Ratgeber Single-Sign-On (SSO)

Worauf es bei SSO-Lösungen ankommt

08.09.2015 von Oliver Schonschek
Single-Sign-On (SSO) kann die Zugangskontrolle vereinheitlichen, wenn auch mobile Apps, Clouds und soziale Netzwerke unterstützt werden.
  • Grundlegend für jedes SSO-Verfahren ist dessen Integrierbarkeit - oder anders ausgedrückt die Vielfalt an Schnittstellen -, die darüber entscheidet, ob man wirklich von einer einheitlichen, zentralen Anmeldung sprechen kann, oder ob gleich mehrere Anwendungen, die das Unternehmen einsetzt, nicht unterstützt werden.
  • Eine SSO-Lösung sollte sich auch durch ihre Nutzerfreundlichkeit auszeichnen - sowohl für Standardanwender als auch für Administratoren.
  • Bei der Suche nach der richtigen SSO-Lösung haben Unternehmen die Wahl zwischen einer Vielzahl an Anbietern, einige sind in diesem Beitrag genannt. In zahlreichen Punkten ähneln sich die Angebote, weshalb es wichtig ist, die eigenen Anforderungen vor Beginn der Anbietersuche sehr genau heraus zu arbeiten.

59 Prozent der Internetnutzer verwenden ein und dasselbe Passwort für mehrere oder alle von ihnen genutzten Online-Dienste, so eine Umfrage zur Passwortsicherheit 2015 von Web.de. Ein solcher "Generalschlüssel" für Internetdienste ist beliebt, entlastet er doch davon, sich zahllose Passwörter zu merken. Für die Passwortsicherheit jedoch ist dies kritisch, wenn keine zusätzlichen Schutzmaßnahmen erfolgen.

Die Vielzahl an digitalen Identitäten und Passwörtern, die ein Nutzer bewältigen muss, lässt sich durch Single-Sign-On (SSO) reduzieren.
Foto: BioID AG

Probleme mit der Vielzahl an digitalen Identitäten und Zugangsdaten haben nicht nur Verbraucher. Auch Unternehmen wünschen sich einen einheitlichen Zugang für IT-Arbeitsplätze, wie zum Beispiel die Studie "The Adaptive Workplace - Arbeiten im 21. Jahrhundert" von Crisp Research zeigt. Dafür gibt es gute Gründe.

Steigender SSO-Bedarf

Die Mehrzahl der Unternehmen steckt inzwischen in der SoMoClo-Phase. SoMoClo steht für Social Media, Mobile Computing und Cloud Computing. Studien von Bitkom zeigen, dass 75 Prozent der deutschen Unternehmen Social Media für die interne oder externe Kommunikation einsetzen, durchschnittlich 44 Prozent Cloud-Services nutzen und Smartphones zum flexiblen Arbeiten einfach dazu gehören. Mit jeder geschäftlichen App, jedem sozialen Netzwerk und jeder Cloud sind aber weitere Identitäten und Passwörter verbunden. Eine Vereinheitlichung der Nutzerzugänge durch ein Single-Sign-On-Verfahren erscheint als hilfreicher Ausweg.

Security Trends 2015
1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle.
Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen.
2. Internet-of-Things-Attacken haben sich von Machbarkeitsstudien zu Mainstream-Risiken entwickelt.
2014 mussten wir immer häufiger feststellen, dass Hersteller von Internet-of-Things-Geräten es oftmals verschlafen haben, grundlegende Sicherheitsstandards zu implementieren. Entsprechend sind Attacken auf diese Geräte absehbar und werden zudem umfassende Folgen haben. Die IT-Sicherheitsindustrie muss sich weiterentwickeln, um für dieses neue Thema Antworten zu finden.
3. Verschlüsselung ist mittlerweile Standard, aber darüber sind nicht alle glücklich.
Dank häufig auftauchender Schlagzeilen in Sachen Spionagesoftware und Datenbankeinbrüchen hat sich die Verschlüsselung aller Daten schon fast zum Standard entwickelt. Das geht allerdings gerade großen Organisationen wie Strafverfolgungsbehörden oder Geheimdiensten gegen den Strich, da sie befürchten, dass diese „Heimlichtuerei“ die allgemeine Sicherheit gefährdet.
4. Sicherheitsrelevante Programmierfehler in weit verbreiteter Software blieben jahrelang unter dem Radar.
„Heartbleed“ und „Shellshock” machen deutlich, dass weit mehr unsichere Code-Zeilen im Umlauf sind, als gedacht und sie werden seit vielen Jahren unbemerkt von einer großen Anzahl Computersystemen genutzt,. Entsprechend hat sich auch das Augenmerk der Hacker auf diese eher unauffälligen Programme gerichtet und 2015 sind vermehrt Attacken in diesem Bereich zu erwarten.
5. Gesetzliche Neuregelungen bringen mehr Verantwortung bei der Offenlegung von Daten und Haftung mit sich – vor allem in Europa.
Die Mühlen der Gesetze mahlen im Vergleich zur Technologieentwicklung sehr langsam, aber dennoch treten 2015 einige gesetzliche Neuerungen in Kraft, die lange auf sich warten ließen. Es ist wahrscheinlich, dass diese Änderungen auch in anderen Bereichen mit einer progressiveren Datenschutzregulierung einhergehen.
6. Kriminelle schießen sich auf mobile Zahlungssysteme ein, halten aber gleichzeitig noch eine Weile an traditionellen Finanzbetrügereien fest.
Nach der Ankündigung von Apple Pay waren mobile Zahlungssysteme eines der Topthemen der vergangenen Monate. Wie immer, wenn neue Systeme an den Start gehen, werden die Cyberkriminellen nach Lücken Ausschau halten. Da das aber aufgrund einiger sehr positiver Absicherungen nicht ganz einfach sein wird, dürfen wir davon ausgehen, dass die klassischen Onlinegaunereien mit Kreditkarten noch eine Weile weitergehen. Sie sind das bei weitem einfacherer für Betrug zu nutzen.
7. Die Lücke zwischen Sicherheitsaufgaben und geschultem Personal klafft immer weiter auseinander.
Im gleichen Rahmen, wie Technologie immer mehr in unser tägliches Leben Einzug hält und einer der Stützpfeiler für die globale Wirtschaft wird, kommt das fehlende Know-how in Sachen Cybersicherheit zum Vorschein. Diese bedenkliche Entwicklung wird sowohl von Regierungen, als auch der Industrie konstatiert. Das Besetzen der nötigen Stellen kann Jahre dauern und ist somit ein echter Sicherheitsfaktor.
8. Breite “Serviceoffensive” für Attacken und Exploit-Kits, um mobile Plattformen anzugreifen.
In den letzten Jahren hat sich ein neuer Trend bei den Cyberkriminellen durchgesetzt: das zur Verfügung stellen von Malwarepaketen, die keinerlei technisches Wissen voraussetzen und per Klick aktiviert werden können. Der rasante Anstieg bei mobilen Plattformen und der damit verbundene Austausch sensitiver Daten werden dazu führen, dass wir 2015 viele dieser Kits für Smartphone-Angriffe sehen werden. Gleiches gilt für Plattformen, die sich mit dem Internet of Things beschäftigen.
9. Die Lücke zwischen ICS/SCADA und Sicherheit in der realen Welt wächst weiter.
Systeme wie Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) hinken in Sachen Sicherheit üblicherweise zehn oder mehr Jahre hinter dem Mainstream her. Wir gehen davon aus, dass innerhalb der nächsten Jahre einige besorgniserregende Lücken aufgedeckt werden, die von Hackern auf breiter Front ausgenutzt werden.
10. Flexiblere Rootkit- und Bot-Fähigkeiten eröffnen neue Angriffsvektoren.
Die Technologiesparte befindet sich zurzeit in einem grundlegenden Veränderungsprozess, in dessen Rahmen nun Plattformen und Protokolle abgeändert werden, die jahrelang als Standard dienten. Allein die Menge solcher Veränderungen der althergebrachten Technologiestandards wird viele alte Wunden aufreißen und neue Sicherheitslücken schaffen.

Die Suche auf dem SSO-Markt

Betrachtet man den Markt für SSO-Lösungen, kommen fortlaufend neue Anbieter hinzu. Der SSO-Markt ist in Bewegung, auch wegen der stetigen Zunahme an betrieblich genutzten Smartphones und Tablets, der steigenden Nutzung von Cloud-Diensten und der zunehmenden Bedeutung von Social Media im Unternehmen.

In diesem Beitrag kann nur eine Stichprobe unter den SSO-Plattformen untersucht werden. Die abschließende Checkliste nennt aber Kriterien, die Unternehmen für ihre eigene Suche und Bewertung heranziehen können.

1. Kriterium: Schnittstellen

Grundlegend für jedes SSO-Verfahren ist dessen Integrierbarkeit - oder anders ausgedrückt die Vielfalt an Schnittstellen -, die darüber entscheidet, ob man wirklich von einer einheitlichen, zentralen Anmeldung sprechen kann, oder ob gleich mehrere Anwendungen, die das Unternehmen einsetzt, nicht unterstützt werden.

Ein SSO-Verfahren, das tatsächlich alle eingesetzten Anwendungen einbinden kann, ist kaum zu finden. Doch die entscheidenden Anwendungen eines Unternehmens sollten durch die SSO-Lösung der Wahl unterstützt werden.

Zu beachten sind dabei insbesondere die von der jeweiligen SSO-Lösung unterstützten Standards, Verzeichnisdienste (wie Active Directory oder OpenLDAP), Identitätsdienste und Anwendungen im Netzwerk und in der Cloud, zudem mobile Anwendungen und Social-Media-Plattformen.

Unterstützte Standards und Identitätsdienste

Lösungen wie CA Secure Cloud, SurePassID oder IBM Tivoli Federated Identity Manager unterstützen Autorisierungsstandards für Web-, Desktop- und mobile Applikationen wie OAuth, die Web-Spezifikation WS-Federation und das SAML-Framework (Security Assertion Markup Language). Damit sind wichtige technische Voraussetzungen für den standardisierten Austausch von Zugangsdaten mit zahlreichen Applikationen gegeben. Die Vielfalt an unterstützten Anwendungen ist bei solchen SSO-Lösungen in der Regel groß.

Einer der führenden Identitätsdienste im Internet ist OpenID.
Foto: OpenID

Verschiedene SSO-Plattformen berücksichtigen auch Identitätsdienste wie OpenID, CA Secure Cloud zum Beispiel auch die Verwendung der Facebook- oder Google-Zugangsdaten bei Websites, die diese Art der Anmeldung unterstützen. SSO-Plattformen, die zum Beispiel OpenID als Identitätsanbieter und Anmeldeverfahren vorsehen, können nach einmaligem Login des Nutzers die Anmeldung an allen Webseiten vornehmen, die den Identitätsdienst OpenID integriert haben. Welche dies sind, findet man unter anderem auf der OpenID-Webseite.

Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an.
Foto: Screenshot Twitter.com / Oliver Schonschek

Soziale Netzwerke wie Facebook, Twitter und Google+ bieten sich inzwischen ebenfalls als Identitätsdienst an. Man spricht auch von Social-Log-In-Diensten. Die Lösung NetIQ Social Access zum Beispiel ermöglicht es Unternehmen, ihren Kunden oder Partnern eine Anmeldung mit einem der Social Log-Ins anzubieten, also für die Anmeldung die Zugangsdaten eines bestimmten sozialen Netzwerkes zu verwenden.

Unternehmensanwendungen, Mobile und Cloud

Neben Anwendungen, die im internen Netzwerk betrieben oder aus einer Cloud bezogen werden, sind es die mobilen Apps, die für den betrieblichen Einsatz zunehmend wichtig werden. IBM Security Access Manager for Cloud and Mobile zum Beispiel vereinheitlicht den Zugang zu verschiedenen Cloud-Diensten und die Anmeldung für bestimmte mobile Apps.

Lösungen wie SecureAuth IdP bieten für mehrere mobile Plattformen spezielle Apps an, die die Nutzer auf ihr Smartphone oder Tablet laden, um das Single-Sign-On mobil nutzen zu können. CloudAccess SaaS SSO, Symantec Identity Access Manager oder PingOne bieten eine zentrale Nutzeranmeldung für zahlreiche, unterstützte Cloud-Dienste, darunter Google Apps, Salesforce.com oder SharePoint.

One person, many identities
Die Vielzahl an digitalen Identitäten und Passwörtern, die ein Nutzer bewältigen muss, lässt sich durch Single-Sign-On (SSO) reduzieren. Im Idealfall reicht eine Zugangskontrolle für alle genutzten Anwendungen. Dies kann zum Beispiel eine biometrische Zugangskontrolle sein wie bei BioID.
Twitter - Sign in
Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an, so dass zum Beispiel die Twitter-Zugangsdaten auch für andere Online-Dienste genutzt werden können - vorausgesetzt, diese unterstützen die Anmeldung über Twitter.
Alternative Mozilla Persona
Neben dem Identitätsdienst OpenID bietet sich auch Mozilla Persona an, um einheitliche Anmelde-Verfahren bei mehreren Webseiten zu schaffen.
One E-Mail to rule 'em all
Bei Mozilla Persona dient die E-Mail-Adresse des Nutzers als eindeutiges Kennzeichen, über das verschiedene Anmelde-Verfahren auf Webseiten vereinheitlicht werden können.
ClaimID OpenID
Einer der führenden Identitätsdienste im Internet ist OpenID. Dieser wird auch von zahlreichen Identitätsmanagement-Lösungen unterstützt, die Unternehmen für das interne Netzwerk und für Cloud-Dienste einsetzen.
CA CloudMinder
Die Lösung CA CloudMinder bietet Single-Sign-On für eine Vielzahl von Anwendungen, ob im eigenen Netzwerk oder in der Cloud. Zusätzlich werden Self-Service-Funktionen angeboten, mit denen die Nutzer zum Beispiel selbst ein Passwort zurücksetzen können.
SecureAuth IdP
Für die SSO-Lösung SecureAuth IdP gibt es spezielle mobile Apps, mit denen sich die SSO-Zugänge auch über mobile Geräte nutzen lassen.
Aveska MyAccess Mobile
Für die SSO-Plattform MyAccessLive gibt es mobile Zugriffsmöglichkeiten, mit denen Administratoren Nutzeranfragen zu neuen oder geänderten Zugängen mobil bearbeiten können.

2. Kriterium: Sicherheit

Bei einem SSO-Verfahren sollten Vorgaben für komplexe Passwörter und verschlüsselte Anmeldeverfahren Standard sein. Gelänge es einem Unbefugten, den zentralen Zugang zu knacken, hätte er in der Regel Zugang zu allen angebundenen Anwendungen.

Abhängig vom jeweiligen Schutzbedarf, den internen Richtlinien und den für das Unternehmen geltenden Compliance-Vorgaben sollten deshalb auch Mehr-Faktor-Authentifizierungen möglich sein. Bei Identity and Management Plattformen (IAM) wie SecureAuth IdP zum Beispiel kann das SSO-Passwort richtlinienabhängig um weitere Faktoren wie einem Einmal-Passwort (OTP) ergänzt werden.

Ob eine einfache Passwortanmeldung für die SSO-Anmeldung reicht oder nicht, entscheidet beispielsweise CA Secure Cloud auf Basis des aktuellen Risk Score. Dieser hängt unter anderem davon ab, wo sich der Nutzer aktuell befindet, welches Gerät für die Anmeldung genutzt wird, welche Aktionen der Nutzer vornehmen möchte und ob die geplanten Aktionen des Nutzers mit seinen Aktivitäten in der Vergangenheit zusammen passen.

3. Kriterium: Nutzerfreundlichkeit

Eine SSO-Lösung sollte sich auch durch ihre Nutzerfreundlichkeit auszeichnen - sowohl für Standardanwender als auch für Administratoren.

Bei Cloud-basierten Lösungen wie CloudAccess SaaS SSO, OneLogin oder PingOne entfallen Installationsaufwände; die zentrale Administration und die SSO-Anmeldung durch die Nutzer erfolgen über den Webbrowser. Allerdings ist bei Cloud-basierten SSO-Lösungen die hohe Verfügbarkeit des Dienstes von zentraler Bedeutung, ebenso die Betreibersicherheit, da die Identitätsdaten vor Unbefugten geschützt sein müssen.

CA Secure Cloud, SecureAuth IdP oder IBM Tivoli Federated Identity Manager ermöglichen unter anderem das Zurücksetzen des Nutzerpasswortes als Self-Service. Solche Funktionen, mit denen Nutzer bestimmte Zugangsprobleme wie ein vergessenes Passwort selbst lösen können, erhöhen die Nutzerakzeptanz und entlasten die Administratoren.

Fazit: Genaue Anforderungen stellen

Bei der Suche nach der richtigen SSO-Lösung haben Unternehmen die Wahl zwischen einer Vielzahl an Anbietern, einige sind in diesem Beitrag genannt. In zahlreichen Punkten ähneln sich die Angebote, weshalb es wichtig ist, die eigenen Anforderungen vor Beginn der Anbietersuche sehr genau heraus zu arbeiten. Fragen zur notwendigen Unterstützung von Verzeichnisdiensten und Anwendungen sollten ebenfalls vorab geklärt sein wie der Bedarf Identitätsdienste wie OpenID oder Social Log-Ins einbeziehen zu können.

Entscheidend ist die Datensicherheit, die eine SSO-Plattform bieten kann, bei der Übertragung und Speicherung der Zugangsdaten; im Fall von Cloud-basierten SSO-Lösungen auch die Sicherheit, die der Betreiber gewährleisten kann. Eine Cloud-basierte SSO-Lösung bedeutet in aller Regel eine Auftragsdatenverarbeitung und muss den entsprechenden Datenschutzanforderungen gerecht werden.

Nicht zuletzt die Nutzerfreundlichkeit einer Lösung im Bereich Single-Sign-On wird über den Erfolg der Einführung entscheiden. Umständliche Anmeldeverfahren werden auf Ablehnung stoßen. So sollten die jeweils angebotenen Möglichkeiten zur Mehr-Faktor-Authentifizierung mit den eigenen Vorstellungen abgeglichen werden. Es macht einen Unterschied, ob die Nutzer ein Einmal-Passwort per SMS auf ihr Mobiltelefon bekommen, das sie sowieso dabei haben, oder ob sie einen zusätzlichen Hardware-Token benötigen.

Die folgende Checkliste nennt zusammenfassend grundlegende Auswahlkriterien, die individuell erweitert werden sollten. Exemplarisch sind verschiedene Lösungen auf die genannten Kriterien untersucht worden. (sh)

Checkliste: Auswahlkriterien für SSO-Lösungen

Auswahlkriterien für SSO-Lösungen

Plattform / unterstützt

CA Secure Cloud

IBM Security Access Manager for Mobile / Tivoli Federated Identity Manager

CloudAccess SaaS SSO / Identity Gateway

SecureAuth IdP

PingOne

Standards (wie SAML, OAuth2.0)

z.B. OAuth, WS-Fed, SAML

z.B. SAML, WS-Fed, OAuth

z.B. SAML 2.0, WS-Fed, Liberty Alliance

z.B. SAML, OAuth 2.0 w

SAML

Identitätsdienste (wie OpenID)

OpenID, Facebook, Google

Information Card Profile, OpenID

k.A.

z.B. OpenID, Google, Facebook

OpenID

Netzwerk-Apps

Ja

Ja

SaaS-Lösungen

Ja

Ja

Mobile Apps

Ja

Ja

Mobile Zugriffe auf SaaS-Apps

Ja

Ja

Cloud-Apps

z.B. Office 365

Ja

Ja

Ja

Ja

Individuelle Konnektoren

k.A.

k.A.

Connector-Toolkit für SAML-fähige SaaS-Anwendungen

Ja

Anfrage weiterer Apps möglich

Cloud-basiert

Ja

Ja, IBM Cloud Identity Services

Ja

Virtual Appliance

Ja

Self-Serice für Nutzer

Ja

Ja

k.A.

Ja

Ja

Mehr-Faktor-Authentifizierung

z.B. Smart Cards, Biometrie, SecurID

Ja

Ja

Ja

Ja

Zentrale Administration

Ja

Ja

Ja

Ja

Ja

Reporting

Ja

Ja

Ja

Ja

Ja