Mit Single-Sign-on zum Identity-Management

28.09.2006
Von Richard Diez-Holz
Ein durchdachtes Identity- und Access-Management beseitigt die unternehmensinternen Probleme bei der Benutzerverwaltung. Als Projekteinstieg hat sich die Einführung von Single-Sign-on bewährt.
Systeme für Identity- und Access-Management legen alle Informationen über Applikationen, Benutzer, digitale Identitäten sowie den gesamten Workflow im Lebenszyklus eines Benutzerkontos in einer Sicherheitsdatenbank ab. Dabei kann auf bereits bestehende Datenbanken wie etwa das Active Directory zugegriffen werden. Die Definition von Rollen bietet die Möglichkeit, einem realen Benutzer an zentraler Stelle einen genau definierten Satz digitaler Identitäten zuzuordnen, mit denen er sich an Anwendungen authentifizieren kann. Komplexe digitale Identitäten lassen sich automatisch erzeugen.
Systeme für Identity- und Access-Management legen alle Informationen über Applikationen, Benutzer, digitale Identitäten sowie den gesamten Workflow im Lebenszyklus eines Benutzerkontos in einer Sicherheitsdatenbank ab. Dabei kann auf bereits bestehende Datenbanken wie etwa das Active Directory zugegriffen werden. Die Definition von Rollen bietet die Möglichkeit, einem realen Benutzer an zentraler Stelle einen genau definierten Satz digitaler Identitäten zuzuordnen, mit denen er sich an Anwendungen authentifizieren kann. Komplexe digitale Identitäten lassen sich automatisch erzeugen.

Der "Deloitte Global Security Survey 2006", eine von Deloitte Touche Tohmatsu jährlich vorgenommene Befragung der 150 weltweit führenden Unternehmen im Finanzsektor, gibt an, dass 96 Prozent aller kontaktierten Chief Information Officers und Chief Information Security Officers die autorisierten Benutzer innerhalb der firmeneigenen IT-Infrastruktur als Sicherheitsrisiko ansehen. Dies ist keineswegs unbegründet, denn Firmennetze sind heute in der Regel technisch gut abgesichert und stützen sich auf erprobte Sicherheitsmechanismen, die nur mit großem Aufwand umgangen oder überwunden werden können. Daher suchen Hacker nach alternativen Methoden, unerlaubten Zugriff auf ihr Ziel zu erhalten. Das schwächste Glied in dieser Kette sind bekanntermaßen die eigenen Anwender. Sie sind sich oft weder über die möglichen Gefahren bewusst, noch sind sie auf dem neuesten Stand bezüglich aktueller Sicherheitsbedrohungen. Dennoch verfügen sie aber häufig über weit reichende Rechte für den Zugriff auf Informationen oder diese zu verändern. Identitätsdiebstahl ist daher eine sehr effektive Methode, in Netzwerke einzudringen, ohne technische Sicherheitsmechanismen überwinden zu müssen.

Hier lesen Sie …

Probleme in IT-Infrastrukturen

• Der Wildwuchs unterschiedlicher Applikationen in einem Unternehmensnetz, deren zentrale Verwaltung nahezu unmöglich ist.

• Es ist selten definiert, welcher Anwender grundsätzlich für welche Aufgaben welche Art von Zugriff auf bestimmte Applikation benötigt.

• Administratoren sind dafür verantwortlich, Zugän- ge zu Anwendungen - oft manuell - anzulegen. Bis dieser Prozess für jede Applikation und jeden Anwender vollständig durchlaufen ist, verstreicht Arbeitszeit, die der Anwender nicht produktiv verbringen kann.

• Anwender sind in zu hohem Maße in die Verwaltung der IT-Infrastrukturen einbezogen. Es obliegt ihrer Verantwortung, sorgsam mit diversen Passwörtern umzugehen, außerdem sind sie sich nicht über aktuelle Sicherheitsbedrohungen bewusst.

• Der Zwang durch Gesetze und Richtlinien, alle IT-Prozesse innerhalb des Unternehmens genau definieren und fortwährend kontrollieren zu müssen sowie die Wirksamkeit des gesamten Ablaufs jederzeit nachweisen zu können, verursacht ohne standardisierte Verfahren und einfachen Zugriff auf Informationen enorm hohe Aufwände.

• Diverse Vorgänge (beispielsweise das Beantragen eines Benutzerkontos) werden noch immer regelmäßig auf Papier niedergeschrieben und nicht in die IT-Infrastruktur integriert.

Mehr zum Thema

www.computerwoche.de/

581912: Der IT-Security-Markt;

580799: Passwortschutz alleine reicht nicht;

1215486: Single-Sign-on auf LDAP-Basis senkt im Baukonzern Alpine den IT-Verwaltungsaufwand.

Die Techniken der Angreifer entwickeln sich dabei schneller als Sicherheitsbeauftragte die eigenen Mitarbeiter über neue Gefährdungen aufklären können. Aktuell verursachen Hacker durch so genanntes Spear-Phishing große Schäden. Das sind gezielte Angriffe auf einzelne Unternehmen oder Institutionen mit täuschend echt aussehenden E-Mails, zum Beispiel eines internen Administrators, der dazu auffordert das Passwort zu Wartungszwecken auf einer Website zurückzusetzen.

Unternehmen im Visier

Der Fokus dieses Angriffs liegt nicht mehr darauf, möglichst viele potentielle Opfer zu erreichen, sondern konzentriert sich auf ein Unternehmen oder eine Institution. Dafür steigt jedoch die Qualität des Angriffs erheblich. Die Global Security Survey 2006 nennt die nackten Zahlen: In den vergangenen zwölf Monaten verzeichneten 78 Prozent aller befragten Unternehmen Sicherheitsvorfälle, die auf externe Ursachen zurückzuführen sind. Phishing- und Social-Engineering-Angriffe konnten in 88 Prozent der Fälle als Ursachen nachgewiesen werden.

Oftmals gefährden jedoch auch die eigenen Mitarbeiter unbewusst die Sicherheit. Man stelle sich einen Bankmitarbeiter vor, der sich jeden Tag verschiedene Kombinationen für die Banktresore in der Filiale einprägen muss. Verständlicherweise wählt der Mitarbeiter als Passwörter für weitere IT-Anwendungen möglichst einfache und kurze Kombinationen. Vermutlich macht er sich eine Notiz, damit er sie nicht vergisst. Einfache Passwörter machen es einem Angreifer jedoch leicht, die richtige Kombination zu erraten. Und die Notiz ist wahrscheinlich mehr als eine Gedächtnisstütze - Kollegen oder Besucher könnten sie finden und einfach mitnehmen. Zudem sind Fälle bekannt, in denen die Mitarbeiter ganz bewusst Schäden verursachen wollen. Deren Anteil wird zwar lediglich mit 28 Prozent aller nachgewiesenen internen Sicherheitsvorfälle beziffert, das daraus abzuleitende Schadenspotential ist aber enorm hoch.

Wenn ein Mitarbeiter geht

Ein anderes Problem: Wenn Mitarbeiter aus dem Unternehmen ausscheiden, sind oft weiterhin deren Credentials (Benutzerkennungen und Passwörter) gültig. Der Grund dafür liegt oft in der großen Zahl der zu verwaltenden Anwendungen, so dass es beim Ausscheiden nicht gelingt, alle digitalen Identitäten kurzfristig zu löschen. Die Zusammenhänge zwischen einem realen Anwender und allen ihm zugehörigen Benutzerkonten für Anwendungen oder Fernzugänge müssen in der Regel manuell nachvollzogen werden, ebenso die Deaktivierung für jede eingesetzte Anwendung. An dieser Stelle treten Fehler auf. Nicht deaktivierte Benutzerzugänge sind aktuell ein großes Problem in den IT-Infrastrukturen von Unternehmen. Sie machen es ehemaligen Mitarbeitern einfach, weiterhin auf Informationen zuzugreifen oder diese Zugänge - oftmals unbemerkt - anderweitig zu missbrauchen.

Lösungswege

Diese Probleme löst ein Identity- und Access-Management (IAM), das alle administrativen Tätigkeiten zentral strukturiert und nachvollzieht, unbeabsichtigt aktive Anwendungskonten vermeidet, die Zahl der möglichen Fehlerquellen bei der Administration auf ein Minimum reduziert und Identitätsdiebstahl leichter erkennbar macht sowie zeitnah verhindert. Zugriffsrechte und Rollen eines Anwenders werden während seiner gesamten Verweildauer im Unternehmen automatisch generiert. Alle eingesetzten Anwendungen werden zentral kontrolliert und auditiert. Das Sicherheitsniveau im Unternehmen wird so deutlich angehoben und eine vollständige Richtlinienkonformität erzielt.

Zusätzlich lässt sich mit gängigen IAM-Systemen eine führende Applikation bestimmen, die bei bestimmten Ereignissen einen individuell vordefinierten Workflow in Gang setzt. Dieser erzeugt, verändert oder löscht automatisch digitale Identitäten und verknüpft sie mit Schlüsselidentitäten oder Rollen und Applikationen. Bei Bedarf kann auch das gesamte Genehmigungsverfahren automatisiert werden. Erst wenn beispielsweise eine Genehmigung durch einen Vorgesetzten (online) erteilt wird, erzeugt das IAM-System ein neues Benutzerkonto für eine Anwendung.

Startschwierigkeiten

Viele Unternehmen sehen bereits in den ersten Schritten auf dem Weg zum Identity-Management eine (vermeintliche) Hürde. Zuerst muss ein Unternehmen erfassen, welche Personen IT-Anwendungen benutzen, welcher Anwender welche Applikationen auch wirklich nutzt und schlussendlich müssen die Anwender für die Applikation korrekt und nachvollziehbar autorisiert werden. Rollen müssen definiert und diesen Rollen Sätze mit Berechtigungen für Ressourcen zugeordnet werden. Letztlich ist der gesamte Workflow für jede Position und jedes denkbare Ereignis (zum Bei- spiel Anlegen eines neuen Kontos) abzubilden. Bei den konkreten Planungen zeigt sich aber schnell, dass der Investitions- bedarf entgegen ersten Schätzungen mit Hilfe der richtigen Vorgehensweise erheblich geringer ausfällt.

Schnelle Erfolge

Eine Schlüsselrolle im Rahmen eines IAM-Projekts nimmt dabei die Implementierung von Single-Sign-on (SSO) ein. Bereits kurzfristig zeigen sich mit dieser Komponente einer IAM-Lösung nachhaltige und messbare Erfolge. Bei verhältnismäßig geringen Investitionen kann schnell ein beachtlicher Return of Invest (RoI) erzielt sowie das allgemeine Sicherheitsniveau erheblich angehoben werden. Eine 2002 von Gartner veröffentlichte Studie führt 30 Prozent aller in einem Helpdesk eingehenden Anrufe auf vergessene Passwörter zurück. Allein der kurzfristige Wegfall von Belastungen wie Produktivitätsausfall bei Anwendern und Bindung von Help-Desk-Ressourcen aufgrund der vergessenen Passwörter lässt die Größenordnung möglicher Einsparungen bereits erahnen.

Das SSO-Prinzip: Der Anwender authentifiziert sich einmal an seinem PC mit seiner definierten Kennung (zum Beispiel Windows-Benutzername und Passwort). Jede weitere Anmeldung etwa im SAP-System oder in Lotus Notes übernimmt automatisch der SSO-Mechanismus - ebenso die regelmäßigen Passwort-Wechsel entsprechend der gültigen Richtlinie. Jedes erzeugte Passwort ist hinreichend komplex und entzieht sich der Kenntnis des Anwenders. Der Anwender braucht nur noch ein Passwort, und dieses kann dann auch durchaus komplexer aufgebaut sein.

Sicherheitslücke SSO?

Doch Kritiker bezeichnen SSO auch als potentiellen Single Point of Failure. Mit einem Passwort, gelangt es in die Hände nicht autorisierter Personen, steht ohne weitere Sicherheitsüberprüfung der Zugang zu allen Applikationen des Anwenders offen. Demzufolge bringe SSO keinen Gewinn an Sicherheit, so der Vorwurf. Das Argument ist richtig, wenn SSO ohne weitere Schutzmechanismen installiert wird. Der Einsatz von Mehrfachauthentifizierung maximiert jedoch den Zugriffschutz an diesem kritischen Punkt. Biometriesysteme oder Smart Cards bieten neben der Abfrage nach einem Passwort oder eines PIN-Codes bei der Anmeldung zusätzlichen Schutz und heben das Sicherheitsniveau im Unternehmen nicht nur hinsichtlich der Passwörter stark an. Sie schränken zeitgleich auch die Zahl möglicher Angriffspunkte beträchtlich ein. Ein potentieller Angreifer benötigt nun zusätzlich zu einem Passwort auch eine gültige Smart Card oder eine Biometrie-Signatur. Social-Engineering- und Phishing-Angriffe müssen demzufolge in Zukunft wesentlich umfangreicher und komplexer gestaltet sein. Dies senkt die Gefahr des Identitätsdiebstahls.

Ein weiteres wichtiges Argument für SSO als Einstieg in ein professionelles IAM ist die Möglichkeit, SSO-Lösungen auch durchweg ohne IAM betreiben zu können. Es besteht kein Zwang nach der Einführung von SSO auch das IAM zu imple- mentieren, wenngleich es sich aufgrund der Vorteile für ein Unternehmen anbietet. Sollte demnach im Verlauf eines Einführungsprojekts eine Entscheidung gegen eine umfassen- de IAM-Lösung gefällt werden oder sollten unvorhergesehene Probleme auftreten, entsteht kein vollständiger Investitionsverlust. (ue)