Single Sign-On (SSO)
Wie "sichere" Passwörter zum Sicherheitsrisiko werden können
Für Sicherheitsexperten ist es schon sprichwörtlich: Die Verwendung von immer mehr Passwörtern zur Absicherung von IT-Systemen bringt Probleme mit sich. Unzählige Helpdesk-Anrufe von Mitarbeitern, die ihr Passwort vergessen haben, belegen, dass dies nicht nur ein Sicherheitsproblem ist.
Studien wie beispielsweise die des Meinungsforschungsinstitutes Collier & Schwab belegen, dass inzwischen mehr als jeder zweite Mitarbeiter mindestens einmal im Jahr sein Passwort vergisst. Dass hierdurch auch erhebliche Kosten entstehen können, wird von vielen Unternehmen jedoch oftmals nicht erkannt. So kalkulieren sich die Kosten für jedes vergessene Passwort auf durchschnittlich 20 Euro. Diese Kosten entstehen einerseits durch den Produktivitätsausfall des Mitarbeiters und andererseits durch den zusätzlichen Aufwand für den Helpdesk. Bereits bei Unternehmensgrößen von weniger als tausend Mitarbeitern, entstehen auf diese Weise Kosten in Höhe eines fünfstelligen Eurobetrages pro Jahr.
Neben dem höheren Kostenaspekt entwickelt sich aber auch die Einführung von sicheren Passwörtern in Unternehmen immer häufiger zu einem weiteren, ernstzunehmenden Sicherheitsproblem. Da mag es auf dem ersten Blick noch paradox erscheinen, dass die Einführung von sicheren Passwörtern die IT-Sicherheit verschlechtern könnte. Denn schließlich hat eine solche Maßnahme doch das Ziel, die IT-Sicherheit im Unternehmen zu erhöhen und je länger und komplizierter ein Passwort ist, um so sicherer ist es schließlich auch. Aber wie hoch ist die IT-Sicherheit eines Unternehmens einzustufen, wenn sich die Mitarbeiter die komplizierten Passwörter nicht mehr merken können und diese dann auf Zettel notieren? Studien wie beispielsweise die von Cyber-Ark belegen, dass bereits jeder vierte Mitarbeiter Passwörter auf den berühmten gelben Haftnotizzetteln aufbewahrt. Meist werden diese dann auf den Monitor oder die Tastatur geklebt oder liegen im obersten Fach der Schreibtischschublade, die oftmals noch nicht einmal verschlossen ist.
Dass dies grob fahrlässig ist, sollte eigentlich jedem klar sein. Denn geraten solche Authentisierungsinformationen in die falschen Hände, ist es selbst für einen Laien ein Kinderspiel, unbemerkt an sensible Unternehmensinformationen zu gelangen oder Spionageprogramme bzw. Trojaner gezielt im Unternehmensnetzwerk zu installieren. Die Folgen können für ein Unternehmen nicht nur aus ökonomischer Sicht fatal sein.
Wie lassen sich solche Sicherheitsrisiken vermeiden und wie können gleichzeitig die Kosten gesenkt werden?
Die Lösung nennt sich Single Sign-On. Mit Single Sign-On muss sich der Mitarbeiter nur noch ein einziges mal authentisieren. Dies geschieht entweder softwarebasierend durch die Eingabe eines Passwortes oder wenn eine höhere Sicherheit gewünscht wird, mit Hilfe einer Smartcard bzw. eines Sicherheits-Tokens. Der Mitarbeiter erhält danach vollautomatisch Zugriff auf alle Netzwerklaufwerke und Anwendungen (z. B. Citrix, Lotus Notes, SAP, Novell, usw.) für die er autorisiert ist. Single Sign-On kann aber noch mehr: Vorgeschriebene Passwortrestriktionen oder Passwortwechsel können automatisch und ohne Interaktion des Mitarbeiters durchgeführt werden. Das hat den Vorteil, dass der Mitarbeiter keine weiteren Passwörter mehr kennen muss. Um auch professionellen Hackern einen Riegel vorzuschieben, sollte darauf geachtet werden, dass die Single Sign-On-Lösung ein hochsicheres Passwortmanagement bietet. Nur dann werden alle Zugangspasswörter auf sichere Weise verschlüsselt (z. B. 3DES oder AES). In der Folge wird es für Datenspione nahezu unmöglich, an Authentisierungsinformationen von Mitarbeitern zu gelangen. Neben hoher Benutzerakzeptanz gewährleistet Single Sign-On eine hohe Benutzerproduktivität und -effizienz und reduziert dauerhaft die Kosten für den Helpdesk. Die damit verbundenen Kosteneinsparungen ermöglichen einen Return-On-Investment (ROI) bereits nach kurzer Zeit. |