Was ein funktionierendes Identity-Ökosystem ausmacht
In einem Identitätsökosystem ist es möglich, alle Benutzer auf jedem Gerät mit jeder App und in jeder Cloud zu verbinden. Bei der Auswahl gilt es Stolpersteine zu vermeiden.
Gut konstruierte IT-Lösungen sorgen dafür, dass die Mitarbeiterinnen und Mitarbeiter eines Unternehmens jederzeit und von jedem Ort aus ihrer Arbeit nachgehen können. Richtig implementiert und angewendet führen sie zu mehr Sicherheit, Produktivität und IT-Agilität.
Um die optimal passende Anbieterintegration für die individuelle IT-Architektur im Unternehmen zu finden, sollten sich Entscheider im Vorfeld intensiv über das Funktionsspektrum informieren. Denn Anbieterintegration ist nicht gleich Anbieterintegration. Im schlimmsten Fall eröffnen sich neue Sicherheitslücken.
Passwörter als Sicherheitsleck
Laut Verizon Data Breach Report 2020 sind 80 Prozent aller erfolgreich durchgeführten Hackversuche auf gestohlene Anmeldedaten und Brute-Force-Angriffe zurückzuführen. Häufige Schwachstelle: die eigenen Mitarbeiterinnen und Mitarbeiter. Trotz intensiver Aufklärung und regelmäßiger Schulungen verhalten sich viele Benutzer leichtsinnig im Umgang mit ihren Passwörtern.
Identitätslösungen sollen den Risikofaktor Mensch ausschließen, doch funktioniert das wirklich immer? Vorsicht ist geboten, wenn Password-Vaulting – auch Passworttresore genannt – zum Einsatz kommt. Dabei werden Passwörter in einem Verzeichnis, oft in der Cloud, gespeichert. Branchenexperten warnen hier vor erheblichen Gefahren durch eine Kompromittierung der Passwörter.
Authentifizierungsinstanz: Sicherheit von Integrationen sicherstellen
Mehr Sicherheit als Passworttresore bietet eine sogenannte Föderation, die die Authentifizierung aller Anwendungen und Benutzergeräte an eine vertrauenswürdige Authentifizierungsinstanz (auch Identity Provider genannt) weiterleitet. Diese zentrale Instanz verwaltet sämtliche Identitäten und Zugriffsberechtigungen im Unternehmen, so dass die Benutzer die Services und Anwendungen des Systems nutzen können.
Da Token anstelle von Passwörtern verwendet werden, verringert sich das Risiko, gehackt zu werden: Der Benutzer gibt seine Kennung ein und erhält per E-Mail oder SMS einen Token, mit dem er sich einmalig anmelden kann. Für jede folgende Anmeldung fordert er einen neuen Token an.
„Durch eine adaptive MFA können die Sicherheitsanforderungen dynamisch bestimmt und bei risikoreichen Szenarien hochgestuft, bei Benutzern oder Anwendungen mit geringerem Risiko verschlankt werden.“
Thomas Schneider, Ping Identity
Wie lassen sich alle Anwendungen im Unternehmen in die IT-Security integrieren?
Allerdings stößt so manches Identitätssystem an seine Grenzen, wenn es darum geht, viele sehr unterschiedliche Anwendungstypen zu integrieren. Doch gerade in mittelständischen und größeren Unternehmen ist genau das unumgänglich.
Häufig müssen sowohl aktuelle als auch frühere Versionen von Identitätsstandards wie OAuth, OpenID Connect, SAML (Security Assertion Markup Language) und WS-Federation unter einen Hut gebracht werden. Deshalb ist es wichtig, vorab zu klären, ob sich die Authentifizierungsinstanz ohne Schwierigkeiten mit den Anwendungen im gesamten Unternehmen, inklusive Authentifizierungsquellen von Drittanbietern, verschiedenen Benutzerverzeichnissen und bestehenden IAM-Systemen (Identity and Access Management-Systemen) vereinbaren lässt.
Ausgewogenheit von Sicherheit und Nutzerfreundlichkeit
Sicherheit ist bei der Auswahl einer Authentifizierungsinstanz oberstes Gebot. Das muss jedoch nicht zu Lasten von Benutzerfreundlichkeit oder Agilität in den Betriebsabläufen gehen. So sorgt eine Multifaktor-Authentifizierung (MFA) für ein besonders hohes Maß an Sicherheit, indem eine Kombination unterschiedlicher Nachweisfaktoren die Identität des Users sicherstellt. Diese Faktoren können sein:
- Wissen: Etwas, das man weiß (zum Beispiel Passwort, Sicherheitsfragen etc.)
- Besitz: Etwas, das man besitzt (zum Beispiel Yubikey, Smart Card, Authenticator App etc.)
- Biometrik: Etwas, das man ist (zum Beispiel Fingerabdruck per TouchID, Gesichtserkennung mit FaceID etc.)
- Verhalten: Etwas, das man tut (zum Beispiel wie man tippt oder das Telefon hält etc.)
Durch eine adaptive MFA können die Sicherheitsanforderungen dynamisch bestimmt und bei risikoreichen Szenarien hochgestuft, bei Benutzern oder Anwendungen mit geringerem Risiko verschlankt werden. Beispiel: Wird von einem bekannten Gerät auf nicht sensible Services zugegriffen, können die Anforderungen an die Authentifizierung niedriger sein als beispielsweise bei einer Geldtransferanfrage von einem ausländischen Standort aus.
Fazit
Zuletzt hat der im Frühjahr 2020 plötzlich notwendig gewordene Umzug einer Vielzahl von Mitarbeiterinnen und Mitarbeitern ins Home-Office gezeigt, wie wichtig es ist, dass die IT-Verantwortlichen eines Unternehmens flexibel auf sich verändernde Geschäftsmodelle reagieren können. Um für aktuelle und künftige Herausforderungen gerüstet zu sein, braucht es eine IT-Security-Architektur, die als solides Bollwerk vor Bedrohungen schützt, flexibel und effizient einsetzbar ist und auf die individuellen Bedürfnisse des Unternehmens zugeschnitten ist.
Über den Autor:
Thomas Schneider leitet den Vertrieb DACH & EMEA South bei Ping Identity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.