Haben Sie SSO? Sie brauchen immer noch Passwortsicherheit

SSO ist ein großartiges Produktivitäts- und Sicherheitstool, aber es lässt passwortbezogene Sicherheitslücken.

Single Sign-On (SSO)-Lösungen erfreuten sich schon vor der COVID-19-Pandemie zunehmender Beliebtheit und lösten einen regelrechten Ansturm auf die Cloud aus. Heute ist SSO beliebter denn je, denn es bietet Unternehmen mit verteilten Arbeitsplätzen viele Vorteile in Bezug auf Komfort und Sicherheit:

Die Mitarbeiter müssen sich nur ein einziges Passwort merken. Die Beseitigung der “Passwortmüdigkeit” ist einer der wichtigsten Gründe für die Einführung von SSO. Anstatt für jede Anwendung und jeden Dienst ein anderes Passwort zu verwenden, müssen sich die Mitarbeiter nur noch ihr Single Sign-On-Passwort merken.
Sie müssen nur ein Passwort eingeben, einmal am Tag. Abgesehen davon, dass sie sich nicht mehrere Passwörter merken müssen, müssen die Mitarbeiter auch nicht mehrere Passwörter während des Arbeitstages eingeben. Sie geben ihr SSO-Passwort nur einmal zu Beginn ihres Arbeitstages ein, so dass sie keine Zeit mit der Eingabe von Passwörtern während des Arbeitstages verschwenden.
Halbierung der Helpdesk-Tickets. Die Gartner Group schätzt, dass das Zurücksetzen von Passwörtern bis zu 50% der Helpdesk-Tickets ausmacht. SSO verspricht, diese Anfragen praktisch zu eliminieren, so dass die Support-Mitarbeiter mehr Zeit haben, um Endbenutzern bei komplexeren Problemen zu helfen.
Einfachere Bereitstellung von Identitätszugriff und -verwaltung (IAM). SSO reduziert die Komplexität der Konfiguration von Authentifizierungs- und Zugriffskontrollen und ermöglicht so eine schnellere und einfachere Bereitstellung von IAM-Lösungen sowie einen schnelleren Weg zu einer Zero-Trust-Umgebung.
Leichtere Compliance-Berichterstattung. Viele gängige Compliance-Frameworks verlangen Audit-Protokolle für Benutzeranmeldedaten. SSO macht es einfacher, diese Daten in Compliance-Berichte aufzunehmen.

Das Manko von SSO: Passwort-bezogene Sicherheitslücken

Der Zweck von SSO ist es, den Zugriff auf Ressourcen zu erleichtern. Das ist gut für die Produktivität, aber nicht aus Sicht der Sicherheit:

Ein einziges Kennwort ist gleichbedeutend mit einer einzigen Fehlerquelle. Wenn ein Mitarbeiter das Passwort für ein einzelnes Konto verliert oder vergisst, ist er von diesem Konto ausgeschlossen. Wenn er sein SSO-Passwort vergisst, ist er von all seinen Konten ausgesperrt. Noch bedenklicher ist, dass ein Cyberkrimineller, wenn er ein SSO-Passwort in die Hände bekommt, auf alle arbeitsbezogenen Konten des Mitarbeiters zugreifen kann. Verizon schätzt, dass über 80 % der erfolgreichen Datenschutzverletzungen auf kompromittierte Passwörter zurückzuführen sind, was einen enormen Nachteil darstellt.
Veraltete Branchenanwendungen (LOB) unterstützen SSO nicht. Obwohl die COVID-19-Pandemie die Bemühungen um die digitale Transformation um mehrere Jahre beschleunigt hat, verwenden die meisten Unternehmen immer noch mindestens einige alte LOB-Anwendungen, die SSO nicht unterstützen. Weil sie so alt sind, ist eine Modernisierung nicht realistisch, und weil sie so hochspezialisiert sind, ist es auch nicht machbar, sie zu ersetzen.
Nicht alle modernen Anwendungen unterstützen SSO. Ältere Anwendungen sind nicht der einzige Knackpunkt. Viele moderne Anwendungen und Dienste unterstützen SSO ebenfalls nicht, insbesondere Desktop-Anwendungen. Es ist selten, dass die SSO-Implementierung eines Unternehmens alle von den Mitarbeitern verwendeten Anwendungen abdeckt, insbesondere in größeren Unternehmen, in denen buchstäblich Hunderte von Anwendungen im Einsatz sein können.
Verschiedene Anwendungen können unterschiedliche SSO-Protokolle verwenden. Ihre Mitarbeiter müssen möglicherweise Anwendungen verwenden, die ein anderes Protokoll nutzen als der Identitätsanbieter (IdP) Ihres Unternehmens. Wenn Ihr IdP beispielsweise das SAML-Protokoll verwendet, kann Ihre SSO-Lösung keine Apps unterstützen, die OAuth verwenden.
Keine Kontrolle über die Passwortgewohnheiten der Benutzer. SSO-Implementierungen bieten keinen Einblick in schlechte Passwort-Sicherheitspraktiken. Mitarbeiter können ein schwaches oder bereits kompromittiertes Passwort für ihre SSO-Anmeldung wählen oder ein Passwort wiederverwenden, das sie für mehrere zusätzliche Konten nutzen. Möglicherweise tun sie dasselbe für alle Anwendungen, die von Ihrer SSO-Bereitstellung nicht unterstützt werden. Möglicherweise geben sie ihre Passwörter auch an Unbefugte weiter.
Kein Schutz für privilegierte Benutzer oder Sitzungen. Normalerweise müssen Benutzer separate Anmeldeinformationen eingeben, um auf besonders sensible Systeme und Daten zuzugreifen, aber der Zweck von SSO ist es, Benutzern mit einer einzigen Authentifizierung einen All-Access-Pass zu geben.

4 Wege, um die passwortbezogenen Sicherheitslücken zu schließen, die durch SSO entstehen

Trotz dieser Risiken sollten sicherheitsbewusste Unternehmen ihre SSO-Implementierungen nicht über Bord werfen. Keine Sicherheitslösung ist ein Allheilmittel. Indem sie ihre SSO-Lösungen mit ergänzenden Technologien kombinieren, können Unternehmen passwortbezogene Sicherheitslücken schließen und gleichzeitig die Vorteile der Produktivität und der einfachen Nutzung von SSO beibehalten.

#1. Implementieren Sie eine rollenbasierte Zugriffskontrolle (RBAC) mit dem Zugriff mit den geringsten Rechten für alle Benutzer

Das Prinzip der geringsten Rechte, das besagt, dass Benutzer nur auf das Minimum an Systemprivilegien zugreifen sollten, um ihre Aufgaben zu erledigen, ist entscheidend für die Reduzierung der potenziellen Angriffsfläche eines Unternehmens. Hier kommt RBAC ins Spiel, das die Zuweisung und Verwaltung von Zugriffskontrollstufen vereinfacht.

Um die Zuweisung von RBAC-Rollen überschaubarer zu machen, vermeiden Sie es, Benutzern direkt Rollen zuzuweisen. Erstellen Sie stattdessen Gruppen, weisen Sie den Gruppen Berechtigungen zu und fügen Sie den Gruppen entsprechend Benutzer hinzu. Diese Vorgehensweise minimiert nicht nur die Anzahl der Rollenzuweisungen, sondern spart auch Zeit, wenn eine Änderung der Berechtigungen für jeden Benutzer innerhalb einer Gruppe vorgenommen werden muss. Stellen Sie sicher, dass Ihre Gruppen wiederverwendbar sind und vermeiden Sie die Erstellung zu vieler benutzerdefinierter Rollen.

#2. Implementieren Sie Privileged Access Management (PAM) mit Privileged Session Management (PSM) für privilegierte Benutzer

Im Gegensatz zu SSO, das sich darauf konzentriert, den Zugang so einfach wie möglich zu gestalten, konzentriert sich PAM darauf, den Zugang zu den sensibelsten Systemen und Daten eines Unternehmens zu beschränken. Unternehmen verwenden PAM, um den Zugriff auf ihre kritischsten und sensibelsten Systeme zu beschränken und zu überwachen. Privilegierte Benutzer sind in der Regel hochrangige Unternehmensinsider, wie z.B. IT- und Sicherheitsadministratoren und leitende Angestellte, aber auch vertrauenswürdige Anbieter und Partner können in diese Kategorie fallen.

PAM und PSM gehen Hand in Hand. Während PAM den Benutzerzugriff auf sensible Ressourcen kontrolliert, verhindert PSM, dass privilegierte Benutzer diesen Zugriff missbrauchen, indem es privilegierte Benutzersitzungen kontrolliert, überwacht und aufzeichnet. Die typische PSM-Überwachung und -Aufzeichnung ist sehr detailliert und umfasst Tastenanschläge, Mausbewegungen und Screenshots. Neben der Gewährleistung der Sicherheit sind PSM-Auditprotokolle in mehreren Compliance-Rahmenwerken vorgeschrieben, darunter HIPAA, PCI DSS, FISMA und SOX.

#3. Implementieren Sie die Multi-Faktor-Authentifizierung für alle Anwendungen und Dienste, die sie unterstützen

DieMulti-Faktor-Authentifizierung (2FA) ist eine der stärksten Abwehrmaßnahmen gegen kompromittierte Passwörter. Selbst wenn ein Cyberkrimineller ein Passwort kompromittiert, kann er es ohne den zweiten Authentifizierungsfaktor nicht verwenden. 2FA schützt alle Benutzer, von denjenigen mit dem geringsten Systemzugang bis hin zu den privilegiertesten Benutzern des Unternehmens. Sie erhöht das Null-Vertrauen, indem sie es Unternehmen ermöglicht, Benutzeridentitäten zu authentifizieren.

Einige Unternehmen zögern mit der Einführung von 2FA, weil sie befürchten, dass die Produktivität dadurch beeinträchtigt wird, dass die Mitarbeiter gezwungen sind, zusätzliche Schritte zu unternehmen, um sich anzumelden. Dieses Problem lässt sich leicht beheben, indem 2FA mit einer modernen Passwortsicherheitslösung kombiniert wird, die es den Benutzern ermöglicht, ihre 2FA-Anmeldedaten zusammen mit ihren Passwörtern zu speichern.

#4. Setzen Sie unternehmensweit eine Plattform für Passwortsicherheit und Verschlüsselung ein

Passwortsicherheits- und Verschlüsselungsplattformen ermöglichen es den Mitarbeitern, alle ihre Anmeldedaten sicher in einem zentralen, privaten und verschlüsselten Repository zu speichern. Wie bei SSO merken sich die Benutzer nur ein einziges “Master-Passwort”, das für den Zugriff auf alle Anmeldedaten in ihrem digitalen Speicher verwendet wird.

Im Gegensatz zu SSO ist eine gute Sicherheits- und Verschlüsselungsplattform für Unternehmen so konzipiert, dass sie mit allen Diensten und Anwendungen funktioniert, auch mit älteren Anwendungen. Sie ermöglichen IT-Administratoren außerdem einen vollständigen Einblick in die Passwortgewohnheiten der Benutzer und setzen Richtlinien für die Passwortsicherheit durch. Stellen Sie sicher, dass Sie eine Passwortsicherheits- und Verschlüsselungsplattform der Enterprise-Klasse einsetzen, die sich nahtlos in Ihre bestehende SSO-Implementierung einfügt und Unterstützung für RBAC, 2FA, Auditing und Ereignisberichte bietet.

SSO stellt nur dann ein Sicherheitsrisiko dar, wenn Unternehmen es als eigenständige Lösung betrachten. Indem sie die passwortbezogenen Sicherheitslücken von SSO erkennen und sie durch die Implementierung ergänzender Technologien wie 2FA, RBAC, PAM/PSM und einer Plattform für Passwortsicherheit und -verschlüsselung ausgleichen, können Unternehmen ihre Effizienz steigern, die Erfahrung der Endbenutzer verbessern und sich vor passwortbezogenen Cyberangriffen schützen.

Geschrieben von Teresa Rothaar

Editorial Staff
Beitragender
- LinkedIn
Das Expertenteam von Geekflare widmet sich leidenschaftlich der Weitergabe von umsetzbaren Inhalten, Informationen und persönlichen Ratschlägen, um Einzelpersonen und Unternehmen zu helfen, in einer digitalen Welt erfolgreich zu sein.