Interview mit Sven Schreyer, Quest

Single-Sign-On für mehr Datensicherheit

Interview mit Sven Schreyer, Sales Specialist für Identity Management bei Quest Software

Sven Schreyer, Quest

Sven Schreyer, Quest Software

IT-DIRECTOR: Welche Applikationen sollten Unternehmen über die Nutzung eines reinen Passworts hinaus auf jeden Fall mit einer starken Authentifizierung bzw. einem Single-Sign-On (SSO) absichern?
S. Schreyer: Generell sollten Unternehmen nicht alleine auf eine Passwortabsicherung vertrauen. Gerade sensible und unternehmenskritische Anwendungen unterliegen erhöhten Sicherheitsrisiken und bedürfen einer ganzheitlichen Access-Governance-Strategie, die auch eine Integration in die bestehenden Service-Request- und Identity-Management-Prozesse berücksichtigt.

Das sicherste Authentifizierungsverfahren ist wertlos, wenn der Bereitstellungsprozess für Berechtigungen nicht medienbruchfrei und nachvollziehbar durchlaufen werden kann. Das gleiche gilt übrigens auch für die Rücknahme von Berechtigungen. Darüber hinaus ist es sinnvoll und notwendig, stärkere Authentisierungsverfahren als Username/Passwort einzusetzen, vor allem für die Absicherung externer Zugänge. In Kombination mit Single-Sign-On kann der Benutzer einmalig und an zentraler Stelle authentisiert und pro Applikation autorisiert werden. Erst dann lässt sich mit Single-Sign-On die gewünschte Verbesserung der Usability erreichen, ohne auf ein hohes Maß an Sicherheit verzichten zu müssen.

IT-DIRECTOR: Welche Vorteile hält die Nutzung eines Single-Sign-On für die Anwender bereit?
S. Schreyer: Single-Sign-On-Prozesse verbessern nicht nur die Benutzerfreundlichkeit, sondern wirken sich auch positiv auf die Produktivität der Anwender aus, da die Arbeit nicht durch das Abfragen von Authentifizierungsdaten unterbrochen wird. Statt sich für jede Anwendung ein anderes Login merken zu müssen, können Benutzer in einer Single-Sign-On-Umgebung ein einziges, dafür aber komplexeres Passwort wählen. Dadurch lassen sich unsichere Zugangsdaten oder die weitverbreiteten Notizzettel, auf denen die verschiedenen Logins verzeichnet sind, eliminieren und so die Sicherheit deutlich erhöhen.

IT-DIRECTOR: Inwiefern kann SSO die Datensicherheit des Unternehmens gefährden?
S. Schreyer: Natürlich bergen diese Technologien gewisse Risiken. Die Tätigkeit in verschiedenen Abteilungen und Projekten macht den Zugriff auf eine Vielzahl von Applikationen unabdingbar. Gibt es keine Prozesse und Automatismen, die auch für den Entzug der Berechtigungen sorgen, werden die über Jahre gesammelten Berechtigungen in Kombination mit SSO zu einem offenen Einfallstor. Gelingt es dann noch etwa einem Angreifer, Zugangsdaten auszuspähen, kann dieser auf alle Systeme zugreifen. Gleiches gilt auch für unbeaufsichtigte Geräte. Verlässt etwa der letzte Benutzer seinen Arbeitsplatz, ohne sich vorher abzumelden, haben Unbefugte die Kontrolle über alle Anwendungen. Diese Risiken zeigen deutlich, dass Single-Sign-On alleine eher ein Risiko darstellt. Vielmehr sollte SSO Bestandteil einer durchdachten Identity- und Access-Managementlösung sein.

IT-DIRECTOR: Welche Tücken hält ein Single-Sign-On für die IT-Administration bereit?
S. Schreyer: Die Einbindung bereits existierender Anwendungen in eine Single-Sign-On-Infrastruktur ist oftmals sehr aufwendig, da dabei meist die Sicherheitsmechanismen angepasst werden müssen. Wir haben mit Quest Enterprise- und Web-Single-Sign-On-Lösungen entwickelt, die diesen Prozess für IT-Administratoren so einfach wie möglich gestalten. Sie nutzen das Active Directory als Basis und machen zusätzliche Verzeichnisse oder Datenbanken überflüssig. Gleichzeitig unterstützen unsere SSO-Lösungen ein breites Spektrum passwortgeschützter Applikationen und Systeme sowie etablierte Industriestandards.

IT-DIRECTOR: Worauf gilt es bei der SSO-Authentifizierung in Cloud-Umgebungen besonders zu achten?
S. Schreyer: Prinzipiell gelten für die Authentisierung an einer Cloud-Applikation die gleichen Sicherheitsregeln wie innerhalb des Unternehmens. Allerdings sollte zusätzlich besonderer Wert auf die Nachvollziehbarkeit der Berechtigungsvergabe und Transparenz der bestehenden Berechtigungen und Zugriffe gelegt werden. Wenn man Applikationen und Daten in die Hände eines Cloudproviders gibt, dann ist es schon allein aus rechtlichen Gründen angemessen, genau zu wissen, wer zu welchem Zeitpunkt Zugriff auf welche Daten und Applikationen hat und hatte.

Wir bieten dafür nicht nur die Softwarelösung für die unternehmensweite automatisierte Verwaltung der Berechtigungen sowohl „on premise“ als auch in der Cloud, sondern liefert auch die Integration in die bestehenden Service-Request-Management-Prozesse. Damit kann sowohl aus Sicht einer Person, als auch aus Sicht der Applikation und der Daten nachvollzogen werden, wer zu welchem Zeitpunkt Zugriff hatte und wer diesen Zugriff autorisiert hat. Zusätzlich werden damit gesetzlich vorgeschriebene Dokumentationspflichten erfüllt, ohne unnötigen administrativen Aufwand zu verursachen.

IT-DIRECTOR: Welchen Unterschied macht es dabei, ob man auf eine Private oder Public Cloud zugreift?
S. Schreyer: Egal ob ein Unternehmen eine private oder eine public Cloud nutzt, es sollte in jedem Fall auf eine geeignete Sicherheitsstrategie achten. Um langfristig auch für zukünftige Anforderungen gerüstet zu sein, ist es sinnvoll, sich frühzeitig Gedanken über eine ganzheitliche Access-Governance-Strategie zu machen. Dazu gehören neben Identity- und Access-Management-Prozessen auch die Klassifizierung von Daten nach ihrem Schutzbedarf. Daraus leitet sich ab, welche Daten wo gespeichert werden können und wer darauf Zugriff haben darf. Die dafür notwendigen Inventarisierungswerkzeuge, Regelwerke und Sicherheitslösungen von Quest unterstützen unsere Kunden und Partner dabei und bieten durch die konsequente technische Integration zu einer Gesamtlösung ein Höchstmaß an Effizienz und Sicherheit für den Betrieb.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok