Textversion
Wer bietet was Recht Markt Produkte Services Whitepapers Fachartikel Compliance-Kiosk Schwerpunkte Branchen Videothek Schulungen Literatur Governance Webinare Compliance-Lexikon Success Stories Specials Security-Telegramm SaaS / Cloud-Telegramm Compliance-Archiv
Home Fachartikel Entscheidungshilfen

Fachartikel


Administration Entscheidungshilfen Hintergrund Kosten Management Recht

Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Single Sign-on ein Risiko?


Fachbeitrag: Single Sign-on - Komfort für den Benutzer oder ein Sicherheitsrisiko?
Im gesamten Unternehmen können stärkere Passwörter als von der Policy vorgeschrieben durchgesetzt werden

Anzeige

Von Christian Koch, Consultant bei Secaron AG

(09.11.06) - Eine Anmeldung und man hat Zugriff auf alle Systeme - das ist der Traum eines jeden Benutzers. Wenn man heutzutage einen Blick auf die IT-Landschaften der Unternehmen wirft, so ist dies jedoch meist eine Wunschvorstellung. Die Benutzer haben mit Unmengen von Benutzernamen und Passwörtern für viele Anwendungen zu kämpfen. Problematisch ist dabei auch, dass die verschiedenen Anwendungen meist unterschiedliche Passwort-Policies haben. Nun muss sich der Anwender diese verschiedenen Benutzernamen und Passwörter aber auch noch merken können. Dies endet nicht selten in einer Liste von Namen und Passwörten am Arbeitsplatz des Benutzers oder darin, dass eine Reihe von Standardpasswörtern verwendet wird.

Die verschiedenen Arten von Single Sign-on

Die Idee hinter Single Sign-on (SSO) ist dem Benutzer den Komfort der einmaligen Anmeldung am System und dem Zugriff auf alle anderen Applikationen zu geben.

Grundsätzlich gibt es zwei Arten von Single Sign-on
>> Auf der einen Seite steht eine serverbasierte Lösung die meist für Webanwendungen verwendet wird und
>> auf der anderen Seite eine clientbasierte Lösung auf dem PC des Benutzers.

Bei Variante 1 ist der Hintergrund dem Benutzer mit einer Authentifizierung die Möglichkeiten des Zugriffs auf alle Webanwendungen eines Unternehmens zu geben und dabei auch die Rechte auf die einzelnen Anwendungen zu steuern. Der Single Sign-on ist dabei nur ein Teil der Gesamtlösung. Auf diese Variante wird im Rahmen dieses Artikels nicht eingegangen.

Variante 2 bildet eine reine Lösung zur einmaligen Anmeldung am PC des Benutzers und zum Zugriff auf alle weiteren installierten Anwendungen ohne extra Authentifizierung. Zur Realisierung wird immer eine Software auf dem PC benötigt, welche die Anmeldung an allen Anwendungen vornimmt. Die SSO Software (SSO Client) kennt alle Anmeldedaten des Benutzers in allen Anwendungen und kann somit automatisiert ohne Interaktion des Benutzers die Anmeldung durchführen.
In dieser Tatsache liegt auch das größte Risiko von Single Sign-on. Wenn die SSO-Software angreifbar ist, so besteht die Möglichkeit, dass ein Angreifer Zugriff auf alle Benutzernamen und Passwörter des Anwenders bekommt. Die sichere Speicherung dieser Daten ist dabei das wichtigste Kriterium für die Auswahl der geeigneten Software. Je nach Hersteller erfolgt die Speicherung der Anmeldedaten verschlüsselt auf der Festplatte des Clients, auf einem USB-Token oder auf einem zentralen Server. Aus reiner Sicherheitssicht ist der USB-Token zu bevorzugen, da hierbei eine Zwei-Faktor-Authentifizierung vorliegt. Nur bei Wissen der PIN und Besitz des Tokens kann ein Zugriff erfolgen. Aus reiner Komfortsicht ist sicherlich der zentrale Server zu bevorzugen, da dieser auch Roaming Profiles mit Single Sign-on ermöglicht und keine extra Hardware benötigt wird. Dieser zentrale Server stellt im Unternehmen dann aber auch das größte Sicherheitsrisiko dar.

Funktionsweise des SSO Client

Damit ein SSO-Client automatisch Anmeldedaten an Programme senden und auf Anmelde-Events der Anwendungen reagieren kann werden verschiedene Verfahren verwendet.

Bei normalen Windowsanwendungen erfolgt die Erkennung von Anmeldefenstern meist über "Windowhandler". Diese stellen eine ID zur Erkennung von Anmeldefenstern dar. Erscheint der Windowhandler im System, so erkennt dies der SSO-Client und schreibt automatisch die Anmeldedaten in die entsprechenden Felder der Maske.
Für die Konfiguration des SSO-Client werden die gültigen Windowhandler meist als Template hinterlegt und zentral verwaltet. Bei der ersten Anmeldung gibt der Benutzer seinen Benutzernamen und das aktuelle Passwort ein. Ab jetzt wird die Anmeldung von SSO-Client verwaltet. Die zweite große Gruppe für SSO-Client ist die Anmeldung an Webanwendungen. Hierbei erkennt der Client Eingabefelder auf Webseiten und gibt dem Benutzer die Möglichkeit die Eingaben zu speichern. Bei erneutem Zugriff erfolgt die Anmeldung automatisch.

Viele SSO-Clients besitzen auch die Möglichkeit auf Events der Passwort-Policy zu reagieren. Damit kann zum Beispiel der SSO-Client auf das Event "Passwort ist abgelaufen" reagieren und automatisch eine neues zufälliges Passwort erstellen. Dieses generierte Passwort kann jetzt sehr komplex sein, da es sich kein Benutzer für den täglichen Gebrauch merken muss. Damit kann im gesamten Unternehmen sichergestellt werden, dass nur starke Passwörter anhand der Passwortrichtlinie verwendet werden und dass kein Anwender für verschiedene Anwendungen das gleiche Passwort verwendet.

Fazit
Single Sign-on bietet eine gute Möglichkeit Sicherheit mit Komfort für den Benutzer zu kombinieren. Im gesamten Unternehmen können stärkere Passwörter als von der Policy vorgeschrieben durchgesetzt werden. Die SSO-Software bietet aber auch den größten Angriffsfaktor für das Unternehmen. Gelingt es einem Benutzer diese Software zu kompromittieren, so ist der Zugriff auf alle Anwendungen möglich.
Aus Betriebssicht stellt die SSO-Software auch eine sehr kritische Anwendung im Rahmen der Verfügbarkeit dar. Fällt sie aus, so kann kein Anwender auf seine Applikationen zugreifen, da nur der SSO-Client das Passwort kennt. Alles in allem kann man sagen, dass eine Single Sign-on Software schnell Akzeptanz bei den Benutzern findet, da sie eine Erleichterung darstellt. Der Einsatz ist jedoch nur nach genauer Analyse der einzelnen Anforderungen und nach Konzeption von Abläufen und Prozessen empfehlenswert. Secaron: ra)


- Anzeigen -


Meldungen: Entscheidungshilfen

Soziale Netzwerke im Web 2.0-Zeitalter Das Privat- und Berufsleben auf Web 2.0-Kommunikationsplattformen wie Facebook, Xing & Co wächst rasant zusammen. Unternehmen müssen jetzt ihre Hausaufgaben in Sachen Nutzungsrichtlinien machen, damit der Umgang mit den Online-Kontaktnetzwerken geregelt ist.

Compliance-Projekte in Finanzinstituten Obwohl Compliance in den letzten Jahren ein zentrales Thema deutscher Banken geworden ist, funktioniert die Umsetzung häufig nicht reibungslos. Viele Kreditinstitute betrachten die Erfüllung der Anforderungen immer noch als notwendiges Übel – die Umsetzung wird daher teilweise kurzfristig und nicht umfassend genug aufgesetzt. Unliebsame Nebenwirkungen, die derzeit bei vielen Banken auf keinem Beipackzettel der Umsetzungsplanung stehen, sind oftmals die Folge. Anstatt die Sicherheit für Bankkunden und Geldhäuser zu erhöhen, lähmen sie die reibungslosen Abläufe im Unternehmen. Umso wichtiger ist es für die Institute, die möglichen Begleiterscheinungen von Compliance und ihre Ursachen zu kennen – nur dann können sie ihnen von Beginn an mit einem umfassenden Projekt systematisch entgegensteuern.

Kostengünstige Umsetzung der BilMoG-Anforderungen Mit dem 29. Mai 2009 ist das BilMoG (Bilanzrechtsmodernisierungsgesetz) in Kraft getreten. Demnach müssen kapitalmarktorientierte Kapitalgesellschaften erstmals die wesentlichen Merkmale ihres internen Kontroll- und Risikomanagementsystems in Hinblick auf den Rechnungslegungsprozess beschreiben. Gerade in Zeiten, in denen die Budgets ohnehin knapp sind, kommen so noch weitere Kosten auf die Unternehmen zu. Dr. Anne-Katrin Straesser, Autorin des Buches "7 Secrets of Highly Profitable Internal Control Systems" gibt dazu vier Tipps, wie Unternehmen Kosten sparen können, wenn diese Anforderung umgesetzt wird.

Compliance garantiert keine Sicherheit Im Compliance-Wettrennen mit internationalen Gesetzgebungen und Richtlinien bleibt die IT-Sicherheit nur zu oft auf der Strecke. Der amerikanische Compliance-Experte Paul Reymann empfiehlt, die Gemeinsamkeiten verschiedener Richtlinien als Grundlage für IT-Sicherheit zu nehmen, um Kopfschmerzen zu vermeiden und automatisch zur Compliance zu gelangen.

Whistleblowing und Hinweisgebersysteme Im Zuge einer verstärkten Compliance-Diskussion in Deutschland gewinnt auch das Thema Whistleblowing hierzulande immer mehr an Bedeutung. Hinweise, die über Whistleblower die relevanten Stellen im Unternehmen erreichen sollen, werden über sogenannte Hinweisgebersysteme aufgenommen. Obwohl diese Systeme zumeist die gleichen Ziele verfolgen, unterscheiden sich die in den Unternehmen eingesetzten Hinweisgebersysteme in ihrer Anwendung stark voneinander.

Checkliste für sicheren Umgang mit Dokumenten Die Anzahl wichtiger Unternehmensdokumente, die in gedruckter Form auf Papier vorliegen, nimmt im digitalen Zeitalter zwar immer weiter ab. Dennoch müssen Unternehmen auch heute noch mit einer großen Zahl physischer Dokumente umgehen, die es zu indexieren und archivieren gilt - sei es aufgrund rechtlicher Vorschriften oder interner Vorgaben. Iron Mountain hat deshalb eine Checkliste für den sicheren Umgang mit Unternehmensdokumenten zusammengestellt.

Immer häufiger: Die Umsatzsteuer-Nachschau Aus Angst vor Steuerausfällen erschwert das Bundesfinanzministerium (BMF) deutschen Unternehmen das Prozedere bei innergemeinschaftlichen Lieferungen. Mit einem aktuellen Schreiben (BMF-Schreiben vom 06.01.09) stemmt es sich gegen Erleichterungen, die der Europäische Gerichtshof im Hinblick auf die Steuerbefreiung solcher Lieferungen geschaffen hat.

Outsourcing und Compliance In vielen IT-Abteilungen regiert derzeit der Rotstift, da die Auswirkungen der aktuellen Krise an den Finanzmärkten auf die reale Wirtschaft nicht ausbleiben. Das Thema Outsourcing bekommt dadurch erneut Rückenwind: In Boomzeiten gilt es als gute Möglichkeit, um Zugang zu neuen Technologien und Ressourcen zu erhalten und in Krisenzeiten gilt Outsourcing als Kostensenker. Dabei ist kaum ein Thema gleichzeitig so umstritten. Gernot Keckeis, Director Identity & Security bei Novell, und Michael Junk, IT-Security & Compliance Manager bei Novell, untersuchen, welche Vorteile die Auslagerung von einzelnen Geschäftsprozessen mit sich bringen kann und welche Hürden gemeistert werden müssen.

Regelbasiertes Rechtemanagement und Compliance Compliance ist derzeit in aller Munde. Kein Wunder: In den Medien häufen sich Berichte über Schäden aufgrund mutwilliger Manipulationen oder unbeabsichtigter Verletzungen von Sicherheitsrichtlinien. Neue Vorgaben wie EuroSOX schlagen Wellen. Die Einhaltung der Vorschriften ist Chefsache, doch die IT trägt einen entscheidenden Teil zur Einhaltung bei. econet, der Münchner Experte für serviceorientiertes Identitätsmanagement, rät Unternehmen, rasch die generischen Voraussetzungen für möglichst viele Compliance-relevante Faktoren zu schaffen.

Regeln für die Healthcare Compliance Eine gute und transparente Zusammenarbeit braucht klare Regeln. Gemeinsam mit den Partnern in den Krankenhäusern und der Ärzteschaft engagieren sich der BVMed und seine Mitgliedsunternehmen seit vielen Jahren intensiv dafür, der Kooperation im Gesundheitsmarkt eine sichere und transparente Grundlage zu geben. Gemeinsam wurden der "Kodex Medizinprodukte", der "Gemeinsame Standpunkt" und Mustervertragselemente zur Zusammenarbeit entwickelt.

Druckbare Version

Compliance-Schulungs-Strategie Auswahl von Tape Libraries