Aus Gründen der Wirtschaftlichkeit und Sicherheit hat sich die Hamburgische Landesbank dafür entschieden, Single Sign-On zu verwenden. Derzeit befindet sich das Geldinstitut allerdings noch im Stadium der Produktauswahl. "Unsere Mitarbeiter haben mindestens fünf Systeme, in denen sie sich authentisieren müssen", schildert Ahmet Büyükyilmaz, Bevollmächtigter Organisation/Informatik, die Situation bei der Bank. "Damit haben wir einen Zustand erreicht, der nicht mehr wirtschaftlich ist." Außerdem will der DV-Spezialist verhindern, dass sich Mitarbeiter ihre Passwörter auf Zetteln notieren.
Statt einer Passwort-Synchronisation mit einem einheitlichen Passwort für die Zielsysteme favorisiert Büyükyilmaz eine dezentrale Lösung. Die Mitarbeiter authentisieren sich über eine Chipkarte und die Eingabe einer persönlichen Identifikationsnummer (PIN). Auf der Chipkarte sind die Passwörter dezentral gespeichert. "Wenn die Karte gestohlen wird, kann sich der Dieb trotzdem nicht anmelden, weil er die PIN nicht kennt", erläutert Büyükyilmaz den Sinn der doppelten Sicherung.
Auch Public-Key-Verfahren hält er für zukunftsträchtig. Für künftige Anwendungen, die im Browser zur Verfügung gestellt werden sollen, ist eine PKI geplant. Es existieren aber auch Legacy-Anwendungen. Die Hamburgische Landesbank versucht, sowohl für Neuentwicklungen als auch für Altanwendungen gangbare Wege zu finden. Allerdings besteht für Altanwendungen teilweise ein hoher Programmieraufwand, um sie SSO-fähig zu machen. In diesem Fall entscheidet eine Kosten-Nutzen-Analyse darüber, ob die Anpassung realisiert wird. "Bei Legacy-Applikationen, die massenhaft genutzt werden, lohnt sich das - wenn es nur fünf Angestellte gibt, die das brauchen, nicht", argumentiert der Organisator.
Auf jeder Chipkarte soll es ein Zertifikat geben. Der Ablauf dürfte dann so aussehen: Der Mitarbeiter steckt seine Chipkarte in das System, schaltet den Rechner an, gibt die PIN ein und klickt auf die gewünschte Anwendung. Von der Chipkarte wird das Zertifikat des Mitarbeiters ausgelesen und mit den Zertifikaten in einem Verzeichnis verglichen (Authentisierung). Erweist sich das Zertifikat als gültig, werden anhand der User-ID weitere Fragen geprüft: Darf der Mitarbeiter mit der Anwendung arbeiten? Welche Funktionen darf er nutzen? (Autorisierung). Erst dann kann er auf die Applikation zugreifen.