- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Sicheres Access-Management


Ein zentrales Ziel der IT-Security lautet: Passwörter ersetzen, Transparenz erzeugen, Kontrolle behalten
Access Management der Zukunft: Drei gute Gründe für Federated Single-Sign-On

- Anzeigen -





Jason Goode
Jason Goode Warum Federated Single-Sign-On der Schlüssel zu einem sicheren Access Management der Zukunft ist, Bild: Ping Identity

Die Technik schreitet voran: Mitarbeiter wollen vermehrt vernetzt und mobil arbeiten, sich per Webmail und über Cloud-Zugänge einloggen. Doch ihr Umgang mit Passwörtern ist gleich geblieben – sie werden vergessen oder aufgeschrieben und gehen dabei oft verloren. Moderne Zugriffssicherheit erfordert eine Mischung aus traditionellen Zugriffsmanagementansätzen, attributbasierter Zugangskontrolle und Federation - doch was bedeutet das im Klartext? Jason Goode, Regional Director EMEA bei Ping Identity, stellt drei Gründe vor, warum Federated Single-Sign-On der Schlüssel zu einem sicheren Access Management der Zukunft ist.

Ein zentrales Ziel der IT-Sicherheit lautet: Passwörter ersetzen, Transparenz erzeugen, Kontrolle behalten. Dabei kann Single Sign-On (SSO) unterstützen. Obwohl es diese Lösungen seit Jahren gibt, sind diese oft an eine Domäne gebunden und können nur schwer ausgebaut werden. Doch durch die Erweiterung um Federation greifen Mitarbeiter, Partner und Kunden nun sowohl auf Software-as-a-Service (SaaS)- als auch auf herkömmliche Anwendungen zu, und das von überall.

Lesen Sie zum Thema "Software-as-a-Service" und "Cloud Computing" auch: SaaS-Magazin.de (www.saasmagazin.de)

Reduzierte Sicherheitsrisiken
Eigentlich ist es unglaublich, dass noch immer Passwörter auf Zetteln neben Bildschirmen kleben. Doch Mitarbeiter sind weiterhin gezwungen, sich viele komplexe Passwörter zu merken, und durch die Zunahme von Cloud Computing-Diensten und Anwendungen werden auch diese immer mehr. Jedoch sinkt damit auch die Bereitschaft der Mitarbeiter, sichere Passwörter zu verwenden, woraus sich für Unternehmen große Sicherheitsrisiken ergeben. Und nicht zu vergessen: Der Verwaltungsaufwand, Passwörter neu vergeben oder zurücksetzen zu müssen, kostet die IT unnötig Zeit und die Benutzer Nerven.

Hier kann Federated Single-Sign-On helfen, denn der Anwender muss sich lediglich einen Login merken, um Zugang zu allen verwendeten Applikationen im Unternehmen zu erhalten. Zusätzliche Passwörter entfallen damit und die Anwendungen können sogar mobil verwendet werden.

Zentrale Kontrolle
Sind die Unternehmensanwendungen lokal oder Cloud-basiert, mobil oder webbasiert? Das spielt mit Federation keine Rolle mehr. Anders als die meisten Cloud-basierten SSO-Lösungen ist Federated-SSO darauf ausgelegt, domainübergreifend zu arbeiten. Folglich werden Nutzernamen und Passwörter nicht an die Anwendungen weitergeleitet, sondern an einem zentralen Ort gesichert, der sich vollständig in der Kontrolle des Unternehmens befindet. Federated-SSO übermittelt daraufhin den jeweiligen Authentifikations-Status des Nutzers mittels Standard-Verschlüsselungs-Tokens.

Dies sichert zugleich die Identität des Nutzers ab und ermöglicht es dem Anwendungs-Anbieter, diese jederzeit nachzuvollziehen. Auch die Login-Daten ausgeschiedener Mitarbeiter werden zentral verwaltet und alle Zugriffsrechte auf Anwendungen direkt gesperrt. "Zombie-Accounts" gehören damit der Vergangenheit an, das Unternehmen behält jederzeit den vollen Überblick über alle Zugriffsrechte.

Der Clou an Federation ist also, dass sich der Nutzer tatsächlich nur einmal anmelden muss, während das Unternehmen auch in Zeiten von Cloud und Mobile alle sensiblen Daten zentral im eigenen Einflussbereich behält. Denn der IT-Administrator kann stets genau nachvollziehen, wer auf welche Ressourcen zugreift.

Aktuelle Identitäts-Standards nutzen
Oft setzen Unternehmen Sicherheitslösungen ein, die zwar zu den Unternehmensanwendungen passen, aber die Identität der Nutzer nicht berücksichtigen, die darauf zugreifen. Doch modernes Access Management sollte identitätsbasiert sein. Denn eine kontextuelle Authentifizierung der Identität reduziert den Verwaltungsaufwand sogar bei zunehmend dezentralen Anwendungen und vereinfacht den Anmeldeprozess. Zahlreiche SSO-Lösungen nutzen die üblichen Identitätsstandards wie SAML, WS-Federation und OpenID Connect und bieten damit ein Höchstmaß an Interoperabilität, ganz unabhängig von einzelnen Anbietern.

Standards ermöglichen eine reibungslose Kommunikation zwischen heterogenen Anwendungen und erhöhen damit die IT-Sicherheit. Weiterentwicklungen von Standards wie beispielsweise OpenID Connect reagieren auf die Bedürfnisse von API und Applikationen, indem sie eine kontextbezogene Authentifizierung zum Dreh- und Angelpunkt des Login-Prozesses einsetzen. Damit bleibt dieser für Nutzer immer gleich.

Bis vor kurzem mussten noch alle, die ein Federated Single-Sign-On nutzen wollten, die Security Assertion Markup Language (SAML) beherrschen. Das ist nun nicht mehr der Fall: Dank automatisierter Wizards kann jeder IT-Mitarbeiter schnell und unkompliziert die entsprechenden Verbindungen einrichten.

Aber der Mix macht’s: Federated-SSO kann nur ein Baustein eines sicheren Access Managements sein. Erst kombiniert mit Multi-Faktor-Authentifizierung und Access Security ergibt sich eine zuverlässige Basis. Diese verdrängt die Firewall als primären ‚Sicherheitsbeamten’, da jeder Zugang über die Identität abgesichert wird. Authentifizierte Mitarbeiter, Partner und Kunden können so auf die benötigten Anwendungen zugreifen. (Ping Identity: ra)

eingetragen: 18.05.16
Home & Newsletterlauf: 14.06.16


Ping Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.