Single Sign-On

Braucht Ihr Unternehmen Single Sign-On?

IT-Führungskräfte arbeiten in einem Sektor, der von ständigem Wandel geprägt ist. Neue Technologien bringen sowohl Chancen als auch Risiken mit sich und fordern die Fähigkeiten der IT-Abteilungen von Unternehmen an allen Ecken und Enden. Mit diesen Veränderungen Schritt zu halten, sollte für jeden IT-Verantwortlichen oberstes Gebot sein: Angesichts der Tatsache, dass Hacker ständig nach neuen Schwachstellen suchen, die sie ausnutzen können, ist es für die Zukunft Ihres Unternehmens und für Sie selbst von größter Bedeutung, die richtigen Entscheidungen in Bezug auf die Sicherheit Ihres Technologie-Stacks zu treffen.

Die Komplexität eines modernen IT-Stacks wäre für einen CTO noch vor wenigen Jahren unvorstellbar gewesen: Im Jahr 2000 nutzte das durchschnittliche Unternehmen gerade einmal 4 oder 5 Unternehmenssoftwarelösungen, die alle auf den eigenen Servern des Unternehmens verwaltet wurden. Laut dem Wall Street Journal hat das durchschnittliche Großunternehmen im Jahr 2019 etwa 129 Apps eingesetzt - ein Anstieg von 68 % in nur vier Jahren -, während kleinere Firmen etwa 73 verschiedene technische Lösungen einsetzen. Und die meisten dieser Anwendungen sind Cloud-basierte SaaS-Lösungen, die sowohl die Komplexität als auch die Sicherheit des Stacks erheblich erhöhen.

Vor diesem Hintergrund ist es nicht verwunderlich, dass viele Unternehmen Single Sign On (SSO) als potenzielle Lösung für mehr Sicherheit in Betracht ziehen. Lesen Sie weiter, um mehr darüber zu erfahren, warum SSO Teil der IT-Sicherheitsprotokolle Ihres Unternehmens sein sollte.

Was ist Single Sign-On?

Single Sign-On (SSO) ist ein sicherer, webbasierter Authentifizierungsmechanismus. Er ermöglicht die gemeinsame Nutzung von Identitäten zwischen Unternehmen und Anwendungen und hat das Potenzial, dass sich Einzelpersonen keine separaten Anmeldeinformationen für alle Anwendungen und Dienste merken müssen, die sie täglich nutzen. Stattdessen melden sich die Benutzer bei der Unternehmensumgebung ihres Unternehmens an und werden automatisch bei jeder Anwendung innerhalb des Tech-Stacks des Unternehmens angemeldet, auf die der IT-Administrator ihnen Zugriff gewährt hat.

Warum Passwörter ein Problem sind

Obwohl gute Sicherheitspraktiken die Verwendung eines eindeutigen Benutzernamens und Passworts für jede Anwendung oder jeden Dienst empfehlen, wurde in einem TechRepublic-Artikel aus dem Jahr 2019 festgestellt, dass ein durchschnittlicher Mitarbeiter mehr als 1000 Mal pro Tag zwischen 35 verschiedenen Anwendungen wechselt. Dieser Wildwuchs an nicht standardisierten Benutzernamen und Passwörtern macht es den Mitarbeitern fast unmöglich, eine wirksame Sicherheitshygiene zu praktizieren: Viele greifen auf nicht empfohlene Praktiken zurück, wie z. B. das Aufschreiben von Anmeldedaten oder die einfache Wiederholung von Anmeldedaten für verschiedene Dienste.

Darüber hinaus führt diese Vielzahl von Passwörtern auch zu Frustration bei den Benutzern und zu Produktivitätsproblemen - sowohl innerhalb der IT-Abteilung, die sich mit der Flut von Anfragen zur Unterstützung und zum Zurücksetzen von Passwörtern befassen muss, als auch im gesamten Unternehmen, da die Mitarbeiter wertvolle Zeit mit der Passwortverwaltung verlieren.

Welche Vorteile bietet SSO?

Zu den wichtigsten Vorteilen von SSO gehören verbesserte Sicherheit und Produktivität sowie Kosteneinsparungen in Ihrem Unternehmen.

Verbesserte Sicherheit

In den letzten Jahren wurden durch eine Reihe von öffentlichkeitswirksamen Hacks bei großen Unternehmen sensible Daten von Millionen von Kunden preisgegeben. Diese Verstöße kosten die Unternehmen Zeit, Ansehen und Milliarden von Dollar an Geldstrafen, Entschädigungen und entgangenen Einnahmen. (Ein Beispiel ist die Equifax-Fallstudie unten).

SSO kann zwar nicht verhindern, dass Hacker nach Schwachstellen suchen, um sie auszunutzen, aber es kann die häufigste Quelle von Hacking-Verstößen eindämmen. Laut dem 2019 Data Breach Investigations von Verizon (https://www.verizon.com/business/resources/reports/dbir/) waren Angriffe, bei denen Anmeldeinformationen gehackt oder gefälscht wurden, die häufigste Quelle für Datenschutzverletzungen und machten 52 % aller Verletzungen aus.

Auch wenn große Unternehmen wie Capital One und Equifax für Schlagzeilen sorgen, sind auch kleinere Unternehmen gefährdet. Wie aus dem Bericht von Verizon hervorgeht, sind 43 % der Datenschutzverletzungen auf kleine Unternehmen zurückzuführen.

Kosteneinsparungen & Produktivitätsgewinne

Nach Angaben der Gartner Group entfallen bis zu 50 % der Helpdesk-Anrufe eines Unternehmens auf das Zurücksetzen von Passwörtern - ein direkter Kostenfaktor, der fast jedes Unternehmen betrifft, ganz zu schweigen von den Reibungsverlusten, die die Produktivität der einzelnen Mitarbeiter und des Helpdesks insgesamt beeinträchtigen.

Wie bereits erwähnt, steigt mit der Anzahl der Anwendungen, bei denen sich ein Mitarbeiter anmelden muss, das Risiko, dass er seine Passwörter wiederverwendet (was ein Sicherheitsrisiko darstellt) oder seine Anmeldedaten vergisst, was zu einem Anruf beim Helpdesk führt und wertvolle Minuten und Stunden vergeudet.

SSO trägt nicht nur dazu bei, diese finanziellen und produktiven Kosten im Alltag zu reduzieren, sondern bietet IT-Managern auch die Möglichkeit, den Zugriff auf mehrere Anwendungen gleichzeitig zu gewähren oder zu entziehen. Dies kann dazu beitragen, die Effizienz der Onboarding-Prozesse Ihres Unternehmens für neue Mitarbeiter zu verbessern, den Zugriff für Remote-Mitarbeiter und Auftragnehmer zu kontrollieren und auch die Sicherheit zu erhöhen, wenn ein Mitarbeiter das Unternehmen verlässt.

Was ist SAML?

Damit SSO funktioniert, müssen sich die beteiligten Parteien gegenseitig authentifizieren und den Zugriff autorisieren können. Derzeit sind die beiden wichtigsten Standards SAML 2.0 (Security Assertion Markup Language) und OpenID Connect.

Doodle verwendet SAML 2.0 für die Authentifizierung und Autorisierung. Der Hauptvorteil von SAML 2.0 besteht darin, dass bei der Anmeldung die Authentifizierungsdaten eines Benutzers als sichere XML-Signatur gespeichert werden. Diese Signatur kann dann zwischen vertrauenswürdigen Anbietern weitergegeben werden und ermöglicht dem Benutzer den Zugriff auf alle Anwendungen, die die Anmeldedaten akzeptieren, ohne dass er sich erneut anmelden muss.

Fallstudie: Equifax

2017 wurde Equifax, eine der größten Kreditüberwachungsagenturen der Welt, von einer Gruppe gehackt, die die persönlichen Daten von 147,7 Millionen Amerikanern stahl - mehr als die Hälfte der erwachsenen Bevölkerung der USA.

Laut einem Bericht des Government Accountability Office (GAO) aus dem Jahr 2018 (https://www.gao.gov/products/gao-18-371sp) entdeckten die Hacker eine bekannte Schwachstelle im Online-Reklamationsportal von Equifax und nutzten diese auf verschiedene Weise aus, u. a. um "unverschlüsselte Benutzernamen und Passwörter zu entdecken, die den Angreifern Zugang zu mehreren anderen Equifax-Datenbanken verschaffen konnten. Nach Angaben des vorläufigen Chief Security Officers von Equifax konnten die Angreifer diese Anmeldeinformationen nutzen, um ihren Zugang über die drei mit dem Online-Streitfallportal verbundenen Datenbanken hinaus auf 48 weitere, nicht mit dem Portal verbundene Datenbanken auszuweiten.

Der Hack hatte schwerwiegende Folgen sowohl für Equifax als Unternehmen als auch für die Mitarbeiter, die mit der Sicherheit von Equifax betraut waren. Im September 2017, eine Woche nachdem Equifax den Hack öffentlich gemacht hatte, traten sowohl der CIO als auch der Chief Security Officer zurück. In der Zwischenzeit haben mindestens zwei weitere leitende Mitarbeiter wegen Insiderhandels im Zusammenhang mit dem Hack im Gefängnis gesessen: Beide verkauften Unternehmensaktien, nachdem der Hack intern bekannt geworden war, aber bevor er der Öffentlichkeit mitgeteilt wurde.

Im Juli 2019 einigte sich Equifax mit der FTC auf einen Vergleich, der die Zahlung von Geldbußen in Höhe von 575 bis 700 Millionen US-Dollar sowie Entschädigungen und kostenlose Kreditüberwachung für die vom Hack betroffenen Personen vorsieht. Hätte Equifax eine robuste SSO-Implementierung eingesetzt, hätte das Unternehmen die Geldstrafen, den Vertrauens- und Reputationsverlust und andere Kosten, die ihm als direkte Folge des Hacks entstanden sind, möglicherweise vermeiden können.

Wie werden Passwörter aufgedeckt?

Es gibt viele Möglichkeiten, wie sich Hacker Zugang zu einem Passwort verschaffen können. Hier sind einige der gängigsten Methoden:

Hacking - Wie im Fall Equifax zu sehen war, verschafft sich ein unbefugter Benutzer durch Ausnutzung von Sicherheitslücken Zugang zu einem oder mehreren Registern mit Benutzer-IDs und Passwörtern.

Cracking - Viele Benutzer - vor allem bei Geschäftsanwendungen - neigen dazu, vorhersehbare Passwörter zu verwenden. Beim Cracken wird eine Software eingesetzt, die schnell mehrere Variationen der gängigsten Passwörter durchläuft und versucht, eine Übereinstimmung zu finden.

Phishing - Phishing-Betrügereien bestehen in der Regel darin, dass ein Hacker eine E-Mail versendet, die einen ahnungslosen Benutzer auf eine überzeugende, gefälschte Anmeldeseite leitet, die eingerichtet wurde, um Anmeldedaten zu erfassen.

Keystroke Logging - Beim Keystroke Logging handelt es sich um eine Malware - die entweder vom Benutzer unwissentlich heruntergeladen oder von einem Dritten implantiert wurde - die die Tastenanschläge des Benutzers mitliest und für einen Hacker speichert.

Ist Single Sign-On das Richtige für Sie?

Es steht außer Frage, dass SSO viele der Risiken und Schwachstellen für Unternehmen mit komplexen technischen Systemen beseitigt. Die Möglichkeit, schlechte Passworthygiene als Risikofaktor auszuschalten, reduziert die Anfälligkeit für alle, außer für die raffiniertesten Hackerangriffe, erheblich. Und durch die Verringerung der Anzahl der Schwachstellen in der Sicherheitsinfrastruktur des Unternehmens können die Verantwortlichen für die Technik vom reaktiven Modus (Behebung von Schwachstellen, sobald sie aufgedeckt werden) dazu übergehen, Ressourcen für die proaktive Überwachung und Prüfung der Sicherheit ihres Unternehmens einzusetzen.

Viele der bekanntesten SaaS-Lösungen für Unternehmen haben die Vorteile für Sicherheit, Produktivität und Komfort erkannt und bieten die Integration von SSO als Teil ihres Dienstes an. Daher ist die Integration von SSO in die IT-Strategie Ihres Unternehmens wahrscheinlich der richtige Weg, wenn Sie mit einem der folgenden Kriterien konfrontiert sind:

Natürlich kann keine einzelne Lösung das Risiko vollständig ausschalten, und es ist wichtig, sich darüber im Klaren zu sein, dass SSO möglicherweise nicht in allen Szenarien geeignet ist. So besteht beispielsweise in Unternehmen, in denen viele Benutzer dieselben Geräte oder Terminals nutzen oder darauf zugreifen können, ein höheres Risiko, dass unbefugte Benutzer Zugriff auf die Anwendungen und Daten anderer Benutzer erhalten.

Was sollte ich sonst noch wissen?

Während die Wahrscheinlichkeit, gehackt zu werden, mit SSO deutlich geringer ist, würde ein erfolgreicher Hack eines einzelnen Benutzers dem Hacker unbegrenzten Zugriff auf alle Daten geben, die in den Anwendungen gespeichert sind, auf die der Benutzer Zugriff hatte. Daher können Führungskräfte, die sich für SSO als Lösung entscheiden, ihr Risiko weiter verringern, indem sie die folgenden Protokolle einführen:

Um mehr über die Integration von Doodle mit Single Sign-On Anbietern zu erfahren, kontaktieren Sie uns bitte.