Sicherheit mit Single-Sign-On und Biometrie

Per Abdruck ins System

Verkauf123 – so oder so ähnlich lauten die Passwörter in vielen Abteilungen. Für Angreifer ist das Knacken solch primitiver Codes ein Leichtes. Single-Sign-On und ­biometrische Authentifizierung können dies verhindern.

Fingerabdruck, Bildquelle: iStockphoto.com/johan63

Bei der Nutzung vieler verschiedener Passwörter stoßen die meisten Enduser schnell an ihre Grenzen. Gerade nach längeren Fehlzeiten aufgrund von Krankheit oder Urlaub geraten Zugangsdaten in Vergessenheit. Oftmals behelfen sich die Mitarbeiter damit, die Passwörter auf kleinen Zetteln direkt am Computer, unter der Tastatur oder in einer Schreibtischschublade aufzubewahren. Überdies vertraut man auf äußerst schwache Kombinationen der eigenen Geburtsdaten und/oder des Vor- und Nachnamens. „In der Praxis bemerken wir immer wieder einen Konflikt zwischen dem Wunsch des Anwenders nach einem einfachen und schnellen Zugang zu seinen Anwendungen – am liebsten ohne Passwort – und der Notwendigkeit des Unternehmens, seine Daten durch starke Passwortregeln zu schützen“, berichtet Erwin Schöndlinger, Geschäftsführer der Evidian GmbH. Starke Passwortregeln und der Zwang, das Passwort regelmäßig zu ändern, führen sowohl bei den Anwendern als auch beim Helpdesk zu einem deutlichen Mehraufwand und großem Frust. „Um dies zu vermeiden, werden Passwörter notiert oder im Rechner gespeichert. Damit wird das, was ­eigentlich eine starke Passwortpolicy bewirken soll, ad absurdum geführt“, bestätigt Schöndlinger.

Ein schlampiger Umgang mit Passwörtern erweist sich als Alptraum für jeden Sicherheitsverantwortlichen, wird Angreifern damit doch Tür und Tor geöffnet. Um ein Passwortchaos zu umgehen, bietet sich die Nutzung einer Single-Sign-On-Lösung (SSO) an. „Dadurch wird der User vom lästigen Passwortmanagement befreit. Gleichzeitig wird die Sicherheit erhöht, da bei der Verwendung eines einzigen Passworts die Notwendigkeit unsicherer Gedächtnisstützen entfällt“, erklärt Schöndlinger. Die Produktivität des Nutzers werde durch das schnellere Anmelden sowie durch den Wegfall unproduktiver Wartezeiten ebenfalls gesteigert. Karenzzeiten ergeben sich durch das langwierige Suchen nach an verschiedensten Orten deponierten Passwörtern oder beim Zurücksetzen der Zugangsdaten.

Moderne SSO-Systeme bieten den Anwendern weit mehr als die klassische Einmalidentifizierung sowie die automatische Einhaltung der Passwortpolicies. Eine auf das Unternehmen hin angepasste Rechtestruktur erleichtert ebenfalls die tägliche Arbeit. „So unterstützen SSO-Systeme die Benutzer bei der Delegation von Berechtigungen im Urlaubs- oder Abwesenheitsfall“, ergänzt Ga-Lam Chang, Leiter Identity and Security Management Solutions bei Peak Solution. Auf diese Weise könne die Weitergabe von Passwörtern per Notizzettel oder E-Mail unterbunden werden.

Wie bei vielen Verfahren gibt es allerdings auch beim Single-Sign-On zwei Seiten einer Medaille. Neben den beschriebenen Vorteilen, sollten die Verantwortlichen auch um die Tücken wissen. Erwin Schöndlinger verweist auf Kritiker, die vor dem Ausspähen des Superpassworts warnen. Wird dieses entwendet, erhält der Angreifer quasi den „Schlüssel für das Königreich“. Weitere Risiken beschreibt Sven Schreyer, Sales Spe­cialist für Identity-Management bei Quest Software: „Die Tätigkeit in verschiedenen Abteilungen und Projekten macht den Zugriff auf zig Applikationen unabdingbar. Gibt es keine Prozesse und Automatismen, die auch für den Entzug der Berechtigungen sorgen, werden die über Jahre gesammelten Berechtigungen in Kombination mit SSO zu einem offenen Einfallstor.“ Gelänge es einem Angreifer dann noch, Zugangsdaten auszuspähen, könne dieser auf alle Systeme zugreifen. Gleiches gelte für unbeaufsichtigte Geräte: Verlasse etwa der letzte Nutzer seinen Arbeitsplatz, ohne sich vorher abzumelden, hätten Unbefugte die Kontrolle über alle Anwendungen. Diese Szenarien zeigen laut Sven Schreyer, dass die alleinige Anwendung von Single-Sign-On eher ein Risiko darstellt.

Vielmehr sollte ein solches System immer Bestandteil einer durchdachten Identity- und Access-Managementlösung bzw. Governance-Strategie sein. „Überdies ist die Einbindung existierender Anwendungen in eine SSO-Infrastruktur oftmals recht aufwendig, da die Sicherheitsmechanismen meist angepasst werden müssen“, so Schreyer weiter. Um den Prozess für IT-Administratoren möglichst einfach zu gestalten, nutzt beispielsweise Quest das Active Directory als Basis und macht somit zusätzliche Verzeichnisse oder Datenbanken überflüssig.

Generell sollte man laut Ga-Lam Chang zwischen einem Enterprise SSO (ESSO) und Token-basierten SSO-Lösungen (z.B. Kerberos, PKI, SAML) unterscheiden. Im ersten Fall müssen unterschiedliche Passwortpolicies oder -änderungszeiträume berücksichtigt werden. Im zweiten Fall sei es notwendig, die Applikation mit dem eingesetzten Token zu umgehen oder sogar eine Vertrauensbeziehung zu einem ID-Provider bereitzustellen. Von daher empfiehlt Ga-Lam Chang, die Anforderungen genau zu spezifizieren, die Integration in die eigene IT zu bewerten und die Umsetzung professionell zu planen.

Vor dem Hintergrund der zunehmenden Bedeutung von „IT as a Service“-Strategien sollten sich die Verantwortlichen mit der Anwendung von
Single-Sign-On in Cloud-Umgebungen beschäftigen. „Für solche Umgebungen existieren grundsätzlich die gleichen Anforderungen wie für die typische Unternehmens-IT“, so Erwin Schöndlinger, „man sollte jedoch besonderes Augenmerk auf die Datensicherheit legen, etwa auf eine verschlüsselte Übertragung und Speicherung.“ Zusätzlich sollte man vom Cloud-Betreiber einfordern, dass er jederzeit über Reports und Compliance-Nachweise nachvollziehen kann, wer auf welche Applikationen zugegriffen hat. In diesselbe Kerbe schlägt Sven Schreyer. Für ihn ist klar, dass insbesondere auf die Nachvollziehbarkeit der Berechtigungsvergabe und Transparenz der Zugriffe Wert gelegt werden sollte. „Denn gibt man Applikationen und Daten in die Hände eines Cloud-Providers, ist es allein aus rechtlichen Gründen angemessen, genau zu wissen, wer zu welchem Zeitpunkt Zugriff auf welche Daten und Applikationen hat bzw. hatte“, so Schreyer.

Ga-Lam Chang fügt hinzu, dass der jeweilige Cloud-Dienst dem Sicherheitsbedarf des Unternehmens entsprechen müsse: „In bestimmten Situationen sollten rechtliche Fragen erörtert werden, wie die Haftung bei Missbrauch oder Maßnahmen bei Sicherheitsbrüchen“, berichtet Ga-Lam Chang.

Fingerabdruck, Irisscan & Co.

Möchte man bei der Absicherung seiner IT einen Schritt weitergehen, können kritische Anwendungen über einen Single-Sign-On hinaus mit einer biometrischen Authentifizierung gesichert werden. „Alle Systeme, die schützenswerte Informationen enthalten, erfordern komplexe Passwörter und häufigen Passwortwechsel. Die alternative Authentifizierung via Smartcard oder Biometrie kann hierbei die Benutzerfreundlichkeit erhöhen“, erklärt Markus Krumm, Produktmanager bei der Tesis Sysware GmbH. Zu den schützenswerten Daten zählen etwa personenbezogene Daten oder Informationen über neue Produktentwicklungen. „Überdies bietet es sich an, den mobilen Zugriff auf Firmennetzwerke mit einer starken Authentifizierung abzusichern“, ergänzt Dr. Jasna Cudic, Produktmanagerin Business Unit Telematik bei Itenos. Nicht zuletzt könne eine Authentifizierung mittels Biometrie für die Zutrittskontrolle zu sensiblen Bereichen eingesetzt werden – etwa in Vorstandsetagen, Kraftwerken oder Rechenzentren.

Eines der gängigsten biometrischen Verfahren ist hierzulande der Fingerabdruck. „Ein weiteres etabliertes Verfahren ist die Gesichtserkennung, die in Zugriffskontrollsystemen für Mitarbeiter oder in Spielkasinos verwendet wird“, ergänzt Jasna Cudic. Demgegenüber gelten Verfahren wie der Ohrabdruck oder die Identifikation anhand der Sitzhaltung einer Person laut Markus Krumm derzeit noch als Exoten. Ebenso gibt es erste Studien zur Körpergeruchserkennung, deren großflächiger Einsatz aber wenig wahrscheinlich sei.

Die Nutzung biometrischer Verfahren findet zunehmend Eingang in die Sicherheitsstrategien von Unternehmen und Behörden. Eines der prominentesten Beispiele ist der seit dem 1. November 2010 in Deutschland gültige digitale Personalausweis mit integriertem Fingerprint. Befragt nach weiteren Referenzen verweist Stephan Speth, Leiter Marketing und neue Geschäftsfelder bei der PCS Systemtechnik GmbH, auf den Hosting­-Anbieter Conova aus Salzburg, der eine sichere Zutrittslösung für sein neues Rechenzentrum suchte. Nach dem Testen verschiedener Lösungen – z.B. Iriserkennung und Fingerabdruckscan – entschied sich der Dienstleister für den Einsatz der PCS-Handvenenerkennung Intus PS. Heute meldet sich ein Conova-Mitarbeiter mit seinem Zutritts-Token am Lesegerät an und verifiziert mit der Handinnenfläche seine Identität. Laut Speth ist die Handvenenerkennung bei den Österreichern komplett in die Sicherheitsstruktur integriert, wobei die Zutritts-Token sowohl für die Online-Zutrittskontrolle, Offline-Schließzylinder und Rack-Schlösser als auch für die Speicherung biometrischer Daten verwendet werden können.

Auf eine andere Einsatzmöglichkeit verweist Jasna Cudic: „Itenos setzt die eigene stimmbiometrische Lösung intern für die sichere Passwortrücksetzung ein.“ Nachdem ein Nutzer einen „Stimmabdruck“ – neudeutsch Voiceprint – im System hinterlegt hat, kann er sein Passwort jederzeit telefonisch zurücksetzen. Dies gewährleiste eine Prozessoptimierung und Kostenreduktion sowie eine Erhöhung der Sicherheit. Hinzu komme ein psychologischer Effekt: Viele Mitarbeiter empfinden es als angenehm, das Passwort anonym zurücksetzen zu können, ohne Dritte um eine Genehmigung bitten zu müssen.

Fahrlässige Einbindung in das Gesamtsystem

Ein hundertprozentiger Schutz wird sich auch mittels Biometrie kaum gewährleisten lassen. Benjamin Boulnois, Regional Manager EMEA bei DigitalPersona, relativiert allerdings: „Zwar ist keine Technologie völlig immun gegen einen hochmotivierten und qualifizierten Angreifer, dennoch sind viele Formen der Biometrie derzeit recht schwierig zu reproduzieren.“ Laut Boulnois sei es vielfach einfacher, eine Person körperlich anzugreifen, als zu versuchen, den Irisscan oder eine Sprachprobe zu stehlen. Zudem schützen die meisten biometrischen Anwendungen die Daten mithilfe modernster Verschlüsselung.
Allerdings könne gerade ein Fingerabdruck relativ leicht nachgemacht und manipuliert werden. Einschlägige Tipps und Videos hierzu lassen sich zuhauf im Internet finden. „Allerdings ist eine Identifikation mit biometrischen Merkmalen überall dort, wo man persönliche Eigenschaften leicht kopieren kann“, bestätigt Markus Krumm. Neben dem Fingerabdruck treffe dies für Systeme zur Authentifizierung via Gesichtserkennung zu, die auch ein Foto anstelle des Gesichts des Nutzers akzeptieren. Hier sollten die Verantwortlichen auf die Qualität des Systems ebenso wie auf die richtige Implementierung achten. Vor diesem Hintergrund gibt Stephan Speth allerdings zu bedenken, dass in der Regel nicht das biometrische System die Schwachstelle darstellt, als vielmehr die organisatorischen Mängel im Unternehmen oder die fahrlässige Einbindung der Biometrie in das Gesamtsystem.

Unter Experten gelten Iris- und Retinaerkennung als die derzeit sichersten Biometrieverfahren, da beide Methoden praktisch nicht zu fälschen seien. „Insbesondere die Iriserkennung gilt als sicher. Die Gründe dafür sind die hohe Genauigkeit und die Unveränderbarkeit des biometrischen Charakteristikums“, betont Jasna Cudic. Allerdings weise die Iriserkennung Nachteile bezüglich der Kosten und der Benutzerakzeptanz auf. Hinzu komme, dass beim Irisscan „überschießende“ Informationen erfasst werden, beispielsweise über den Konsum von Alkohol oder Drogen.

Am sichersten fahren Unternehmen, die sich für kombinierte Biometrieverfahren entscheiden. „Eine doppelte Absicherung erschwert einem Angreifer den Zugriff auf die jeweiligen Systeme erheblich“, erklärt Markus Krumm. So lasse sich eine Anwendung zur Gesichtserkennung ideal durch eine Venenerkennung im Gesicht ergänzen. Ähnlich äußert sich Benjamin Boulnois von DigitalPersona. Seiner Meinung nach eignet sich insbesondere für Hochsicherheitsschlösser an Türen der klassische Fingerabdruck in Verbindung mit Iris- und Handvenenerkennung.

Wie bei der Anwendung von Single-Sign-On-Lösungen sollte die Nutzung von Biometrielösungen in die ganzheitliche Governance-Strategie eines Unternehmens eingebettet sein. Zwingend zu beachten sind hierbei die geltenden Datenschutzbestimmungen. „Da manche biometrischen Merkmale zu den sensiblen Daten zählen, besteht auf Unternehmensseite die Sorgfaltspflicht, diese Informationen besonders zu schützen“, betont Markus Krumm. Seiner Ansicht nach sind die Verantwortlichen auf der sicheren Seite, wenn ihnen die freiwillige Einwilligung des Mitarbeiters vorliegt. Und man sollte, so Stephan Speth, die Richtlinien für die Nutzung biometrischer Verfahren auf jeden Fall mit dem Betriebsrat und dem Datenschutzbeauftragten abstimmen.

Wie jedes IT-Projekt ist auch die Einführung einer biometrischen Authentifizierung mit einem gewissen Aufwand verbunden. So glaubt Jasna Cudic, dass die Installationskosten für eine solche Anwendung gerade für kleine Unternehmen relativ hoch seien. Die Abnahme einer hohen Stückzahl reduziere die Preise jedoch stark. Zudem führe der Einsatz von Biometrie zu Kosteneinsparungen – vor allem bei der kostspieligen Verwaltung von Passwörtern. Daneben betont Benjamin Boulnois, dass die Installation jeweils von der Art der gewählten Biometrielösung abhänge. „Die meisten biometrischen Sensoren – etwa Fingerabdruckleser und Webkameras für die Gesichtserkennung – sind bereits in den Computern, Türschlössern oder anderen Systemen eingebaut, in denen sie verwendet werden. Oder sie können einfach als Peripheriegerät angeschlossen werden.“ Solche Geräte variieren im Preis je nach Art und Qualität der eingesetzten Biometrie, wobei sich kommerzielle Fingerabdruckleser in der Regel im unteren Preissektor befinden. „Erfahrungsgemäß sind die Planungsphase mit der Einbindung des Betriebsrates und die Klärung aller Datenschutzfragen am zeitintensivsten“, berichtet Stephan Speth. Hinzu komme die Schulung der Mitarbeiter, denn diese müssten das System so bedienen, dass möglichst wenige Fehllesungen vorkämen.

Hinsichtlich des Administrationsaufwands von Authentifizierungen gibt Markus Krumm den Verantwortlichen abschließend einige Ratschläge mit auf den Weg: „Man sollte Synergieeffekte gezielt nutzen, um den Aufwand einzudämmen. So ist es beispielsweise sinnvoll, ähnliche Authentifizierungsmaßnahmen wie die Tippbiometrie und das klassische Passwort einzusetzen, da beide die gleiche Hardware verwenden.“ Ebenso sollten Zuständigkeiten im Unternehmen gebündelt werden, indem es einen zentralen Helpdesk für Anfragen zu allen Authentifizierungsmethoden gibt.

 

Biometrie und Datenschutz

Die Anforderungen an eine datenschutzfreundliche Gestaltung biometrischer Verfahren lassen sich wie folgt zusammenfassen:

  • Keine Verwendung von Rohdaten, sondern Schrumpfung zu Referenzdaten (Templates), um Überschussinformationen auszuschließen
  • Wahl von Verfahren, die eine aktive Mitwirkung des Nutzers erfordern und eine unbemerkte Erfassung ausschließen
  • Dezentrale Speicherung der Templates, möglichst in der alleinigen Verfügungsgewalt des Nutzers (z.B. Chipkarte)
  • Schutz der biometrischen Daten vor unbefugter Kenntnisnahme
  • Einsatz von Verschlüsselung
  • Transparenz der Verfahren und der Sicherheitsmechanismen

Quelle: Dr. Jasna Cudic, Produktmanagerin Business Unit Telematik bei Itenos

 

Höhere Sicherheit dank Single-Sign-On:

  • Da sich der Nutzer nur noch ein Passwort merken muss,
    ist es einfacher, lange und komplexe Passwörter zu ver­wenden, die schwieriger auszuspähen sind.
  • Das Risiko, dass der Nutzer Passwörter aufschreibt, fällt weg.
  • Für die Anwendungen können kryptische Passwörter verwendet werden, die bei Bedarf täglich automatisch geändert werden.
  • Im Gefahrenfall ermöglicht Single-Sign-On ein einfaches und schnelles Sperren des Zugangs. Dies ist ohne SSO ein großes Problem, da häufig nicht bekannt ist, welche Anwendungen der Nutzer im Zugriff hat und welche Passwörter ausgespäht wurden.

Quelle: Erwin Schöndlinger, Geschäftsführer der Evidian GmbH

 

Bildquelle: iStockphoto.com/johan63

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok