SSO-Verfahren sicher im Griff mit MFA und IAM-Orchestrierung

SSO kann sich bei einem erfolgreichen Angriff auf die Anmeldedaten schnell zu einem Single Point of Failure entwickeln, warnt Mehmet Yaliman von Ping Identity in seinem Gastbeitrag.

Single Sign On (SSO)-Verfahren erleichtern den Zugang auf Netzwerke, Systeme und Anwendungen signifikant. Kein Wunder also, dass ihre Verwendung in der Unternehmens-IT stark zugenommen hat. Die einmalige Anmeldung spart Nutzern Zeit, Unternehmen Geld, schafft Kunden Nutzerfreundlichkeit und der Unternehmens-IT Sicherheit. Denn SSO reduziert die Zeit, die Nutzer in die Inanspruchnahme einer Serviceleistung investieren müssen. So erhöht SSO die Produktivität, steigert die Kaufbereitschaft der Kunden und ermöglicht es der Unternehmens-IT, auch komplexere Anmeldeverfahren – da sie ja nur einmal durchgeführt werden müssen – erfolgreich zu implementieren und durchzusetzen. Auch Ausfallzeiten, die durch abgelehnte Anmeldungen entstehen, werden dank SSO drastisch reduziert.

SSO als Single Point of Failure

Doch hat die Implementierung der zentralen Zugangs- und Zugriffsberechtigung auch einen Haken. Verschaffen unberechtigte Dritte sich Zugriff auf die SSO-Anmeldedaten eines Nutzers, können sie sich leicht Zugriff auf alle angeschlossenen Dienstleistungen, Anwendungen, Systeme und Netzwerke verschaffen. Social Engineering, Phishing-, Spear Phishing- und Identity Theft-Angriffe haben in den vergangenen Jahren erheblich zugenommen. Weltweit gelten kompromittierte Anmeldedaten mittlerweile als Einfallstor Nummer 1 von Cyberkriminellen. SSO kann sich da schnell zu einem Single Point of Failure entwickeln. Dies gilt es zu verhindern.

Multi-Faktor-Authentifizierung hilft nur bedingt

Eine Möglichkeit, die Sicherheit der Nutzerzugänge zu erhöhen, ist die Implementierung einer Multi-Faktor-Authentifizierung. Statt eines Anmeldefaktors, zum Beispiel der Eingabe einer Nutzername-Passwort-Kombination, werden zwei oder mehr Faktoren zur Authentifizierung herangezogen: zum Beispiel ein Hardwaretoken und ein Scan des Fingerabdrucks. Dies macht es unberechtigten Dritten deutlich schwerer, sich unerlaubt in den Besitz der Anmeldedaten ihrer Opfer zu bringen. Ein Restrisiko, dass ein Angriff dennoch einmal erfolgreich ist, bleibt aber auch hier. Die Implementierung einer weiteren Lösung mit einem anderen Ansatzpunkt ist deshalb unumgänglich.

Identitäts- und Zugriffsmanagement als zweiter Rettungsanker

Unter Zuhilfenahme einer modernen Identity and Access Management (IAM)-Lösung kann sichergestellt werden, dass nur authentisierte Nutzer mit registrierten Identitäten Zugang zu und Zugriff auf ein Netzwerk oder einzelne Anwendungen eines Netzwerkes erhalten. In Echtzeit, flexibel und kontextbezogen können moderne IAM-Lösungen automatisiert Attribute analysieren und Authentifizierungsanfragen genehmigen oder verweigern. Hierzu setzen sie auf dynamische Autorisierungen, die statt einer traditionellen rollenbasierten Zugriffskontrolle (RBAC), eine attributbasierte Zugriffskontrolle (ABAC) nutzen – und sogar noch erweitern. Basierend auf den Attributen zu Benutzern, Ressourcen und Kontexten können sie selbst feinkörnigste Authentifizierungsrichtlinien einrichten und durchsetzen. Mit ihrer Hilfe kann die Sicherheit von SSO-Verfahren erhöht, können gesetzliche Anforderungen hinsichtlich Datenschutz und Datensicherheit schnell und unkompliziert erfüllt werden – ohne Reibungsverluste innerhalb der Nutzererfahrung in Kauf nehmen zu müssen.

Dynamische Autorisierung – Risikoherde besser im Griff

Die dynamische Autorisierung erlaubt zudem auch die Einrichtung unterschiedlicher Risikoszenarien. Ein Szenario mit geringem Angriffsrisiko, wie beispielsweise ein Zugriff auf eine einfache Anwendung, kann dann mittels eines einfachen SSO ablaufen, während für eine Finanztransaktion, für die ein hohes Angriffsrisiko besteht, eine zusätzliche Authentifizierung oder ein SSO in Form einer MFA erforderlich ist, bevor die Transaktion umgesetzt werden kann. Dass all dies schnell und unkompliziert implementiert werden kann, ermöglicht ein besonderes Feature moderner Identitäts- und Zugriffsmanagement-Lösungen: die Identitätsorchestrierung.

Der moderne IAM-Ansatz – Identitätsorchestrierung

Identitätsorchestrierung ist ein Prozess, mit dessen Hilfe User Journeys effektiv mit Identitätsdiensten und -anwendungen verknüpft werden können. So kann das Nutzungserlebnis für Mitarbeiter, Partner, Zulieferer und Kunden noch weiter angehoben und sicherer gemacht werden. Für die schnelle, unkomplizierte und sichere Umsetzung einer Identitätsorchestrierung stehen mittlerweile auch Plattformen zur Verfügung. Mit ihnen können Customer Journeys entworfen, entwickelt, getestet, implementiert, optimiert und gemanagt werden. Innerhalb kürzester Zeit lassen sich mit ihrer Hilfe automatisierte Workflows für verschiedenste Anwendungsbereiche, die den gesamten Lebenszyklus einer Customer Journey umfassen, entwickeln. Dies sogar mit No-Code- bzw. Low-Code-Nutzeroberflächen – was ihre Bedienbarkeit noch einmal deutlich erleichtert. Verschiedenste Identitätsdienste und -anwendungen lassen sich mit Hilfe der Plattformen zu einer nahtlosen End-to-End-User Journey verknüpfen. Von der Registrierung, über die Authentifizierung, Autorisierung, Risikobewertung und viele mehr, bis hin zur Betrugserkennung.

Betrug und Kompromittierung im Frühstadium abstellen

Denn aus dem Nutzerverhalten auf einer Webseite oder in einer Anwendung können moderne IAM-Lösungen auch zwischen legitimen Kunden und Betrügern unterscheiden. Hierzu werden hunderte von Datenkontaktpunkten, die bei den physischen Interaktionen zwischen Menschen und Maschinen und zwischen Maschinen innerhalb digitaler Umgebungen generiert werden, mittels künstlicher Intelligenz (KI) und maschinellem Lernen (ML) kontinuierlich analysiert und ausgewertet. Verdächtiges Verhalten kann so erkannt, die Kompromittierung von Netzwerken, Systemen, Daten und Dienstleistungen verhindert werden – bevor ein größerer Schaden entsteht.

SSO ist eine sinnvolle Lösung, um das Nutzungserlebnis zu verbessern und die Sicherheit zu erhöhen. Um jedoch erfolgreich zu verhindern, dass SSO sich zu einem Single Point of Failure entwickelt, muss man SSO, MFA und IAM – Identitätsorchestrierung im Besonderen – zusammen denken. Anders wird sich das Schadenspotential eines erfolgreich kompromittierten SSO nicht ausreichend reduzieren lassen.

Mehmet Yaliman

Senior Solutions Architect, bei Ping Identity