Interview mit Ga-Lam Chang, Peak Solution

Einhaltung der Passwortpolicies

Interview mit Ga-Lam Chang, Leiter Identity and Security Management Solutions bei Peak Solution

 Ga-Lam Chang, Peak Solution

Ga-Lam Chang, Peak Solution

IT-DIRECTOR: Welche Applikationen sollten Unternehmen über die Nutzung eines reinen Passworts hinaus auf jeden Fall mit einer starken Authentifizierung bzw. einem Single-Sign-On (SSO) absichern?
G. Chang: Starke Authentifizierung erhöht die Sicherheit und Nachvollziehbarkeit bei der Nutzung von Applikationen. Dies lässt sich nicht pauschal für Applikationen empfehlen, sondern muss anhand der von diesen bedienten Prozessen entschieden werden und der Beurteilung, wie kritisch und schützenswert die Daten darin sind. Single-Sign-On dient vorrangig der Nutzereffizienz und dem Komfort und ist immer nur so sicher wie die zugrunde liegenden Authentifizierungsverfahren.

IT-DIRECTOR: Welche Vorteile hält die Nutzung eines Single-Sign-On für die Anwender bereit?
G. Chang: Moderne SSO-Systeme bieten den Anwendern nicht nur den klassischen Vorteil der Einmalidentifzierung und automatische Einhaltung der Passwortpolicies. Vielmehr unterstützen sie die Benutzer auch in der täglichen Arbeit, wie bei der Delegation von Berechtigungen im Urlaubs- oder Abwesenheitsfall. Die Weitergabe von Passwörtern kann so vermieden werden.

IT-DIRECTOR: Inwiefern kann SSO die Datensicherheit des Unternehmens gefährden?
G. Chang: Wie bei jeder Strategie, in welcher die Sicherheitsinstanzen auf ein Minimum reduziert werden, müssen die verbleibenden Sicherheitsmechanismen umso besser funktionieren. Bei SSO bedeutet dies, dass die eine Identifikation so geregelt sein muss, dass sie mindestens dem Schutzbedarf der kritischsten Applikation entspricht. Andernfalls kann eine ungewollte Datennutzung die Folge sein.

IT-DIRECTOR: Welche Tücken hält ein Single-Sign-On für die IT-Administration bereit?
G. Chang: Die Tücken für die Administration halten sich bei der richtigen Implementierung einer SSO-Lösung in Grenzen. Dabei sollte man ESSO (Enterprise SSO) und Token-basierte SSO-Lösungen (z. B. Kerberos, PKI, SAML) unterscheiden. Im ersteren Fall müssen unterschiedliche Passwortpolicies oder Passwortänderungszeiträume berücksichtigt werden. Im zweiten Fall ist es notwendig, dass die Applikation mit dem eingesetzten Token umgehen kann oder sogar eine Vertrauensbeziehung zu einem ID-Provider bereitstellt.
Die klare Empfehlung ist: die Anforderungen genau zu spezifizieren, die Integration in die eigene IT zu bewerten und die Umsetzung professionell zu planen.

IT-DIRECTOR: Worauf gilt es, bei der SSO-Authentifizierung in Cloud-Umgebungen besonders zu achten?
G. Chang: Wie bei jeder Nutzung öffentlicher Netze ist grundsätzlich wichtig zu prüfen, ob der Dienst meinem Sicherheitsbedarf entspricht. Hinzu kommen noch die Aspekte der Verfügbarkeit, Vertraulichkeit, Kosten und Verwaltbarkeit. In bestimmten Situationen sollten auch rechtliche Fragen erörtert werden, wie z.B. Haftung bei Missbrauch oder Maßnahmen bei Sicherheitsbrüchen.

IT-DIRECTOR: Welchen Unterschied macht es dabei, ob man auf eine Private oder Public Cloud zugreift?
G. Chang: Bei beiden Varianten gilt die Überlegung: Wie kritisch ist der genutzte Service in Bezug auf mein Business? Maßgeblich ist die Umsetzung der Sicherheitsrichtlinien und ob diese in einem akzeptablen Verhältnis zum Unternehmensrisiko steht.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok