der Anmeldedialoge nicht nur auf die Erkennung der Fenstertitel und Eingabefelder, sondern kann mehrere zusätzliche Faktoren (z.B. Fensterursprung, Fenstertyp) berücksichtigen. Bei geplanten Updates der Applikationen, einhergehend mit Veränderungen der Anmeldedialoge ist dies in einem entsprechenden Rollout-/Change-Prozess zu berücksichtigen.

IT-DIRECTOR: Worauf gilt es bei der SSO-Authentifizierung in Cloud-Umgebungen besonders zu achten?
E. Schöndlinger: Grundsätzlich gelten für Cloud-Umgebungen die gleichen Anforderungen wie für die typische Unternehmens-IT, jedoch sollte ein besonderes Augenmerk auf die Sicherheit der Daten gelegt werden (verschlüsselte Übertragung und Speicherung). Zusätzlich sollte man vom Cloud-Betreiber einfordern, dass er jederzeit über Reports und Compliance-Nachweise nachvollziehen kann wer, wann, auf was und von wo zugegriffen hat. Das Evidian E-SSO betrachtet beispielsweise neben den Anwendungen und den Benutzern auch die Lokationen von denen Applikationen genutzt werden, die Betrachtung der Lokationen sollte bei der Vergabe der Rechte stärker berücksichtigt werden. Somit ist sichergestellt, dass alle Starts von Applikationen lückenlos nachvollziehbar sind und man weiß: „Wer hat wann, welche Applikation von wo aus genutzt.“

IT-DIRECTOR: Welchen Unterschied macht es dabei, ob man auf eine Private oder Public Cloud zugreift?

E. Schöndlinger: Aus technischer Sicht gibt es keinen Unterschied zwischen einer Private und einer Public Cloud. Der Hauptunterschied liegt vor allem in der Kontrolle und Durchsetzungsmöglichkeit von Sicherheitsstandards und -mechanismen. Bei einer privaten Cloud hat man als Unternehmen die Umsetzung und die Kontrolle der Sicherheitsstandards in der eigenen Verantwortung. Bei der Public Cloud muss man sich auf den Anbieter verlassen. Leider haben viele Vorkommnisse in der letzten Zeit gezeigt, dass die Sicherheit und der Datenschutz bei einigen Public Clouds nicht den geforderten Standards entsprechen. Deshalb sollte der Nutzer den Anbieter der Public Cloud genau prüfen und sich vertraglich die Einhaltung der notwendigen und gewünschten Sicherheitsstandards zusichern lassen, sowie durch regelmäßige Audits deren Einhaltung überprüfen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok