Interview mit Jason Goode, Ping Identity

Sicher dank mobilem Single Sign-On (SSO)

Interview mit Jason Goode, Regional Director EMEA bei Ping Identity, über ein sinnvolles Identitäts- und Zugriffmanagement (IDentity & Access) auf mobilen Endgeräte

Ping Identity

Jason Goode, Regional Director EMEA bei Ping Identity

Herr Goode, immer öfter erhalten Mitarbeiter über verschiedene Endgeräte Zugriff auf Unternehmensanwendungen. Wie können IT-Verantwortliche hier für adäquate Zugriffssicherheit sorgen?
Jason Goode:
Heute sind Büros nicht mehr durch die klassischen „vier Wände“ begrenzt: Sicherheitslösungen, die sich wie eine Mauer um das Unternehmen ziehen, gehören der Vergangenheit an. Zu viele Mitarbeiter kommunizieren heute über die Unternehmensgrenzen hinweg, Kunden und Partner greifen auf Firmenanwendungen zu. Laut Gartner werden bis zum Ende des Jahres 2020 bereits 80 Prozent der Nutzerzugriffe von mobilen Architekturen erfolgen. Unternehmen sehen sich deshalb mit der Herausforderung konfrontiert, Sicherheitsrichtlinien auch für komplexe mobile Infrastrukturen erfüllen zu müssen.

Je mehr Nutzer über Mobilgeräte auf Anwendungen mit geschäftskritischen Daten zugreifen, desto notwendiger wird eine zentralisierte Verwaltung von mobilen Endgeräten. Mobile Device Management (MDM) ist hier das Stichwort. Doch Lösung ist hier nicht gleich Lösung: Die Analysten von Gartner sagen ebenfalls voraus, dass 20 Prozent der Bring-Your-Own-Device-Programme (BYOD) in Unternehmen bis zum Jahr 2016 an ihre Grenzen stoßen werden. Der Grund: es werden zunehmend zu restriktive Lösungen für das Mobile Device Management eingesetzt. MDM muss sicher sein, darf aber zugleich keine Arbeitsabläufe behindern uns so zu Lasten der Effizienz gehen.

Welche Rolle spielt in diesem Zusammenhang die Technologie des Single Sign-on?
Goode:
Single-Sign-On-Mechanismen erhöhen die Effizienz und die Sicherheit bei der Zugriffskontrolle. Jede Person besitzt und nutzt viele verschiedene digitale Konten und benötigt jeweils die zugehörigen Login-Daten. Das führt zu einer Flut von Benutzernamen und Passwörtern für jeden einzelnen Nutzer, die sowohl für den Einzelnen als auch für Unternehmen, die alle Daten für ihre Anwendungen verwalten müssen, nicht mehr darstellbar ist.

In Zukunft werden Firmen dieses Chaos mithilfe von „Identity und Access Management“ (IAM) lösen. Über diese Programme wird ein Zugriff auf alle Anwendungen per einzigartiger Identität, die allen Nutzern zugeteilt wird, geregelt. Das Mobile Device Management sollte Bestandteil des IAM sein, damit auch Zugriffe von mobilen Geräten aus über die eine Identität funktionieren.

Wie funktioniert ein mobiler Single Sign-on überhaupt? Wo liegen die Risiken bzw. wo lauern mögliche Gefahren?
Goode:
Single Sign-On (SSO) ist eine Möglichkeit für einen Netzwerk-Login. Jeder Nutzer muss sich damit nur ein einziges Passwort merken und hat damit Zugriff zu Rechnern, Anwendungen, Services oder Programmen im Netzwerk und in der Cloud. Fortschrittliche Single-Sign-On-Systeme nutzen Technologien wie standardbasierte Tokenisierung zum Austausch von Zugangsdaten, verschlüsseln Speichervorgänge und die versendete Informationen.

Die Lösung stellt den Zugriff auf bestimmte Daten für berechtigte Personen sicher und macht weitere Eingabeaufforderungen überflüssig, wenn Mitarbeiter während einer Session die Anwendungen wechseln. SSO-Systeme können sowohl in Unternehmen installiert oder als On-Demand-Service genutzt werden. Mit einer solchen Lösung ist es deutlich einfacher, dem Netzwerk neue Mitarbeiter oder Partner hinzuzufügen bzw. zu löschen. Das erleichtert das Leben nicht nur für die IT, sondern verbessert auch die Produktivität der Mitarbeiter selbst. Sie müssen sich nun nicht mehr an unzählige Passwörter erinnern.

Solche Systeme sind neben der Bereitstellung und Verwaltung von Identitäten auch für die Vergabe von Zugriffs- und Nutzungsrechten zuständig. So lässt sich recht einfach überblicken, wer sich nicht im Rahmen der Compliance-Vorschriften bewegt. Gerät das Passwort für den Single Sign-On in die falschen Hände, dann ist ein missbräuchlicher Zugriff auf zahlreiche Ressourcen möglich. Dieses Risiko lässt sich durch entsprechende Verhaltensregeln hinsichtlich der Aufbewahrung des Passworts weitgehend minimieren – das Passwort sollte beispielsweise nicht schriftlich verwahrt werden.

Können Sie uns bitte ein Beispiel für die mobile Nutzung von Single Sign-on beschreiben?
Goode:
Nehmen wir einen Einkäufer in einem produzierenden Unternehmen: Dieser muss unterwegs auf einer CRM-Plattform Lieferdaten aktualisieren, er greift auf Ressourcen auf dem Server seines Unternehmens zu, beantwortet E-Mails, er bestätigt im Portal eines Zulieferers einen Einkauf, postet einen Beitrag in seinem LinkedIn-Profil und schreibt am Ende des Tages kurz eine private Nachricht bei Facebook. Für alle diese Vorgänge braucht der Einkäufer zahlreiche Benutzernamen und Passwörter. Dies erleichtert eine Single-Sign-On-Lösung, indem zu Beginn des Arbeitstages ein Passwort eingegeben wird, dass automatisch den Zugriff auf die für den Einkäufer notwendigen IT-Ressourcen, Anwendungen und Plattformen ermöglicht. Er muss sich nun nicht mehr an zahlreiche, möglichst komplexe Passwörter erinnern und diese regelmäßig ändern. Denn diese Vorgaben setzen ihm die Administratoren in seinem Unternehmen, die so ein möglichst hohes Sicherheitsniveau sicherstellen wollen. Dabei nimmt sie die Verwaltung zeitlich stark in Anspruch: regelmäßig müssen Passwörter geändert, zurückgesetzt oder neue vergeben werden.

Stichwort Passwort: Wie sollte ein sicheres Passwort aufgebaut sein?
Goode:
Kommt eine Single-Sign-On-Lösung zum Einsatz, wird automatisch ein starkes Passwort für den Nutzer generiert. So muss der Nutzer sich nur dieses eine Passwort merken, um auf all seine notwendigen Konten und Anwendungen Zugriff zu erhalten. Wer noch keine SSO-Lösung hat, die ihm die Passworterstellung abnimmt, sollte bei jedem Passwort einige Grundprämissen beachten: Passwörter sollten aus mindestens 14 Zeichen bestehen – je länger es ist, desto stärker ist es auch. Die Vielfalt der Zeichen im Passwort sollte möglichst groß sein, d.h. eine Kombination aus „normalen“ Buchstaben, Zahlen und Sonderzeichen ist ideal. Als sinnvoll haben sich hier für Passwörter die Anfangsbuchstaben eines leicht zu erinnernder Satzes aus mindestens zehn Worten erwiesen. Dieses Passwort sollte durch zusätzliche Zahlen, Groß-und Kleinschreibung und Sonderzeichen verkompliziert werden.

Wann ist es sinnvoll auf eine professionelle Lösung für das Passwortmanagement zu setzen?
Jason Goode:
Das macht bereits bei einem kleinen Unternehmen Sinn. Sicherheitsrisiken sollten hier nicht unterschätzt werden, denn jedes Unternehmen hat schützenwerte Informationen und hält persönliche Daten von Kunden, Mitarbeitern und Partnern vor. Kostenfreie Lösungen für kleine Unternehmen bieten sogar für bis zu 50 Nutzer ausreichend Potential sind – mit zunehmender Expansion des Unternehmens lassen sich diese einfach erweitern.

Parallel zur Nutzung eines Passwort-Managers erhält man oftmals ein sogenanntes Master-Passwort. Wird dieses gehackt ist der Schaden jedoch immens – wie kann man sich vor einem solchen Szenario am besten schützen?
Goode: Zunächst ist ein Password-Manager ein Lückenbüßer für den wirklich fortschrittlichen Weg: Eine Single-Sign-On-Lösung. Nutzer sollten nicht ausschließlich auf ein Master-Passwort vertrauen, sondern Lösungen wählen, die auf eine Kombination verschiedener Authentifizierungstechniken setzen. Mit der Multi-Faktor-Authentifizierung kommt ein weiteres Element für den Identitätsnachweis für den Zugriff auf den Password-Manager hinzu. Beispielsweise kann das per Hardware-Token oder Mobiltelefon geschehen. So hat man einen physischen Nachweis, den nur die betreffende Person haben kann zusätzlich zu dem Passwort, was eine Person wissen kann. So lässt sich die Sicherheit erhöhen, doch der Königsweg sollte immer Single Sign-On sein.

Welche Funktionen – insbesondere für die mobile Nutzung – sollte ein solcher Passwort-Manager auf jeden Fall besitzen?
Jason Goode:
Verbraucherorientierte Lösungen sind lediglich zentrale Speicher von Benutzernahmen und Passwörtern, die einfach zu handhaben sind, aber die Sicherheit für den Benutzer schmälern. Denn damit geht nicht immer automatisch eine Form von Verschlüsselung einher, so ist der Schutz vor dem Zugriff durch Unbefugt nicht ausreichend. Eine entsprechend moderne Identity- und Access-Management-Applikation sollte auf die Tokenisierung der Zugangsdaten setzen und eine Zwei-Faktor-Authentifizierung beinhalten. Die Lösung sollte gleichzeitig die zentrale Verwaltung der Zugriffe, umfassende Reportings und Compliance-Features ermöglichen. So kann die IT-Abteilung maximalen Nutzen aus einer solchen Lösung ziehen und für die Mitarbeiter vereinfacht sich der Login deutlich.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok