Identity und Access Management 101

Im IAM 101-Bereich werden kostenlose Informationen über verschiedene Themen geboten, die für die Bereiche Sicherheit, Identity und Access Management, Single Sign-On, Multifaktorauthentifizierung, Bereitstellung und andere Technologie relevant sind. Hiermit können Unternehmen ihren Benutzern den sicheren Zugriff auf Anwendungen und System bereitstellen, den diese benötigen. Wir aktualisieren den IAM 101-Bereich regelmäßig mit neuen Inhalten, fügen Sie diese Seite daher zu Ihren Lesezeichen hinzu.

Alle Themen

„So erreichen Sie Zero-Trust-Sicherheit“

Die Idee der Zero-Trust-Sicherheit wurde erstmals von Forrester im Jahr 2010 vorgestellt. Sie ist jedoch immer noch nicht so weit verbreitet, wie es sich die Mitarbeiter in der Sicherheitsbranche womöglich erhoffen. Das kann sich jedoch ändern. Angesichts der Jahr für Jahr steigenden Bedrohungen durch Cyberkriminelle und der Kosten von Verstößen für Unternehmen versuchen immer mehr Unternehmen, ein Zero-Trust-Modell umzusetzen. Nachfolgend finden Sie die wichtigsten Informationen, die Sie benötigen, um ein solches Modell in Ihrem Unternehmen zu implementieren. ### Die vier Grundsätze Zero-Trust beinhaltet mehr als jede andere Technologie einen Bewusstseinswandel. Sobald dieser vollzogen ist, können Sie technische Lösungen für die Umsetzung von Zero-Trust evaluieren. Hier sind die vier Grundsätze, die Ihr Unternehmen – und insbesondere Ihre IT-Organisation – übernehmen muss: #### Bedrohungen kommen sowohl von innen als auch von außen Dies ist wahrscheinlich die größte Veränderung im Denken. Klassischerweise konzentriert sich die IT auf dem Umkreis des Unternehmens und versucht dort, das Eindringen zu verhindern. Die Idee dahinter ist, dass die Personen innerhalb des Unternehmens im Allgemeinen sicher sind. Daher wird weniger Aufwand für die Überprüfung oder Erkennung von Problemen innerhalb der Firewall betrieben. Dies wird manchmal als Burggraben-Ansatz für die Sicherheit bezeichnet. Es ist Zeit, dass sich diese Denkweise ändert. In einer Zero-Trust-Umgebung wird davon ausgegangen, dass Bedrohungen von innen und von außen kommen können. Das kann daran liegen, dass Kriminelle Ihr Unternehmen bereits infiltriert haben. Oder es gibt einen sogenannten Bad Actor, also eine Person, die sich nicht loyal verhält. In jedem Fall ist es genauso wichtig, sich auf das zu konzentrieren, was innerhalb des Unternehmens geschieht, und das Unternehmen vor Angriffen von innen und von außen zu schützen. #### Verwendung der Mikrosegmentierung So gelangen wir zum zweiten Grundsatz, der Mikrosegmentierung. Bei diesem Ansatz werden selbst innerhalb der Firewall Bereiche des Unternehmens von anderen abgegrenzt oder segmentiert. Beispiel: Die Marketingabteilung erhält Zugriff auf die Tools und Daten, die sie benötigt, wie beispielsweise Kundendaten, Apps wie Salesforce usw. Sie hat jedoch keinen Zugang zu Finanzdaten oder Tools, die von der Buchhaltung verwendet werden. Außerdem hat sie keinen Zugriff auf die Produkt-IP und kann von der Entwicklungsabteilung eingesetzte Software nicht nutzen. #### Least-Privilege-Zugriff Gebunden an die Mikrosegmentierung ist die Idee des Least-Privilege-Zugriffs. Das bedeutet, dass Benutzer, auch innerhalb einer Abteilung, auf das Minimum an Informationen und Zugriffsmöglichkeiten beschränkt werden. Nur weil jemand im Finanzbereich arbeitet, bedeutet das nicht, dass er Zugang zu allen Kunden- und Finanzdaten des Unternehmens benötigt. Je nach Rolle des Benutzers benötigt er möglicherweise nur Zugriff auf ausgewählte Kundendaten oder auch gar keinen Zugriff auf die Finanzdaten des Kunden. Durch Beschränkung des Zugriffs auf das Notwendige tragen Sie dazu bei, dass selbst wenn es einem Hacker gelingt, die Identität eines Benutzers vorzutäuschen, dieser nur einen begrenzten Schaden anrichten kann. #### Niemals vertrauen, stets überprüfen Um all dies umzusetzen, muss ein Unternehmen das Modell von der anderen Seite aus angehen und einen sogenannten Zero-Trust-Ansatz anwenden. Vertrauen Sie niemals einem Benutzer, dass er wirklich derjenige ist, für den er sich ausgibt. Überprüfen Sie stattdessen immer die Identität und die Zugriffsstufe des Benutzers. Durch den Grundsatz „Niemals vertrauen, immer überprüfen“ erhöhen sich die Chancen, dass Kriminelle oder Programme, die Ihr Unternehmen infiltriert haben, gestoppt werden, bevor sie Zugang zu vertraulichen Informationen erhalten oder Schaden anrichten können. ### Tools für Zero-Trust-Sicherheit Wenn Sie einen kritischen Blick auf die vier Zero-Trust-Grundsätze werfen, werden Ihnen möglicherweise einige Herausforderungen bei der eigentlichen Umsetzung auffallen. Beispiel: Ist zur Gewährleistung der Sicherheit eine Vorgehensweise vom Typ „Niemals vertrauen, immer überprüfen“ erforderlich, besteht das Kunststück darin, die Überprüfung für die Benutzer relativ unkompliziert zu halten. Zurück zu unserer Burganalogie – wenn es überall Tore gibt, die mit einem Schlüssel entsperrt werden müssen, kann sich dies in der Tat auf die tägliche Produktivität der Menschen auswirken. Ebenso wissen wir alle, dass Rollen nicht vollkommen eindeutig sind und manche Benutzer Zugang zu Anwendungen und Daten benötigen, die ihnen basierend auf ihrer Rolle nicht standardmäßig zugewiesen sind. Das bedeutet, dass Sie einen schnellen Weg finden müssen, um Benutzer nach Bedarf für Apps bereitzustellen bzw. die Bereitstellung aufzuheben. Vor diesem Hintergrund sind hier vier zentrale Tools für die Zero-Trust-Sicherheit: - SSO: Single Sign-On (SSO) bietet Benutzern die Möglichkeit, sich nur einmal mit ihren Anmeldedaten einschließlich eines einzigen Passworts anzumelden und Zugriff auf all ihre Online-Apps zu erhalten. In Verbindung mit den richtigen Tools kann SSO auch einmaligen Zugriff auf lokale ältere Apps bieten. SSO erhöht die Sicherheit durch den Wegfall von Passwörtern bei gleichzeitiger Verbesserung der Benutzerfreundlichkeit und größerer Mitarbeiterzufriedenheit. - – MFA: Die Multifaktorauthentifizierung (MFA) ist ein wichtiges Tool, das jedes Unternehmen einsetzen sollte. MFA erfordert zusätzliche Faktoren, wenn sich Benutzer anmelden möchten. Beispielsweise kann es erforderlich sein, dass sie neben ihrem Benutzernamen und Passwort eine PIN eingeben oder sich über eine mobile App authentifizieren müssen. Tatsache ist, dass Passwörter alleine nicht sicher genug sind. Sie benötigen MFA. MFA sollte jedoch mit SSO kombiniert werden. Andernfalls erweitern Sie die Benutzeranmeldung um weitere Schritte und die Benutzer müssen sich weiterhin mehrmals täglich anmelden. - Systeme für die schnelle Bereitstellung: Wenn Sie zu Zero-Trust wechseln, benötigen Sie ein System, mit dem Sie Benutzer schnell für Anwendungen bereitstellen bzw. die Bereitstellung aufheben können. Da Sie den am wenigsten privilegierten Zugriff erhalten, müssen Sie davon ausgehen, dass Sie regelmäßig Ausnahmen machen müssen. Wenn Ihr aktuelles Bereitstellungssystem zeitaufwändig ist, wird sich die Situation nur weiter verschlechtern, sobald Sie zu Zero-Trust wechseln. - Geräteschutz: Das Gerät, von dem aus sich der Benutzer anmeldet, ist die erste Verteidigungslinie und der zentrale Angriffspunkt: der Endpoint. Suchen Sie also nach Tools, die Geräte schützen und überwachen, sodass die Gefahr bereits an der Quelle gebannt werden kann. Das ist alles. Dies sind die vier Grundsätze und die vier Tools, die Sie beim Wechsel zu Zero-Trust als Erstes in Erwägung ziehen sollten.

Mehr erfahren

SAML-SSO-Lösung: Sichere Anmeldung, schnelle Bereitstellung

Sie haben vielleicht von SAML gehört. SAML ist die Abkürzung für "Security Assertion Markup Language". SAML ist ein Standardprotokoll, das von Webbrowsern zum Aktivieren von Single Sign-On (SSO) über sichere Token verwendet wird. Was ist das Beste an SAML? Es werden keine Passwörter mehr benötigt. Stattdessen verwendet SAML Standard-Kryptografie und digitale Signaturen, um einen sicheren Anmelde-Token von einem Identitätsanbieter an eine SaaS-Anwendung weiterzugeben. SAML ist ein offener Standard auf der Grundlage von XML und das Produkt des OASIS Security Services Technical Committees. Die meisten gängigen SaaS-Anbieter, wie Salesforce, Google und Microsoft, unterstützen SAML bereits. Bei anderen Anbietern gehen die jährlichen Gebühren für eine SAML-Bereitstellung von Apps mitunter in beträchtliche Höhen. Als Teil der OneLogin-Community hingegen ist sie völlig kostenlos. ### Sichere Anmeldung ohne Passwort SAML verwendet Sicherheits-Token, die digital signiert sind, sowie verschlüsselte Nachrichten mit Authentifizierungs- und Autorisierungsdaten, beispielsweise die E-Mail-Adresse und der Aufgabenbereich eines Benutzers. SAML gibt diese Token über einen Identitätsanbieter mithilfe eines bestehenden Vertrauensverhältnisses an die Cloud-Anwendung weiter. Da SAML auf Standards basiert, bietet es Interoperabilität zwischen Identitätsanbietern und eine gemeinsame Möglichkeit für Apps, Benutzer auf Grundlage vertrauenswürdiger Informationen anzumelden, ohne Zugangsdaten verwalten zu müssen. ### Welche Unterstützung bietet SAML? IT-Administratoren können mit SAML sicher auf Passwörter verzichten und Anwendungen schneller bereitstellen. App-Anbieter können mit SAML ihre Anwendungen sichern, die Entwicklungskosten verringern und bessere und schnellere Akzeptanz erreichen. IT-Abteilungen bietet SAML die Möglichkeit, Benutzeranmeldungen zu speichern und den Anwendungszugriff schneller und sicherer bereitzustellen. ### Phishing-Schutz SAML erhöht die Sicherheit durch den Verzicht auf Passwörter. Wenn Sie für eine App kein Passwort haben, können Sie dieses auch nicht auf einer gefälschten Anmeldungsseite eingeben. Des Weiteren trägt SAML zur Zufriedenheit der Benutzer bei, da optimierter Schnellzugriff über Portale oder das Internet, Deep Linking, Verzicht auf Passwörter und automatische Sitzungsverlängerung bereitgestellt wird. Dank einer einfachen Browserumleitung kann sich ein Benutzer sicher bei einer Anwendung anmelden. ### Wie unterstützt SAML die IT? SAML unterstützt die IT-Abteilung, indem die Authentifizierung zentralisiert, mehr Transparenz bereitgestellt und die Verzeichnisintegration erleichtert wird. Dies sind nur einige der Gründe, weshalb Unternehmen von SAML begeistert sind. Als B2B-Cloud-Anbieter sollten Sie SAML ebenfalls unterstützen, da Unternehmen davon begeistert sind. ### OneLogin und SAML-SSO OneLogin bietet Single Sign-On über SAML für Web-Applikationen. Applikationen auf SAML-Basis arbeiten perfekt mit dem Zero-Config Active-Directory-Connector von OneLogin zusammen, der es Benutzern ermöglicht, sich mit ihren Windows-Zugangsdaten auch bei Applikationen anzumelden. Außerdem lassen sich interne oder individuelle Online-Apps leicht für SAML freigeben. Mithilfe eines der Open Source-SAML-Toolkits von OneLogin kann das schon in wenigen Stunden erledigt sein. Natürlich ist es immer eine gute Idee, Multifaktorauthentifizierung (MFA) zu nutzen, um das SSO-Passwort zu schützen. MFA fügt einen zusätzlichen Faktor für die Anmeldung hinzu, damit für den Fall, dass sich ein Hacker Zugriff auf die Anmeldedaten des Benutzer verschafft, ein weiterer Faktor den Zugriff verhindert. Gemeinsam sind SSO und MFA unschlagbar. .inline-wrapped { max-width: 2em; margin: 0 1em 0 0; }

Mehr erfahren

Ist Ihr Enterprise Passwort Manager gut genug?

Der Einsatz von Passwort-Managern oder -Tresoren in Unternehmen ist häufig der erste Schritt, Passwörter zu verkomplizieren und sicher zu machen und gleichzeitig die Benutzerfreundlichkeit für Mitarbeiter zu gewährleisten. Aber nicht alle Passwort-Manager sind gleich. Im Folgenden erhalten Sie einen Überblick über die Funktionen, die ein solches Tool aufweisen sollte, sowie über zusätzliche Funktionen, die nur in bestimmten Tools enthalten, für Ihr Unternehmen unter Umständen jedoch notwendig sind. ### Passwort-Manager mit Basisfunktionen Alle gängigen Passwort-Manager speichern Benutzerpasswörter in der Regel in einer sicheren Passwortdatenbank in der Cloud. Hochwertige Passwort-Manager verschlüsseln die Daten sicher mithilfe von Chiffren wie AES-256. Die meisten dieser Tools verfügen über integrierte Passwortgeneratoren zur einfachen Erstellung sicherer Passwörter nach dem Zufallsprinzip. Bei Auswahl eines Passworttresors müssen Sie sicherstellen, dass das ausgewählte Tool geräteübergreifenden Zugriff der Mitarbeiter unterstützt und Synchronisierungen zwischen den Geräten bietet. Dies ist wichtig, da Mitarbeiter in der Regel ihre Telefone, Arbeitscomputer und privaten Laptops verwenden. Die besten Passwort-Manager unterstützen alle gängigen Browser und mobilen Betriebssysteme. Passwort-Manager mit zusätzlichen Funktionen ### Passwort-Manager: zusätzliche Sicherheitsoptionen Ein Passwort-Manager sollte die folgenden beiden Funktionen aufweisen: Automatische Zurücksetzung von Passwörtern und Erzwingung von Passwortregeln mithilfe des Tools. Beide Funktionen unterstützen die Sicherheit bei gleichzeitiger Entlastung der IT und des Helpdesks. Aus Sicherheitsgründen ist es wichtig, dass der Passwort-Manager sowohl Zweifaktor- als auch Multifaktorauthentifizierung unterstützt. Die Verwendung eines Passwort-Managers stellt einen wichtigen ersten Schritt zur Verbesserung der Passwortsicherheit dar. Dies alleine ist jedoch nur selten ausreichend. Passwort-Manager wurden schon gehackt und verschiedene Arten von Angriffen können das eingegebene Passwort immer noch abfangen und erfassen. Stellen Sie sicher, dass der Passworttresor mit der verwendeten MFA-Lösung zusammenarbeitet (oder MFA enthält), die erfordert, dass Benutzer zusätzliche Authentifizierungsfaktoren bei der Anmeldung bereitstellen, wie z. B. eine PIN aus einer Telefon-App, einen Fingerabdruck oder Gesichtserkennung. ### Passwort-Manager: verbesserte Benutzerfreundlichkeit Damit Passwort-Manager funktionieren können, müssen Sie von dem Mitarbeitern verwendet werden. Sie werden verwendet, wenn sie leicht bedienbar sind. Suchen Sie nach folgenden Funktionen: - **Ausfüllen von Webformularen**—Die meisten Passwort-Manager können eine Website erkennen, sie automatisch abrufen und das Anmeldedialogfeld ausfüllen. Nicht alle leisten jedoch gute Arbeit oder erkennen Websites gleichermaßen gut. - **App-Passwörter**—Websites reichen nicht aus. Mitarbeiter unterscheiden nicht zwischen einer Website und einer App. Sie betrachten beide lediglich als Tools, die einem bestimmten Zweck dienen. Nicht alle Passwort-Manager unterstützen Apps. Verwenden Sie welche, die es tun. Es gibt weniger Beschwerden von Mitarbeitern und die Akzeptanz steigt. - **Unterstützung lokaler Anwendungen**—Immer weniger Passwort-Manager unterstützen lokale Anwendungen. Aber wie schon gesagt, machen Benutzer keinen großen Unterschied zwischen Internet- und lokalen Systemen. Sie möchten sich nur schnell anmelden und ihre Arbeit erledigen. Ein Passwort-Manager, der keine Unterstützung für lokale Anwendungen bietet, löst das Passwortproblem nur teilweise. ### Funktionen, die in Passwort-Managern nicht zur Verfügung stehen In Passwort-Managern stehen unter Umständen einige Basisreports zur Verfügung. Selten enthalten sind jedoch die Art von Auditing-Tools, die zur Einhaltung von Standards wie PCI oder SOX benötigt werden. Darüber hinaus erhalten Sie keine Informationen, die Ihnen bei der Erkennung von Angriffsversuchen helfen könnten. Passwort-Manager bieten nur Basissynchronisierung mit Verzeichnissen wie Active Directory. Wenn Sie Sicherheitsrichtlinien basierend auf Rollen, Standorten usw. mit detaillierten Berechtigungen implementieren möchten, benötigen Sie ein echtes Single Sign-On-System (SSO) anstelle eines Passwort-Managers. Auch beim On- und Offboarding über AD, Workday oder andere Verzeichnisse (bzw. mehrere Verzeichnisse wie in vielen Unternehmen) erweist sich ein Passwort-Manager wahrscheinlich als unhandlich und stellt bloß ein weiteres System dar, das gepflegt werden muss. Der richtige Passwort-Manager eignet sich im ersten Schritt gut zur Verbesserung der Sicherheit in Ihrem Unternehmen. Zur Aufrechterhaltung der Passwortsicherheit und Mitarbeiterzufriedenheit sollten Sie jedoch zu einer SSO-Lösung wechseln. Mit SSO können sich Benutzer einmal anmelden und dann einfach auf alle cloudbasierten oder lokalen Arbeits-Websites und -Apps zugreifen. Eine erneute Anmeldung ist nicht notwendig. Dies bedeutet, dass tatsächlich nur ein Passwort verwendet wird. Darüber hinaus wird eine SSO-Lösung mit Ihren Verzeichnissen integriert, um sehr granulare Benutzer-Rechte zuzuweisen, denn genau dafür schließlich nutzen Sie einen Verzeichnisdienst wit AD. Betrachten Sie einen Passwort-Manager also als einen ersten Schritt auf dem Weg zu mehr Sicherheit, dem noch weitere folgen müssen.

Mehr erfahren

Sechs Arten von Passwortangriffen und geeignete Gegenmaßnahmen

Die folgende Liste beschreibt sechs häufig genutzte Arten von Passwortangriffen und geeignete Gegenmaßnahmen, mit denen Sie diese Angriffe abwehren oder zumindest abschwächen können. ### Wörterbuchangriff Diese Angriffsmethode macht sich zunutze, dass Passwörter oft zu kurz sind oder geläufige Wörter enthalten. Hacker nutzen eine Liste mit solchen Wörtern (das „Wörterbuch“) und probieren sie zumeist in Kombination mit einigen Ziffern vor und/oder nach den Benutzernamen des Unternehmens aus. (Die Benutzernamen sind leicht herausfindbar, da sie in der Regel auf den Namen der Mitarbeiter basieren.) ### Brute Force Mithilfe eines Programms werden wahrscheinliche Passwörter oder einfach zufällige Zeichenketten erzeugt und quasi nach der Holzhammermethode ausprobiert. Der Angriff beginnt mit häufig genutzten, schwachen Passwörtern wie Passwort123 und steigert sich dann. Auch Variationen mit Groß- und Kleinbuchstaben werden automatisch durchprobiert. ### Abgefangene Daten Bei dieser Angriffsmethode nutzen die Cyberkriminellen Sniffer-Software, um den Datenverkehr im Netz zu überwachen und Passwörter bei der Übertragung abzufangen. Ähnlich wie beim Abhören einer Telefonleitung erlangt die Software die gesuchten Informationen also einfach per Lauschangriff. Sind diese Informationen (z. B. die Passwörter) unverschlüsselt, wird die Aufgabe umso leichter. Aber auch verschlüsselte Informationen können anfällig sein, je nach Stärke des genutzten Verschlüsselungsverfahrens. ### "Man-in-the-Middle" Die Software des Hackers überwacht nicht einfach nur die im Netz übertragenen Daten, sondern schaltet sich aktiv in die Interaktion mit dem Benutzer ein. Dazu tarnt sie sich meist als seriöse Website oder App, um so den Benutzer zur Eingabe seiner Zugangsdaten und anderer vertraulicher Informationen (Kontonummern, Sozialversicherungsnummern usw.) zu bewegen. Dieser sogenannte "Man-in-the-Middle-" (MITM) oder Janusangriff wird oft mittels Social Engineering realisiert (der Benutzer wird durch Vortäuschung falscher Tatsachen in die Irre geführt). ### Keylogger Cyberkriminelle installieren Software auf dem System des Benutzers, die jede Tastatureingabe protokolliert. So finden die Ganoven nicht nur den Benutzernamen und das Passwort heraus, sondern sie erfahren auch gleich, für welche Website oder App die Zugangsdaten jeweils gelten. Bei dieser Angriffsart ist in der Regel ein vorhergehender Angriff nötig, bei dem die Keylogger-Schadsoftware auf dem Computer des Benutzers installiert wird. ### Social Engineering Social Engineering umfasst eine Reihe von manipulativen Methoden, mit denen Benutzern vertrauliche Informationen entlockt werden. Zu den gängigen Taktiken zählen: - **Phishing:** Betrügerische E-Mails, SMS usw. sollen Benutzer dazu bringen, ihre Zugangsdaten einzugeben, gefälschte Websites aufzurufen oder auf einen Link zu klicken, der die Installation von Schadsoftware auslöst. - **Spear Phishing:** Vergleichbar mit Phishing, allerdings sind die E-Mails/SMS hier sorgfältiger formuliert und mithilfe von bereits herausgefundenen Informationen stärker auf den jeweiligen Benutzer zugeschnitten. Wenn der Hacker zum Beispiel schon weiß, dass sein Opfer ein Konto bei einer bestimmten Bank hat, kann er Layout und Logo der E-Mail im Stil der Bank gestalten, um authentischer zu wirken. - **Baiting:** Angreifer hinterlassen kompromittierte USB-Sticks oder andere Geräte an öffentlichen Plätzen oder im Unternehmen in der Hoffnung, dass Mitarbeiter sie ahnungslos benutzen und so auch ihre Computer infizieren. - **Quid pro quo:** Der Angreifer gibt sich als vertrauenswürdige Person aus, zum Beispiel als Helpdesk-Mitarbeiter, und interagiert mit dem Benutzer, um von ihm die gewünschten Informationen zu erhalten. ### Abwehr von Angriffen auf Passwörter Starke Passwörter sind weitaus weniger anfällig für die oben genannten Angriffsarten. Die aktuellen NIST-Richtlinien empfehlen Passwörter, die zwar leicht zu merken, aber schwer zu erraten sind. Eine gute Mischung aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen ist ratsam. Außerdem sollten Sie geläufige Wörter und Wendungen vermeiden. Zudem sollte Ihr Passwort auf keinen Fall Wörter mit direktem Bezug zur Website oder App enthalten (also z. B. den Namen der App, bei der Sie sich mit dem Passwort anmelden). Laut NIST sollten Passwörter mit Wortlisten abgeglichen werden, die typische schwache Passwörter enthalten. Auch die Einweisung aller Mitarbeiter ist wichtig. Wenn Benutzer wissen, wie Social Engineering abläuft und erkannt wird, sind diese Strategien der Hacker quasi wirkungslos. Starke Passwörter und aufgeklärte Benutzer genügen heute aber leider nicht mehr. Durch immer leistungsfähigere Computer können Cyberkriminelle raffinierte Programme ausführen, mit denen sich riesige Mengen an Zugangsdaten ausspionieren oder ausprobieren lassen. Darum empfiehlt das NIST, sich nicht nur auf Passwörter zu verlassen. Unternehmen sollten insbesondere Tools wie Single Sign-On (SSO) und die Multi-Faktor-Authentifizierung (MFA, auch als Zwei-Faktor-Authentifizierung bekannt) implementieren. SSO verringert die Passwortflut und ermöglicht Mitarbeitern die Anmeldung bei all ihren Websites und Apps mit nur einem Satz an Zugangsdaten. Sie müssen sich also nur noch ein starkes Passwort merken. Die MFA erfordert bei der Anmeldung die Angabe eines zweiten Identitätsnachweises, beispielsweise einen Fingerabdruck oder eine PIN, die von einer Anwendung wie OneLogin Protect erzeugt wurde. So wird es für Cyberkriminelle deutlich schwieriger, sich als legitime Benutzer auszugeben.

Mehr erfahren

Geschäftliche Nutzung von Cloud-Passwortmanagern

Passwortmanager, Passworttresor, Single Sign-On – bestimmt haben Sie all diese Schlagwörter im Zusammenhang mit dem Erstellen und Verwalten sicherer Passwörter schon gehört. Aber was genau ist jeweils gemeint und wie unterscheiden sich diese Tools? ### Passwortmanager vs. Passworttresor Passwortmanager und Passworttresor sind zwei Bezeichnungen für dieselbe Art von Produkt. Es handelt sich dabei um sichere Speichersysteme, in denen Benutzerpasswörter für verschiedene Websites und Apps verschlüsselt hinterlegt werden. Ein Mitarbeiter braucht sich normalerweise nur mit seinem Passwort am Passwortmanager anmelden und kann dann auf all seine anderen Passwörter für Unternehmensanwendungen und Websites zugreifen. Moderne Passwortmanager bieten obendrein noch weitere Funktionen. Beispielsweise erzeugen sie starke, zufällige Passwörter für die vom Mitarbeiter genutzten Websites und Apps. Außerdem bieten sie häufig auch Browsererweiterungen, mit denen Zugangsdaten für Websites abgerufen und automatisch im Anmeldeformular eingetragen werden, sodass sich der Mitarbeiter anmelden kann, ohne sich alle Passwörter merken zu müssen. ### Single Sign-On vs. Passwortmanager Single Sign-On (SSO) ist ein anderes Verfahren, bei dem Benutzer sich nur einmal am Tag mit einem Passwort anmelden müssen und dann auf sichere Weise auf Websites und in Apps authentifiziert werden. Nach der erstmaligen Anmeldung wird der Benutzer also automatisch bei Websites oder Unternehmensanwendungen angemeldet, ohne die Zugangsdaten erneut einzugeben. Bei SSO werden Benutzerpasswörter nicht in einer Datenbank nachgeschlagen, sondern der Benutzer wird basierend auf definierten Vertrauensbeziehungen mithilfe von Standards wie SAML oder OpenID Connect angemeldet. Das heißt, die aufgerufene Website oder App vertraut darauf, dass das SSO-Tool ordnungsgemäß die Identität des Benutzers verifiziert. ### Cloud-Passwortmanager Die meisten Passwortmanager heutzutage sind Cloudlösungen. Natürlich können Sie auch einen Passwortmanager nutzen, der die Passwortdaten auf dem lokalen Computer des Mitarbeiters speichert, aber dann hätte der Mitarbeiter ein echtes Problem, wenn er sich über sein Smartphone oder einen anderen Computer auf einer Website anmelden möchte. Allerdings ist bei vielen Passwortmanagern die Installation einer Browsererweiterung oder mobilen App erforderlich, damit der Benutzer über beliebige Geräte und Browser auf die Passwörter zugreifen kann. Mit einem cloudbasierten Passwortmanager gehen Ihre Passwörter auch nicht verloren, wenn ein Server oder Computer ausfällt. ### Ist ein Cloud-Passwortmanager für Sie die richtige Lösung? Einzelne Benutzer, die ihre persönlichen Passwörter sicher verwahren möchten, sind mit einem Cloud-Passwortmanager gut bedient. Das ist deutlich besser als eine ungeschützte Passworttabelle oder die Nutzung desselben Passworts für alle Websites (die geläufigste Strategie). Wenn Sie hingegen eine Lösung zur Passwortverwaltung in Ihrem Unternehmen suchen, ist ein Cloud-Passwortmanager nicht unbedingt die beste Wahl. Passwortmanager für Unternehmen speichern oft alle Passwörter aller Benutzer in einer einzigen Datenbank. Der Passwortmanager wird dadurch zu einem attraktiven Ziel für Hacker. Jüngste Meldungen von ISE unterstreichen die Gefahr. Offenbar konnten bei mehreren führenden Passwortmanagern vertrauliche Zugangsdaten von Benutzern über den Arbeitsspeicher ausgelesen werden, sogar wenn sich der Passwortmanager im gesperrten Modus befand. Auch das Masterpasswort für den Passwortmanager an sich könnte so in die falschen Hände fallen. Eine Möglichkeit zur Stärkung der Sicherheit von Passworttresoren oder Passwortmanagern ist die Multi-Faktor-Authentifizierung (MFA). Sie sorgt dafür, dass sich Cyberkriminelle mit Kenntnis des Benutzernamens und Passworts dennoch nicht einfach so anmelden können. Leider bieten bisher nicht alle Passwortmanager nahtlose Unterstützung für die MFA. Passwortmanager können zudem in Sachen Sicherheit nicht mit Single Sign-On (SSO) mithalten. Es gibt keine Option zur Verwaltung von rollen- oder standortbasierten Zugriffsrechten innerhalb einer Anwendung. Es gibt keine Option zur Definition von gestuften Zugriffsrechten, beispielsweise in Form von stärkeren Zugriffseinschränkungen für vertrauliche Daten oder von häufigeren Authentifizierungen für Apps mit vertraulichen Inhalten. Und es gibt auch keine Option zur Implementierung von intelligenten Authentifizierungsmethoden, zum Beispiel die Verhinderung des Zugriffs auf bestimmte Websites oder Apps, wenn sich Benutzer von unsicheren Standorten aus anmelden. Im Gegensatz zu SSO synchronisieren sich die meisten Passwortmanager nicht mit Ihrem Cloudverzeichnis oder Active Directory zur nahtlosen rollenbasierten Zugriffsverwaltung. Oft mangelt es auch an feingranularen Kontrollen und Prüffunktionen, die von vielen Standards zwecks Compliance gefordert werden. Im Gegensatz dazu ist bei SSO genau ersichtlich, wer sich von welchem Standort aus und mit welcher IP angemeldet hat. Zu guter Letzt ist festzuhalten, dass die meisten Cloud-Passwortmanager nur für Websites und Webanwendungen konzipiert sind. Die Anmeldung am lokalen Desktop oder bei Vor-Ort-Anwendungen wird kaum unterstützt. SSO-Tools hingegen können Benutzern mithilfe von LDAP und Produkten wie OneLogin Desktop die zentrale Anmeldung für sämtliche Anwendungen und Geräte ermöglichen. Dies steigert die Zufriedenheit und Produktivität Ihrer Mitarbeiter. Cloud-Passwortmanager mit ergänzender MFA sind ein guter Anfang für kleinere Unternehmen, die noch nicht in eine SSO-Lösung investieren möchten. Rasant wachsende und mittlere bis große Unternehmen werden das Potenzial von Cloud-Passwortmanagern aber wahrscheinlich schnell ausreizen und sollten ihre steigenden Anforderungen an die Sicherheit und Benutzerfreundlichkeit lieber mit fähigen SSO-Tools bewältigen.

Mehr erfahren

Was ist die Zweifaktorauthentifizierung (2FA)?

Die Cyberangreifer sind gnadenlos. Sie jagen, phishen, betrügen und imitieren alle Benutzer, auch solche mit besonderen Zugriffsrechten, um Ihr Unternehmen infiltrieren zu können. Wenn sie einmal eingedrungen sind, suchen sie nach Möglichkeiten, noch mehr Zugriffsrechte zu erhalten und Ressourcen für sich zu erlangen. Jede App ist gefährdet. Ohne Kontrolle über den Zugang zu Cloud-Anwendungen und lokalen Anwendungen besteht für Unternehmen die Gefahr von Sicherheitsverstößen. Die Zweifaktorauthentifizierung hilft bei der Vereitlung von Angriffen und schützt Unternehmensdaten. ### Was ist die Zweifaktorauthentifizierung? Die Zweifaktorauthentifizierung (2FA) bietet eine zusätzliche Schutzebene, wenn sich Benutzer bei Apps anmelden. Ohne zusätzliche Authentifizierung werden Benutzer aufgefordert, ihre Identität nachzuweisen, indem sie einfache Zugangsdaten wie E-Mail-Adresse und Passwort eingeben. Bei Verwendung der 2FA werden sie nach einem zweiten Faktor (2F) gefragt, in der Regel durch Aufforderung an den Benutzer, Informationen über ein physisches Token (d. h. eine Karte) oder eine Sicherheitsfrage bereitzustellen, deren Antwort nur der Benutzer kennt. Folgende Optionen zur Authentifizierung werden von den US-Bundesbehörden anerkannt: ### Wie trägt 2FA zu größerer Sicherheit für Unternehmen bei? Ein zusätzlicher Authentifizierungsfaktor verhindert, dass sich jemand am Konto eines Benutzers anmelden kann, selbst wenn die Person das Passwort des Benutzers kennt. Weitere Faktoren werden benötigt, weil Passwörter für sich genommen einfach nicht sicher sind. Sie können auf verschiedene Art und Weise gefährdet sein: - Die meisten Personen wählen ein leicht zu merkendes Passwort, das daher auch leicht zu hacken ist. Sie verwenden beispielsweise einfach zu ermittelnde Informationen wie den Namen eines Haustiers, einen Geburtsort oder ein wichtiges Datum, beispielsweise einen Jahrestag. - Die meisten Personen verwenden das gleiche Passwort für verschiedene Anwendungen. Sobald Cyberkriminelle ein Passwort herausgefunden haben, haben sie also sogleich Zugang zu mehreren Anwendungen. - Cyberkriminelle setzen selbst viele verschiedene und immer ausgefeiltere Techniken ein, um [Anmeldedaten zu kompromittieren](/learn/what-is-cyber-security). Daher ist der Einsatz weiterer Faktoren hilfreich. Falls für die Authentifizierung ein Passwort und dazu z. B. ein USB-Token mit einem digitalen Zertifikat benötigt wird, muss ein Angreifer sowohl die Anmeldedaten des Benutzers kennen, als auch im Besitz des USB-Tokens sein, um sich beim Konto des Benutzers anmelden zu können. Wenn er nicht im Besitz von beidem ist, schlägt jeder unberechtigte Zugriff fehl, und es wird außerdem ein Sicherheitsereignis ausgelöst, das den Administrator über einen verdächtigen Anmeldeversuch in Kenntnis setzt. Durch die Kombination zusätzlicher Faktoren lässt sich eine [Multifaktorauthentifizierung](/learn/what-is-mfa) (MFA) erzielen, die die Authentifizierung noch sicherer macht. Bei Verwendung einer Multifaktorauthentifizierung können Sie Faktoren wie ein PKI-Zertifikat im Browser des Benutzers hinzufügen oder eine mobile App zur Authentifizierung vorschreiben. Auch Produkte wie OneLogin Desktop erhöhen die Sicherheit mittels eines auf dem Laptop gespeicherten Zertifikats, das einen zweiten Authentifizierungsfaktor in Form eines vertrauten Geräts bietet. ### Starke Authentifizierungsfaktoren Es gibt eine Vielzahl von zweiten Authentifizierungsfaktoren, die für 2FA zur Sicherung des Anwendungszugangs verwendet werden können. Hier einige Beispiele: - Einmalpasswort (One-time Password, OTP): ein eindeutiges Passwort, das nur einmal verwendet werden kann. Dabei handelt es sich normalerweise um eine kurze Zahlenfolge auf Grundlage eines Geheimnisses, das auf einem physischen Gerät wie z. B. einem USB-Token oder einem Smartphone generiert wird. Bei der Authentifizierung wird dieses Einmalpasswort mithilfe des OTP-Dienstes des Anbieters in der Cloud abgeglichen. Selbst wenn es jemandem gelingt, das Passwort zu stehlen, kann sich ohne das OTP niemand erfolgreich anmelden. - Zeitbasierte PIN: eine Ziffernfolge, die innerhalb von kurzer Zeit eingegeben werden muss, üblicherweise innerhalb von 30 bis 60 Sekunden. Diese PIN kann von einer Softwareanwendung oder einem Hardware-Gerät mit einer sehr präzisen Uhr generiert werden. Die Sicherheit ergibt sich aus der Tatsache, dass die PIN nur für einen kurzen Zeitraum gültig ist. - Digitales (PKI)-Zertifikat: ein digitales Zertifikat, das von einer vertrauten Zertifizierungsstelle stammt, wird auf dem Gerät oder im Browser des Benutzers installiert. Der Identitätsprovider kann prüfen, ob gültige Zertifikate vorliegen und diese jederzeit zurücknehmen. Nur ein Browser mit einem gültigen Zertifikat darf sich anmelden. .diagram.desktop { display: block; }

Mehr erfahren

Kurzvorstellung: Passwortlose Authentifizierung

Die passwortlose Authentifizierung ist einer der aktuellen Trends in der IT-Sicherheitsbranche. Und das aus gutem Grund. [Passwörter sind immer noch eine Schwachstelle](/learn/5-reasons-passwords-disaster), wenn es um den Schutz von Kunden- und Unternehmensdaten geht. 81 Prozent aller Datenschutzverletzungen sind auf schwache oder gestohlene Passwörter zurückzuführen. Und auch Cyberkriminelle haben es bevorzugt auf Passwörter abgesehen. Für IT-Abteilungen sind Passwörter in mehrfacher Hinsicht eine echte Belastung. Zunächst einmal müssen die Passwörter auf sichere Weise gespeichert werden. Gelingt dies nicht, steigt die Gefahr von Datenschutzpannen, die sich über Jahre hinweg negativ auf den Umsatz, den Börsenwert und den Ruf des Unternehmens auswirken. Als Passwortverwalter muss die IT-Abteilung zudem alle diesbezüglichen Anfragen bearbeiten. [Vergessene Passwörter](/learn/help-desk-password-reset-best-practices), die zurückgesetzt werden müssen, sind eine der häufigsten Ursachen für überlastete Helpdesks. Es spricht also vieles dafür, in Unternehmen zu einer passwortlosen Authentifizierung überzugehen. ### Wie funktioniert die passwortlose Authentifizierung? Die passwortlose Authentifizierung ist eine Art der [Multi-Faktor-Authentifizierung](/learn/what-is-mfa) (MFA), bei der das Passwort durch sicherere Methoden wie einen Fingerabdruck oder eine PIN ersetzt wird. Die MFA erfordert mindestens zwei verschiedene Nachweise der Zugangsberechtigung. Die passwortlose Authentifizierung beruht auf demselben Prinzip wie digitale Zertifikate, nämlich auf einem Verschlüsselungssystem mit einem privaten und einem öffentlichen Schlüssel. Obwohl man beide Bestandteile als „Schlüssel“ bezeichnet, ist der öffentliche Schlüssel eigentlich vielmehr ein Schloss, das durch den privaten Schlüssel geöffnet wird. Für jedes Schloss gibt es nur einen Schlüssel und für jeden Schlüssel gibt es nur ein Schloss. Wenn nun jemand ein sicheres Benutzerkonto erstellen möchte, nutzt er ein entsprechendes Tool (eine mobile App, eine Browsererweiterung usw.) zum Generieren eines solchen Schlüsselpaars. Der private Schlüssel wird dann auf dem lokalen Gerät des Benutzers gespeichert und mit einem Authentifizierungsfaktor verknüpft (z. B. ein Fingerabdruck, eine PIN oder ein Sprachmuster). Der Zugriff ist nun nur noch über diesen Authentifizierungsfaktor möglich. Der öffentliche Schlüssel wird an das System übermittelt, bei dem der Benutzer ein Konto erstellen möchte (z. B. eine Website, eine Anwendung, ein Browser usw.). ### Mehr Freiraum und Sicherheit dank passwortloser Authentifizierung Die passwortlose Authentifizierung basiert derzeit auf dem FIDO2-Standard (zu dem auch die Standards WebAuthn und CTAP zählen). Aufgrund dieses Standards müssen sich IT-Abteilungen nicht mehr um die mühselige sichere Speicherung von Passwörtern kümmern. Warum nicht? Weil die von ihnen gespeicherten öffentlichen Schlüssel – wie der Name schon sagt – ohnehin öffentlich zugänglich sind. Genau wie ein Schloss ist ein öffentlicher Schlüssel für einen Hacker wertlos, wenn er nicht auch den passenden privaten Schlüssel dazu hat. Und dieser private Schlüssel befindet sich ja in den Händen des Endbenutzers beziehungsweise des jeweiligen Mitarbeiters im Falle von Unternehmen. Ein weiterer Vorteil der passwortlosen Authentifizierung ergibt sich daraus, dass der Benutzer selbst wählen kann, mit welchem Tool er die Schlüssel erzeugt und sich authentifiziert. Möglich ist dies zum Beispiel mit einer mobilen App wie OneLogin Protect oder mit einem biometrischen Verfahren oder physischen Gerät wie YubiKey. Für die App oder Website, auf der sich der Benutzer anmelden möchte, macht es keinen Unterschied, welche dieser diversen Optionen genutzt wurde. Dies ist sogar ein wesentlicher Aspekt der passwortlosen Authentifizierung. Wenn beispielsweise Browser die passwortlose Authentifizierung implementieren, wird beim Besuch einer Website zwar möglicherweise JavaScript-Code als Bestandteil der Website heruntergeladen und auf Ihrem Computer ausgeführt, aber dieser Code speichert nicht Ihre vertraulichen Daten. Weder dem Code noch der Website wird Ihr privater Schlüssel offenbart. Folglich können solche Websites auch nicht von Cyberkriminellen ausgenutzt werden. Als Variante der Multi-Faktor-Authentifizierung wird sich die passwortlose Authentifizierung gewiss weiterentwickeln. Zwar müssen sich Benutzer in den meisten Unternehmen immer noch ganz klassisch durch Passwörter authentifizieren, doch die allseits bekannten Probleme mit Passwörtern werden Unternehmen früher oder später sicher doch von der MFA und der passwortlosen Authentifizierung überzeugen.

Mehr erfahren

Biometrische Authentifizierung: Gut, schlecht und unschön

Es scheint, dass Biometrie überall ist: Fingerabdrücke, Gesichtserkennung, Spracherkennung usw. Ist die Biometrie aber wirklich das Mittel für eine sichere Authentifizierung? Wie bei allen Technologien hat auch diese Vor- und Nachteile. In diesem Artikel erkunden wir die gute, die schlechte und die unschöne Seite der Nutzung von Biometriedaten zur Authentifizierung. ### Die gute Seite beim Einsatz biometrischer Daten zur Gewährleistung der Sicherheit Es gibt einen Grund dafür, dass biometrische Daten immer beliebter werden: Sie sind fälschungssicherer. Die Authentifizierung hat sich weiterentwickelt. Anfangs gab es das, was Sie kennen, beispielsweise einen Benutzernamen und ein Passwort. Daten können jedoch leicht gestohlen und Menschen getäuscht werden, damit sie ihnen ihre Daten preisgeben. Also wurden die Authentifizierungstechniken zu dem weiterentwickelt, was Sie heute haben: ein Smartphone in der Hand oder einen Kartenschlüssel. In Kombination mit Ihrem Wissen wurde die Sicherheit für die Benutzer dadurch verbessert. Aber die Sicherheit war nach wie vor nicht ausreichend. Cyberkriminelle konnten sich die Geräte der Benutzer weiterhin zu eigen machen oder sie fälschen. Was Sie selbst ausmacht, dargestellt durch biometrische Daten, ist die nächste Stufe der Authentifizierung. Und tatsächlich ist es wesentlich schwerer, beispielsweise die Stimme, den Fingerabdruck oder die Iris einer Person zu fälschen. Darüber hinaus ist die biometrische Authentifizierung für Benutzer häufig einfacher: Sie haben sich selbst ja überall mit dabei. Einen Finger auf ein Keypad zu legen oder in einen Iris-Scanner zu blicken, ist nicht schwer. Einige Systeme, wie z. B. die Gesichtserkennung, können die Authentifizierung auch durchführen, ohne dass der Benutzer bewusst eine Geste macht. Sie gehen beispielsweise einfach in einen Raum oder sitzen vor Ihrem Computer und werden per Gesichtserkennung authentifiziert. Das Beste daran ist jedoch, dass Benutzer ihre Finger oder Augen nicht vergessen können wie Passwörter oder physische Schlüssel. Wenn Sie die biometrische Authentifizierung einsetzen, laufen keine Tickets für die Rücksetzung von Passwörtern in Ihrem Helpdesk auf. ### Die schlechte Seite bei der Nutzung biometrischer Daten zur Authentifizierung Was aber ist die Kehrseite? Generell sind biometrische Daten zwar sicherer, aber nicht fehlerfrei. Beispielsweise nutzen Smartphone-Fingerabdruckscanner häufig Teilübereinstimmungen. Forscher haben herausgefunden, dass es möglich ist, Masterprints zu erstellen, die ausreichend Teilübereinstimmungen aufweisen, um Zugriff auf eine große Anzahl von Benutzerkonten zu bieten. Zudem haben Forscher bewiesen, dass gefälschte Fingerabdrücke aus hochwertigen, zurückgelassenen Abdrücken erzeugt werden können. Andere wiederum haben Wege gefunden, Iris-Scanner oder Gesichtserkennungssysteme mithilfe von Fotos oder 3D-Drucken zu täuschen. Manchmal ist das Problem, dass das System in einem solchen Ausmaß gehackt werden kann, dass es zu häufig gültige Benutzer nicht erkennt: Jemand trägt beispielsweise ein anderes Makeup oder eine neue Brille oder die Stimme eines Benutzers, der krank oder gerade erst aufgewacht ist. Es ist also keine Überraschung, dass qualitativ hochwertige Biometrielösungen mehr kosten. Tatsächlich nennen 67 Prozent der IT-Experten die Kosten als Hauptgrund dafür, dass sie die biometrische Authentifizierung nicht einsetzen. Es gibt auch versteckte Kosten: 47 % der Befragten gaben an, dass ein Upgrade der Systeme erforderlich ist, um den Wechsel zur Biometrie zu ermöglichen. Daher konzentrieren sich viele Unternehmen, die die Einführung der Biometrie in Betracht ziehen, darauf, sie nur als eine Komponente der [Multifaktorauthentifizierung](/learn/what-is-mfa) (MFA) zu verwenden. MFA kann einen biometrischen Faktor und einen nicht biometrischen Faktor erfordern. Wenn ein Authentifizierungsfaktor gehackt wird, ist das Benutzerkonto immer noch durch den anderen Faktor geschützt. Und mit Tools wie der risikobasierten Authentifizierung kann die MFA an die Anforderungen der Benutzer angepasst werden, wenn die Wahrscheinlichkeit von Cybercrime hoch ist, und die Zugangsbarrieren verringern, wenn sie gering ist. ### Die unschöne Seite der Biometrie Wenn Sie die Entwicklung bei der Biometrie verfolgt haben, sind Sie sich wahrscheinlich der ethischen Bedenken bewusst, die viele Formen der Biometrie betreffen. Bei einer davon geht es um Verzerrungen. Gesichtserkennungssysteme erkennen POC- oder Nicht-Cisgender-Personen möglicherweise nicht korrekt. Und Lernsysteme für die Biometrie basieren allzu oft in erster Linie auf Fotos von weißen oder männlichen weißen Personen, wodurch eine deutliche Verzerrung entsteht, die zu Schwierigkeiten bei der Erkennung von Menschen in der breiteren Bevölkerung führt. Darüber hinaus gibt es Befürchtungen, wie biometrische Daten verwendet werden könnten. Wer hat Zugang zu den Bildern, die für die Gesichtserkennung, Fingerabdrücke oder Sprachmuster verwendet werden? Ist es zulässig, dass Unternehmen ihre biometrischen Daten an andere verkaufen oder weitergeben, wie beispielsweise an Strafverfolgungs- oder Einwanderungsbehörden oder repressive ausländische Regierungen? Für Unternehmen stellt das Speicherproblem eine weitere unschöne Seite biometrischer Daten dar. Wo biometrische Daten gespeichert werden, müssen sie sicher gespeichert werden. Werden diese Daten gehackt, gibt es kein Zurück mehr – eine Person kann ihren Fingerabdruck oder ihre Iris nicht ändern. Wenn Sie Ihre biometrischen Daten verlieren, sind Sie also für den Rest Ihres Lebens dauerhaft dem Risiko ausgesetzt, gehackt zu werden. Unternehmen, die die biometrischen Daten ihrer Mitarbeiter oder Kunden speichern, haben eine große finanzielle und ethische Verantwortung. Dies ist ein Grund, die Speicherung auf einem Gerät in Erwägung zu ziehen: Dabei werden die biometrischen Daten auf dem Gerät gespeichert, das den Benutzer authentifiziert, wie z. B. dem Smartphone oder dem Computer des Benutzers. Dadurch erhält der Benutzer die Kontrolle über die Daten und der Speicherort wird auf ein lokales Gerät beschränkt. So verringert sich die Wahrscheinlichkeit, dass ein Cyberkrimineller durch einen einzigen Verstoß Zugang zu großen Mengen biometrischer Daten erhält. Die Debatte um die Biometrie hat viele Seiten, aber eines ist sicher: Die Technologie ist nicht mehr wegzudenken. Trotz der schlechten und unschönen Seiten der Biometrie überwiegt die gute Seite, und zwar in dem Maße, dass Unternehmen vermutlich weiterhin biometrische Daten für die Authentifizierung einsetzen werden.

Mehr erfahren

Was versteht man unter Identity and Access Management (IAM)?

Identity and Access Management (IAM) bezieht sich auf die in IT-Abteilungen verwendeten Richtlinien und Tools, mit denen sichergestellt wird, dass Personen und Abteilungen mit den entsprechenden Zugriffsrechten auf Unternehmensressourcen ausgestattet werden. Bei IAM-Systemen handelt es sich um Technologielösungen zur sicheren Verwaltung digitaler Identitäten und deren Zugriff auf verschiedene Anwendungen und Systeme. In IAM-Systemen werden Personen und andere Arten von Identitäten verwaltet, wie z. B. Software (Apps oder Programme) und Hardware (IoT-Geräte). IAM-Systeme erfüllen zwei Hauptaufgaben: - **Authentifizierung** Mittels Authentifizierung wird sichergestellt, dass die Entität diejenige ist, die sie vorgibt zu sein. Wenn Sie auf einer Website einen Benutzernamen und ein Passwort eingeben, werden Sie von der Website authentifiziert, indem in der zugehörigen Datenbank nach Ihrem Benutzernamen und Passwort gesucht wird. Diese Form der Authentifizierung ist im Hinblick auf Sicherheitsaspekte nicht mit modernen Authentifizierungsmethoden vergleichbar. - **Autorisierung** Die Entität wird für die jeweilige Ebene des Zugriffs auf Ressourcen autorisiert. Unter Autorisierung versteht man die Überprüfung der Zugriffsrechte des authentifizierten Benutzers auf technische Ressourcen, wobei ausschließlich diese Zugriffsrechte gewährt werden. Wenn Sie sich beispielsweise als Editor an einem Content Management System anmelden, dürfen Sie Änderungen am Inhalt vornehmen. Sie sind aber nicht berechtigt, Benutzerkonten zu ändern oder neue Benutzer hinzuzufügen. IAM-Systeme stellen ein wichtiges Element der Cybersicherheit dar und sind so konzipiert, dass sie sicheren Zugriff auf die Unternehmensressourcen bereitstellen. ### Schlüsselfunktionen in IAM-Systemen IAM-Systeme bieten die folgenden zentralen Funktionen: Aufgabe Tools Verwalten von Benutzeridentitäten In IAM-Systemen werden Benutzeridentitäten verwaltet. IAM ist unter Umständen das einzige Verzeichnis, das zum Erstellen, Bearbeiten und Löschen von Benutzern (z. B. Mitarbeitern) verwendet wird. IAM kann aber auch mit einem oder mehreren Verzeichnissen, wie z. B. Microsoft Active Directory, integriert und synchronisiert werden. Aufnahme/Aufheben von Benutzern Nach dem Anlegen eines Benutzer in das System muss er von der IT bereitgestellt werden. Während dieses Prozesses werden die Apps, Ressourcen usw. festgelegt, auf die der Benutzer zugreifen kann, sowie die Zugriffsebene (Administrator, Editor, Viewer usw.) des Benutzers für die jeweiligen Elemente. Aufgrund der zeitaufwändigen Erteilung einzelner Zugriffsrechte für einzelne Ressourcen, ermöglichen IAM-Systeme die Bereitstellung in der Regel mithilfe von Richtlinien, die auf Grundlage der rollenbasierten Zugriffssteuerung festgelegt werden. Benutzern werden eine oder mehrere Rollen zugewiesen, die in der Regel auf dem jeweiligen Aufgabengebiet basieren. Die Benutzer erhalten dann automatisch Zugriff gemäß der Definitionen für die jeweilige Rolle. Genau wie die Bereitstellung von Benutzern kann auch die Aufhebung der Bereitstellung in allen Apps und Systemen, auf die die Benutzer zugreifen können, sehr zeitintensiv sein. In IAM-Systemen wird dieser Prozess automatisiert, da ehemalige Mitarbeiter, die weiterhin zugriffsberechtigt sind, ein erhebliches Sicherheitsrisiko darstellen. Authentifizieren von Benutzern IAM-Systeme authentifizieren einen Benutzer, wenn dieser Zugriff anfordert. Heutzutage versteht man unter sicherer Authentifizierung Multifaktorauthentifizierung und vorzugsweise adaptive Authentifizierung. Autorisieren von Benutzern Nach der Authentifizierung des Benutzers autorisiert das IAM-System den Benutzer bei Bedarf für den Zugriff auf bestimmte Apps und Ressourcen entsprechend der Bereitstellung des Benutzers. Reporting In IAM-Systemen werden Reports bereitgestellt, mit deren Hilfe Unternehmen die Einhaltung von Vorschriften belegen, mögliche Sicherheitsrisiken erkennen und ihre IAM- und Sicherheitsprozesse verbessern können. Single Sign-On Single Sign-On ist nicht in allen IAM-Systemen enthalten, stellt aber einen Bestandteil der besten IAM-Systeme dar. SSO erweitert die Sicherheit und steigert die Produktivität der Benutzer, da sie schneller und einfacher auf die benötigten Ressourcen zugreifen können, ohne sich jedes Mal erneut anmelden oder sich viele verschiedene Passwörter merken zu müssen. Cloud- und lokale Systeme Es gibt cloudbasierte (häufig als IDaaS bezeichnet) oder lokale IAM-Systeme. Die ersten IAM-Systeme waren lokale Systeme, d. h., sie waren physisch innerhalb der Firewall des Unternehmen platziert und wurden vom Unternehmen verwaltet. Derzeit wechseln immer mehr Unternehmen zu IAM-Systemen in der Cloud. Laut McKinsey gehen nur 38 Prozent der befragten Unternehmen davon aus, in drei Jahren noch lokale IAM-Systeme zu verwenden.1 In drei Jahren vertrauen 60 Prozent auf IAM-Dienste von Drittanbietern, die mehrere Public-Cloud-Umgebungen unterstützen und den Zugriff auf lokale und Public-Cloud-Ressourcen vereinheitlichen. Der Wechsel zu IAM-Systemen in der Cloud spart Kosten und erhöht die Zuverlässigkeit. Die Verwendung eines IAM-Cloud-Systems eines Drittanbieters bedeutet Einsparungen bei der Infrastruktur und der Verwaltung. Darüber hinaus verringert sich das Risiko von Ausfallzeiten, da Cloud-Anbieter verteilte und redundante System mit hohen Betriebszeiten und kurzen SLAs bereitstellen. 1. https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Creating%20value%20with%20the%20cloud%20compendium/Creating-value-with-the-cloud.ashx

Mehr erfahren

Was versteht man unter Cybersicherheit und warum benötigen wir sie?

Cybersicherheit ist das Verfahren, mit dem technische Anlagen und Daten vor bösartigen Angriffen geschützt werden. Dies umfasst den Schutz von Computern, Servern, Mobilgeräten, elektronischen Systemen, Netzwerken und Unternehmensdaten. Cybersicherheit umfasst Folgendes: - **Netzwerksicherheit** Schützen eines Computernetzwerks vor Eindringlingen. - **Anwendungssicherheit** Software und Geräte bedrohungsfrei halten. Wichtig, da diese Zugang zu Unternehmensdaten bieten können. - **Informationssicherheit** Schützen von Daten im Speicher und bei der Übertragung. - **Betriebliche Sicherheit** Sicherstellen, dass Benutzer über die entsprechenden Berechtigungen beim Zugriff auf ein Netzwerk verfügen und dass Daten sicher gespeichert und freigegeben werden. - **Notfallwiederherstellung und Geschäftskontinuität** Planung für eine angemessene Reaktion auf Sicherheitsvorfälle, Datenverluste oder Ausfälle sowie Wiederherstellung in diesen Fällen. Geschäftskontinuität ist der Plan, den das Unternehmen zur Fortführung des Betriebs anwendet, wenn es um einen Vorfall geht. ### Was versteht man unter einem Cyberangriff? Ein Cyberangriff ist der Versuch, Daten in einem Computersystem oder einem Netzwerk zu stehlen, zu verändern, freizulegen, zu deaktivieren, zu zerstören oder einfach unberechtigten Zugriff zu erhalten. Einige gängige Arten von Angriffen: **Distributed Denial of Service (DDOS)** Angreifer überschwemmen die Zielressource (z. B. eine Website oder ein Netzwerk) mit unnötigen Anfragen und versuchen dadurch die Server zu überlasten, um zu verhindern, dass einige oder alle rechtmäßigen Anfragen bearbeitet werden. Die Angreifer können beispielsweise viele verschiedene IP-Adressen verwenden, um Hunderte oder Tausende von Kontaktanfragen an eine Website zu senden, wodurch die Website überflutet wird und schließlich ausfällt. **Phishing** Angreifer erhalten mehrere Telefonnummern/E-Mail-Adressen, an die sie eine überzeugende Nachricht senden, in der Hoffnung, die Benutzer dazu zu bringen, auf einen Link zu klicken, der zu einer gefälschten Website führt, auf der sie ihren Benutzernamen und ihr Passwort eingeben. Die Angreifer können sich dann darüber anmelden, Daten erfassen, Geld stehlen usw. **Spear Phishing** Angreifer senden sorgfältig verfasste und ausgesprochen glaubhafte Nachrichten an kleinere Personengruppen. Die Nachrichten sind speziell für diesen Personenkreis von Bedeutung und enthalten häufig persönliche Informationen, die die Angreifer erlangt haben (z. B. den Namen eines Kollegen oder eine Veranstaltung, an der die Personen kürzlich teilgenommen haben). Die Nachricht fungiert dann als regulärer Phishing-Angriff. **Keylogger** Angreifern gelingt es, ein Programm auf dem Computer eines Benutzers zu installieren, das Tastenanschläge einschließlich der Benutzernamen und Passwörter für bestimmte Sites, Apps usw. erfasst. **Credential Stuffing** Angreifer verwenden gestohlene Paare aus Benutzername und Passwort und versuchen, sie auf vielen verschiedenen Websites oder Apps einzusetzen, in der Hoffnung, dass Benutzer die gleichen Anmeldedaten für verschiedene Websites nutzen. (Dies funktioniert, da Benutzer häufig die gleichen Anmeldedaten für verschiedene Websites verwenden.) **Brute-Force- und Reverse-Brute-Force-Angriffe** Angreifer generieren Kombinationen aus Benutzername und Passwort basierend auf typischen Mustern, die von Personen verwendet werden, und versuchen dann programmatisch, sie auf/in vielen Websites/Apps zu verwenden, um Zugang zu erhalten. **Man-in-the-Middle-Angriffe (MITM)** Angreifer fügen ein Programm zwischen dem Benutzer und einer App oder Website ein. Zum Beispiel kann das Programm wie ein öffentliches WLAN-Login aussehen. Das Programm erfasst dann die Anmeldedaten des Benutzers oder stiehlt die Sitzung des Benutzers, sodass es Aktionen ausführen kann, die dem Benutzer verborgen bleiben. ### Was versteht man unter einem Sicherheitsvorfall und einem Sicherheitsverstoß? Ein Sicherheitsvorfall ist ein Ereignis, dass gegen die Sicherheitsrichtlinien oder -verfahren eines Unternehmens verstößt. Im Data Breach Investigations Report 2016 von Verizon ist ein Vorfall definiert als ein „Sicherheitsereignis, das die Integrität, Vertraulichkeit oder Verfügbarkeit eines Informationsbestands gefährdet“. Ein Sicherheitsverstoß ist ein Vorfall, der gesetzlichen Definitionen auf Landes- oder Bundesebene entspricht, sodass er als Datenschutzverletzung gilt. Bei vielen staatlichen, bundesstaatlichen und Compliance-Vorschriften sind bestimmte Benachrichtigungen im Falle eines Datenverstoßes erforderlich, z. B. die Benachrichtigung betroffener Personen oder Aufsichtsbehörden. ### Wie kann Cybersicherheit umgesetzt werden? Für die Cybersicherheit gibt es keine Wunderwaffe. Wenn Sie sich jedoch proaktiv und aufmerksam verhalten, erhöht dies die Chancen, einen Sicherheitsvorfall zu verhindern oder abzumildern. Für den Schutz Ihres Unternehmens oder Ihrer Organisation vor Cyberangriffen sind koordinierte Aktivitäten an mehreren Fronten erforderlich. Die Cybersicherheit befindet sich in der Regel im „Besitz“ der IT-Abteilung, aber jeder Mitarbeiter, Anbieter, Lieferant und jede Person, die Zugang zu Unternehmensressourcen hat, spielt eine Rolle. Für die Verteidigung des Unternehmens sind Bemühungen an mindestens drei Fronten erforderlich: - **Technologie** Die richtigen technischen Sicherheitswerkzeuge sind natürlich von wesentlicher Bedeutung. Technische Lösungen sollten umgesetzt werden, um lokale Netzwerke und Systeme, Cloud-Systeme und Apps, alle Endpoints zu schützen, d. h. Geräte, IoT (Internet of Things, Internet der Dinge), Router sowie alle übrigen Einstiegspunkte in Ihre Netzwerke und Systeme. Bei einem Privileged Access Management-System und einem Identity Access Management-System handelt es sich um kritische Technologien. - **Prozesse** Nur wenn Sie sich die Zeit genommen haben, Prozesse zur Unterstützung der Cybersicherheit zu definieren und einzuführen, können Sie gewissenhaft und erfolgreich auf potenzielle oder tatsächliche Cybersicherheitsereignisse reagieren. Diese Prozesse müssen regelmäßig überprüft und aktualisiert werden. - **Menschen** Wenn die Menschen in Ihrem Geschäftsumfeld nicht die erforderlichen Prozesse und Technologien umsetzen, werden Sie nicht erfolgreich sein. Darüber hinaus sind Menschen das häufigste Ziel der gängigsten Typen von Cyberangriffen. Daher ist es zum Schutz Ihres Unternehmens unerlässlich, alle Mitarbeiter, die mit Ihrem Unternehmen zusammenarbeiten, zu schulen und sicherzustellen, dass sie die Best Practices, z. B. im Bereich der Passwortsicherheit, befolgen. Diese Cybersicherheitstools müssen gemäß dem NIST Framework auf eine Reihe von Funktionen angewendet werden: - **Identifizierung** potenzieller Cybersicherheitsrisiken und Schwachpunkte im Unternehmen. - **Schutz** vor Angriffen mithilfe der in der Identifizierungsphase ermittelten Informationen. - **Erkennung** von Angriffen oder potenziellen Angriffen in Echtzeit. - **Reaktion** auf Angriffe. - **Wiederherstellung** nach den Auswirkungen eines Ereignisses.

Mehr erfahren

Was ist Identity Governance & Administration?

IGA, kurz für Identity Governance and Administration, ist neben IAM, PAM und UAM ein weiteres wichtiges Akronym in der IT-Sicherheitsbranche. Der Begriff gewinnt seit 2013 zunehmend an Bedeutung. Damals führte Gartner zwei seiner Magic Quadrants – nämlich für Identity Governance und für Identity Administration – in einem einzigen Quadranten zusammen, der die Bezeichnung Identity Governance and Administration erhielt. IGA-Systeme vereinen die Identity Administration, also die Verwaltung von Benutzerkonten und Zugangsdaten und die Bereitstellung und Verwaltung von Berechtigungen, mit der Identity Governance, also der Trennung von Aufgaben, Rollenverwaltung, Protokollierung sowie Analyse und Berichterstellung. Im Vergleich zu standardmäßigen IAM-Systemen (Identity and Access Management) bieten IGA-Systeme zusätzliche Funktionalität. Insbesondere unterstützen sie Unternehmen bei der Einhaltung von Compliance-Anforderungen und beim Protokollieren sämtlicher Zugriffsversuche für Prüfberichte. Außerdem automatisieren sie Abläufe für wiederkehrende Aufgaben wie die Zugriffsfreigabe sowie Provisioning/De-Provisioning. ### Elemente von IGA-Systemen IGA-Tools erleichtern das Lebenszyklusmanagement von Benutzeridentitäten. Für die Identitätsverwaltung umfassen IGA-Systeme in der Regel die folgenden Elemente: - **Passwortverwaltung:** Damit Benutzer sich nicht unzählige verschiedene Passwörter für die Anwendungen Ihres Unternehmens merken müssen, bieten IGA-Systeme Tools wie Passworttresore und vor allem Single Sign-On (SSO). - **Konnektoren zur Integration:** Diese Konnektoren ermöglichen die Integration mit Verzeichnissen und anderen Systemen, die Informationen zu Benutzern, zu den für sie freigegebenen Anwendungen und zu ihren Berechtigungen in jenen Anwendungen enthalten. - **Verwaltung von Zugriffsanfragen:** Durch klar definierte Workflows können Benutzer einfacher den Zugriff auf Anwendungen und Systeme beantragen und erhalten. - **Provisioning:** Sowohl auf Benutzer- als auch auf Anwendungsebene sind Provisioning und De-Provisioning automatisiert. - **Verwaltung von Berechtigungen:** Es kann genau spezifiziert und verifiziert werden, was Benutzer in den jeweiligen Anwendungen tun dürfen (z. B. Hinzufügen, Bearbeiten, Anzeigen oder Löschen von Daten). Für die Identitätskontrolle umfassen IGA-Systeme in der Regel die folgenden Elemente: - **Pflichtentrennung:** Durch definierbare Regeln wird verhindert, dass einzelne Personen eine zu riskante Kombination von Zugriffsberechtigungen erhalten. Beispielsweise könnte sonst ein Benutzer mit gleichzeitiger Berechtigung zur Einsicht von Unternehmenskonten und zur Überweisung von Geldern an externe Konten sehr leicht Geld auf sein eigenes Privatkonto überweisen. - **Zugriffsüberprüfung:** Diese Tools ermöglichen die effiziente Überprüfung und Freigabe (oder Aufhebung) von Zugriffsrechten für Benutzer auf diverse Anwendungen und Ressourcen. Einige IGA-Tools bieten auch Discovery-Funktionen, mit denen sich gewährte Berechtigungen identifizieren und überblicken lassen. - **Rollenbasiertes Management:** Der Zugriff wird mithilfe von Benutzerrollen definiert und kontrolliert. - **Analyse und Berichterstellung:** Diese Tools protokollieren alle Aktivitäten, erzeugen Berichte (auch zwecks Compliance) und bieten Analysen zu potenziellen Problemen und Optimierungen.

Mehr erfahren

Was versteht man unter Privileged Access Management?

Privileged Access Management (PAM) bezieht sich auf Systeme, die die Konten von Benutzern sicher verwalten, die über erhöhte Berechtigungen für kritische Unternehmensressourcen verfügen. Dies können menschliche Administratoren, Geräte, Anwendungen und andere Arten von Benutzern sein. Privilegierte Benutzerkonten sind Ziele von hohem Wert für Cyberkriminelle. Der Grund dafür ist, dass sie über erhöhte Berechtigungen in Systemen verfügen, die es ihnen ermöglichen, auf streng vertrauliche Informationen zuzugreifen und/oder Änderungen auf Administratorebene an unternehmenskritischen Anwendungen und Systemen durchzuführen. Im vergangenen Jahr waren an 44 Prozent der Datenschutzverletzungen privilegierte Identitäten beteiligt.1 Privileged Access Management wird manchmal auch als Privileged Account Management oder Privileged Session Management (PSM) bezeichnet. Die privilegierte Session-Verwaltung (Privileged Session Management) ist tatsächlich eine Komponente eines guten PAM-Systems. ### Warum ist PAM wichtig? Privilegierte Konten gibt es überall. Es gibt viele Arten von privilegierten Konten und sie können lokal und in der Cloud vorhanden sein. Sie unterscheiden sich dahingehend von anderen Konten, dass sie über erhöhte Berechtigungsebenen verfügen, beispielsweise die Möglichkeit, Einstellungen für große Benutzergruppen zu ändern. Häufig haben auch mehrere Personen Zugriff auf ein bestimmtes privilegiertes Konto, wenigstens auf temporärer Basis. Beispielsweise ist das Stammkonto auf einem Linux-Computer eine Form des privilegierten Kontos. Ein Kontobesitzer für Amazon Web Services (AWS) ist eine andere Form des privilegierten Kontos. Ein Unternehmenskonto für das offizielle Twitter-Unternehmensprofil ist noch eine weitere Form. Privilegierte Konten stellen ein ernsthaftes Risiko dar. Cyberkriminelle sind stärker daran interessiert, Anmeldeinformationen für privilegierte Konten zu stehlen als für jede andere Art von Konto. Sie stellen somit eine Herausforderung für IT-Abteilungen dar. Üblicherweise wird der Zugriff auf diese Konten nicht gut organisiert, trotz des hohen Risikos großer Schäden, wenn solche Konten kompromittiert werden. Zu den häufigen Problemen zählen viele Personen, die dasselbe Konto ohne klaren Verlauf bzw. eindeutige Verantwortlichkeit nutzen und statische Passwörter, die nie geändert werden. PAM-Lösungen zielen darauf ab, diese Risiken zu beherrschen. ### Wie funktionieren Systeme mit privilegierter Zugangsverwaltung? Ein PAM-Administrator definiert im PAM-Portal Methoden für den Zugriff auf privilegierte Konten über verschiedene Anwendungen und Unternehmensressourcen hinweg. Die Anmeldeinformationen von privilegierten Konten (z. B. deren Passwörter) werden in einem speziellen und äußerst sicheren Passworttresor gespeichert. Der PAM-Administrator verwendet das PAM-Portal auch, um Richtlinien dafür zu definieren, wer unter welchen Umständen Zugriff auf diese privilegierten Konten erhalten kann. Privilegierte Benutzer melden sich über PAM an und beantragen oder erhalten sofort Zugriff auf das privilegierte Benutzerkonto. Dieser Zugriff wird protokolliert und bleibt temporär exklusiv für die Ausführung bestimmter Aufgaben. Aus Sicherheitsgründen werden PAM-Benutzer üblicherweise aufgefordert, eine geschäftliche Rechtfertigung für die Nutzung des Kontos anzugeben. Manchmal ist außerdem die Genehmigung durch einen Manager erforderlich. Häufig wird Benutzern kein Zugriff auf die eigentlichen Passwörter für die Anmeldung bei den Anwendungen gewährt, sondern der Zugriff erfolgt über PAM. Außerdem stellt PAM sicher, dass Passwörter häufig, oft automatisch, entweder in regelmäßigen Abständen oder nach jeder Nutzung geändert werden. Der PAM-Administrator kann bei Bedarf Benutzeraktivitäten über das PAM-Portal überwachen und Livesitzungen in Echtzeit verwalten. Moderne PAM-Lösungen setzen zudem maschinelles Lernen ein, um Anomalien zu identifizieren, und nutzen die Risikobewertung, um den PAM-Administrator in Echtzeit über riskante Vorgänge zu informieren. ### Welche Vorteile bietet eine PAM-Lösung? Größere Sicherheit ist der offensichtliche Vorteil, den die Implementierung eines PAM-Systems bietet. Dies ist jedoch nicht der einzige Vorteil. PAM bietet Folgendes: **Schutz vor Cyberkriminellen** Privilegierte Benutzer, z. B. Administratoren, stehen vor den gleichen Herausforderungen wie andere Benutzer, wenn es darum geht, sich mehrere Passwörter zu merken. Außerdem tendieren sie ebenfalls dazu, das gleiche Passwort für mehrere Konten zu verwenden. Diese Benutzer sind aber auch eher das Ziel von Cyberkriminellen. Ein PAM-System kann die Notwendigkeit für Administratoren verringern, sich viele Passwörter zu merken, und verhindern, dass privilegierte Benutzer lokale/direkte Systempasswörter erstellen. Sitzungsverwaltung und Alarme helfen dem Superadministrator potenzielle Angriffe in Echtzeit zu identifizieren. **Schutz vor inneren Angriffen** Leider kommt eine große Anzahl von Angriffen von sogenannten Bad Actors innerhalb des Unternehmens. Oder von Mitarbeitern, die das Unternehmen zwar verlassen haben, aber nicht vollständig deaktiviert wurden, um zu verhindern, dass sie nach dem Ausscheiden noch Zugriff erhalten. **Größere Produktivität** Ein PAM-System ist ein Segen für privilegierte Benutzer. Es ermöglicht ihnen, sich schneller bei den benötigten Systemen anzumelden. Zudem ist es nicht mehr erforderlich, sich viele Passwörter zu merken. Darüber hinaus bietet es dem Superuser die Möglichkeit, ganz einfach den privilegierten Benutzerzugriff von einem zentralen Ort aus zu verwalten, anstatt eine Vielzahl verschiedener Systeme und Anwendungen zu nutzen. **Gewährleistung der Compliance** Viele Vorschriften erfordern eine detaillierte und spezifische Verwaltung des privilegierten Benutzerzugriffs und die Möglichkeit, den Zugriff zu überprüfen. Sie können den Zugriff auf sensible Systeme beschränken, zusätzliche Genehmigungen anfordern oder die Multifaktorauthentifizierung für privilegierte Konten verwenden. Die Auditing-Tools in PAM-Systemen zeichnen Aktivitäten auf und ermöglichen es Ihnen, einen klaren Prüfpfad bereitzustellen. PAM unterstützt Unternehmenen bei der [Einhaltung](https://www.onelogin.com/blog/categories/security-and-compliance) von Vorschriften wie SOX, HIPAA, PCI DSS, GLBA, ISO 27002, ICS CERT, FDCC, FISMA. ### Inwiefern unterscheidet sich PAM vom Identity Access Management (IAM)? Die privilegierte Zugriffsverwaltung (Privileged Access Management, PAM) wird häufig mit Identity Access Management (IAM) verwechselt. IAM konzentriert sich auf die Authentifizierung und Autorisierung **aller** Arten von Benutzern für ein Unternehmen, häufig einschließlich Mitarbeitern, Anbietern, Vertragspartner, Partnern und sogar Kunden. IAM verwaltet den allgemeinen Zugriff auf Anwendungen und Ressourcen (lokal und in der Cloud) und wird häufig mit Verzeichnissystemen wie Microsoft Active Directory vernetzt. PAM konzentriert sich auf **privilegierte Benutzer**, Administratoren oder Personen mit erhöhten Berechtigungen im Unternehmen. PAM-Systeme sind insbesondere für die Verwaltung und Sicherung des Zugriffs dieser Benutzer auf wichtige Ressourcen konzipiert. Unternehmen benötigen beide Tools, um sich vor Angriffen zu schützen. IAM-Systeme decken die größere Angriffsfläche ab, die viele Benutzer im Ökosystem des Unternehmens bieten. Der Fokus von PAM liegt auf privilegierten Benutzern – PAM ist jedoch wichtig, da es zwar eine kleinere Angriffsfläche abdeckt, jedoch eine hochwertige Oberfläche bietet und zusätzliche Kontrollen erfordert, die normalerweise nicht relevant oder für reguläre Benutzer nicht geeignet sind (z. B. Sitzungsaufzeichnung). ### Wie kann PAM mittels IAM verbessert werden? Die Vernetzung Ihrer PAM-Lösung mit Ihrer IAM-Lösung bietet zahlreiche Vorteile. Viele Kunden entscheiden sich für diese Vernetzung, weil dadurch Sicherheitsrisiken verringert werden, sie von Prüfern und Compliance-Vorschriften verlangt wird und das Benutzererlebnis verbessert wird. IAM bietet Ihnen folgende Möglichkeiten: - Hinzufügen der Multifaktorauthentifizierung (MFA) und der adaptiven Authentifizierung für Ihren PAM-Zugriff. Dies kann dazu beitragen, Compliance-Anforderungen wie PCI DSS Anforderung 8.3 zu erfüllen. Viele Vorschriften wie PCI DSS erfordern sicheren Administratorzugriff mit Tools wie MFA. - Sicherstellen, dass der privilegierte Zugriff automatisch beendet wird, wenn ein Mitarbeiter das Unternehmen verlässt. Auch dies ist oft eine Compliance-Anforderung, z. B. für PCI DSS. Nicht alle PAM-Tools gewährleisten dies und zu häufig deaktivieren IT-Abteilungen ehemalige Mitarbeiter nicht schnell genug. Wenn solche Mitarbeiter Zugriff auf privilegierte Konten haben, kann dies zu einer Katastrophe führen. - Sicherstellen, dass Administratoren ab dem ersten Tag produktiv sind. Indem Sie Ihr IAM mit PAM nutzen, können Sie Administratoren automatisch im PAM-System bereitstellen und ihnen bereits an ihrem ersten Tag den entsprechenden Zugriff gewähren. - Bereitstellen einer einzigen Benutzeroberfläche. Indem Sie Ihr IAM-System als Schnittstelle zum PAM-System nutzen, verbessern Sie das Benutzererlebnis für privilegierte Benutzer, da sie von der gleichen Stelle aus auf das PAM-System zugreifen wie auf andere Unternehmensressourcen. Zusammenfassend lässt sich sagen, dass PAM eine entscheidende Rolle bei der Sicherung der Ressourcen und Daten Ihres Unternehmens spielt. Die besten Identity-Management-Lösungen beinhalten die koordinierte Nutzung eines IAM- und eines PAM-Systems, um Sicherheit und Benutzerfreundlichkeit zu gewährleisten. 1. https://www.globalbankingandfinance.com/44-of-data-breaches-in-the-last-year-involved-privileged-identity-according-to-global-balabit-research-report/

Mehr erfahren

SSO-Checkliste

Es ist von wesentlicher Bedeutung, dass Ihre SSO-Lösung die grundlegenden Anforderungen zur Unterstützung von Mitarbeitern und der IT erfüllt. Dies bedeutet eine sichere Lösung, die hohe Benutzerfreundlichkeit bietet. Bedenken Sie jedoch, dass SSO nur ein Teil Ihrer Identity und Access Management-Lösung ist. Die digitale Transformation basiert heutzutage auf einer Unified Access Management-Plattform (UAM), die sowohl SSO als auch andere Tools wie MFA und Verzeichnisintegration umfasst. Stellen Sie anhand der folgenden Checkliste sicher, dass Ihr SSO-System den Schutz bietet, den Ihr Unternehmen benötigt. #### Unterstützung der Benutzergemeinschaft Unterstützt die SSO-Lösung all Ihre Benutzergemeinschaften? Belegschaft (Mitarbeiter und Vertragspartner) Partner/Anbieter Kunden #### Kunden Unterstützt das SSO-System gängige Methoden der Authentifizierung, falls Ihre Kunden Zugang benötigen? Facebook Google #### True SSO Ermöglicht die SSO-Lösung echtes Single Sign-On im Vergleich zu Passworttresoren? Benutzer geben nur einen Benutzernamen und ein Passwort ein, um auf alle Apps/Sites zuzugreifen Benutzer müssen sich nur einmal pro Tag oder Sitzung anmelden, um Zugriff auf alle unternehmenseigenen Apps/Websites zu erhalten #### Anwendungsintegration Funktioniert die SSO-Lösung mit Ihren Cloud-Apps und lokalen Apps? SSO unterstützt all Ihre Cloud-Anwendungen SSO unterstützt all Ihre lokalen Anwendungen #### Unterstützung von offenen Standards Unterstützt die SSO-Lösung die gängigsten, weitverbreiteten Protokolle, die eine Vertrauensbeziehung ermöglichen? SAML OpenID Connect OAuth 2 WS-Federation #### Ruf in Sicherheitsfragen Erfüllt der Anbieter die gängigen, höchsten Sicherheitsstandards und setzt geeignete interne Prozesse um? SOC 2 Type 2 ISO 27017 ISO 27018 ISO 27001 Skyhigh Enterprise-Ready CSA Star TRUSTe US-Datenschutzschild GDPR EU-Mustervertragsklauseln Hält sich an das NIST Cybersecurity Framework Anbieter führt Penetrationstests durch Anbieter führt Netzwerkscans durch Anbieter hat ein Fehlerprämienprogramm #### Verfügbarkeit und Notfallwiederherstellung Zeigt der SSO-Dienst eine durchgängige und hohe Verfügbarkeit und bietet er die Möglichkeit einer schnellen Notfallwiederherstellung? Historische Verfügbarkeit von mehr als 99 % Aktuelle Verfügbarkeit (letzte 12 Monate) von mehr als 99 % Verwendet mehrere Rechenzentren in verschiedenen Regionen Nutzt Replikation und Redundanz über Regionen hinweg #### Hochverfügbarkeit Ist die SSO-Benutzeroberfläche so unkompliziert, dass Benutzer sie annehmen? Stellt ein einzelnes Portal mit Apps zur Verfügung Wird mit allen gängigen Browsern vernetzt Rationalisiert den Prozess des App-Zugriffs Rationalisiert den Anmeldeprozess Macht es einfach für Benutzer, ihre eigenen Passwörter zurückzusetzen #### Mobil einsatzbereit Bietet die SSO-Lösung umfassende Unterstützung für mobile Benutzer? Stellt SSO für mobile Geräte zur Verfügung (über eine native mobile App) Unterstützt eine Vielzahl von Geräten über SAML und Partnerschaften mit MDM-Anbietern Arbeitet mit Ihrem MFA-Tool (Multifaktorauthentifizierung) #### Flexible Passwortregeln Kann das SSO-System Passwortanforderungen in einer nützlichen und effektiven Weise durchsetzen? Ermöglicht es Ihnen, Fristen für den Ablauf von Passwörtern festzulegen Ermöglicht es Ihnen, die Passwortkomplexität festzulegen (Länge, Zeichen usw.) Stellt Ablaufbenachrichtigungen zur Verfügung (und hilft dadurch dabei, Supporttickets zu reduzieren) Erzwingt MFA-Anforderungen für das Zurücksetzen von Passwörtern bei Verwendung von MFA #### Unternehmenszugriff Wird die SSO-Lösung mit Ihrem Netzwerkzugriffspunkt vernetzt? Vernetzung mit VPN Vernetzung mit WLAN für App-Zugriff Stellt Endpoints für die Vernetzung mit RADIUS und LDAP zur Verfügung #### Verbund Ermöglicht Ihnen die SSO-Lösung die Nutzung der vorhandenen Corporate Identity Provider, die Sie bevorzugen? Microsoft Active Directory Amazon Active Directory LDAP Google Directory Human Resource Management Systems (HRMS) wie Workday oder SuccessFactors #### Authentifizierung Bietet die SSO-Lösung zusätzliche Sicherheit? Multifaktorauthentifizierung Adaptive Authentifizierung Automatisch durchgesetzte Authentifizierung für Ressourcen mit hohem Risiko X.509-basierte Zertifikate #### Entwicklersupport Stellt die SSO-Lösung APIs und Support zur Verfügung, sodass Sie Single Sign-On für Ihre benutzerdefinierten Anwendungen und Drittanbietersysteme aktivieren können? SSO-Registrierung und APIs für das Lebenszyklusmanagement SDK für wichtige Plattformen und Sprachen Unterstützt OpenID Connect #### Reporting Stellt die SSO-Lösung Reports zur Verfügung, die es Ihnen ermöglichen, die Compliance-Anforderungen zu erfüllen und Ihre Sicherheit auf der Grundlage von Bedrohungsdaten zu verbessern? Möglichkeit der Auslagerung von Autorisierungsereignissen an SIEM-Lösungen von Drittanbietern Sofort einsatzbereite Berichte und Prüfpfade ### Weitergehende Anforderungen Obwohl jede SSO-Lösung grundlegende Anforderungen erfüllen sollte, entscheiden sich Unternehmen, die eine erfolgreiche digitale Transformation durchführen, in der Regel für Lösungen, die weitergehende Anforderungen erfüllen. Eine erweiterte SSO-Lösung stellt von Anfang an sicher, dass Sie nicht hinter der Entwicklung hinterher hinken. #### Verhaltensanalyse Nutzt die SSO-Lösung die Verhaltensanalyse für eine intelligente Anpassung und Reaktion? Ermöglicht Blacklists und Whitelists von Geolocations und IPs. Ermöglicht es Ihnen, Reaktionen auf risikoreiche Anmeldeversuche festzulegen. Ermöglicht es Ihnen, bestimmte Anwendungen so einzustellen, dass eine erneute Authentifizierung erforderlich ist (z. B. über MFA). #### Autorisierung verwalten Kann die SSO-Lösung die Autorisierung über ihre Vernetzung mit Ihren Identitätsanbietern verwalten? Unterstützt den RBAC-Zugriff Unterstützt die Bereitstellung und die Aufhebung der Bereitstellung des Benutzerzugriffs in Apps #### Unkomplizierte Vernetzung und Integration Können Sie die SSO-Lösung mit Ihren benutzerdefinierten Apps vernetzen und in Ihr Unternehmen integrieren, ohne dass Sie vorhandene Lösungen ersetzen oder erheblich ändern müssen? Ermöglicht die Integration in Ihre benutzerdefinierten Apps über eine API Ermöglicht die Einbindung von SSO ohne die Notwendigkeit, andere Lösungen zu entfernen und zu ersetzen

Mehr erfahren

Funktionsweise von Single Sign-On

Wie funktioniert Single Sign-On? Was versteht man unter Single Sign-On? Single Sign-On (SSO) ist ein Authentifizierungsverfahren, bei dem sich Benutzer auf sichere Weise an mehreren Anwendungen und Websites anmelden können, dabei jedoch nur ein einziges Mal ihre Zugangsdaten eingeben müssen. Funktionsweise von SSO SSO basiert auf einem Vertrauensverhältnis zwischen einem Serviceanbieter (zum Beispiel eine Anwendung oder Website) und einem Identitätsdienst wie OneLogin. Grundlage für dieses Vertrauensverhältnis ist oftmals ein Zertifikat, das zwischen dem Serviceanbieter und dem Identitätsdienst ausgetauscht wird. Mithilfe dieses Zertifikats können die vom Identitätsdienst an den Serviceanbieter gesendeten Identitätsdaten signiert werden. So erkennt der Serviceanbieter, dass diese Daten aus einer vertrauenswürdigen Quelle stammen. Beim SSO-Verfahren liegen die Identitätsdaten in Form von sogenannten Token vor, die bestimmte Informationen zur eindeutigen Identifizierung eines Benutzers enthalten, zum Beispiel die E-Mail-Adresse oder den Benutzernamen. Der Anmeldevorgang läuft dann wie folgt ab: 1. Ein Benutzer öffnet die Anwendung oder Website, auf die er zugreifen möchte (also den Serviceanbieter). 2. Der Serviceanbieter sendet ein Token mit Informationen zur Identifizierung des Benutzers an das SSO-System (also an den Identitätsdienst) und fordert die Authentifizierung des Benutzers an. 3. Der Identitätsdienst überprüft zunächst, ob der Benutzer bereits authentifiziert wurde. Ist dies der Fall, wird dem Benutzer der Zugriff auf die Anwendung oder Website gewährt und mit Schritt 5 fortgefahren. 4. Ist die Authentifizierung des Benutzers noch nicht erfolgt, wird er vom Identitätsdienst zur Eingabe seiner Zugangsdaten aufgefordert. Bei diesen Zugangsdaten könnte es sich beispielsweise um eine Kombination aus Benutzername und Kennwort oder um eine andere Art der Authentifizierung wie ein Einmalkennwort (One-Time Password, OTP) handeln. 5. Sobald der Identitätsdienst die erhaltenen Zugangsdaten validiert hat, sendet er ein Token an den Serviceanbieter zurück, um die erfolgreiche Authentifizierung zu bestätigen. 6. Dieses Token wird über den Browser des Benutzers an den Serviceanbieter weitergegeben. 7. Der Serviceanbieter validiert nun das empfangene Token anhand des Zertifikats, das bei der erstmaligen Konfiguration zur Schaffung eines Vertrauensverhältnisses mit dem Identitätsdienst ausgetauscht wurde. 8. Dem Benutzer wird der Zugriff auf die gewünschte Anwendung oder Website gewährt. Möchte der Benutzer dann auf eine andere Website zugreifen, für die ebenfalls ein Vertrauensverhältnis mit dem SSO-System besteht, wird die obige Schrittfolge zur Authentifizierung einfach erneut durchlaufen. ### Was ist ein SSO-Token? Ein SSO-Token ist eine Sammlung von Daten oder Informationen, die beim SSO-Verfahren zur Authentifizierung von einem beteiligten System an ein anderes übermittelt wird. Bei diesen Daten handelt es sich beispielsweise schlicht um die E-Mail-Adresse eines Benutzers und Informationen zum System, von dem aus das Token gesendet wird. Token müssen digital signiert sein, damit der Token-Empfänger prüfen kann, ob das Token von einer vertrauenswürdigen Quelle stammt. Das für diese digitale Signatur genutzte Zertifikat wird während der erstmaligen SSO-Einrichtung zwischen den beteiligten Systemen ausgetauscht. ## Ist SSO sicher? Die Antwort auf diese Frage lautet: ja, zumindest bis zu einem gewissen Grad. Das SSO-Verfahren trägt auf verschiedene Weise zu mehr Sicherheit bei. Beispielsweise vereinfacht sich durch SSO die Verwaltung von Benutzernamen und Kennwörtern sowohl für Administratoren als auch für die Benutzer selbst, denn es müssen sich nicht mehr unterschiedliche Zugangsdaten für unterschiedliche Services gemerkt werden. Stattdessen muss sich jeder Benutzer nur ein einziges komplexeres Kennwort einprägen. So können Benutzer dank SSO oft deutlich schneller auf ihre gewünschten Anwendungen und Websites zugreifen. Auch der Helpdesk wird durch SSO entlastet, da weniger Anfragen von Benutzern eintreffen, die Hilfe mit verlorenen oder vergessenen Zugangsdaten benötigen. Administratoren können Sicherheitsmaßnahmen wie Anforderungen an die Kennwortkomplexität und die [Multi-Faktor-Authentifizierung (MFA)](https://www.onelogin.com/de/learn/what-is-mfa) zentral verwalten. Zudem können Administratoren Benutzern schneller sämtliche Zugriffsrechte entziehen, wenn sie aus dem Unternehmen oder der Organisation ausscheiden. Single Sign-On hat allerdings auch einige Nachteile. Angenommen, Sie möchten bestimmte wichtige Anwendungen besonders absichern. Dann ginge dies nur mit einer fortschrittlicheren SSO-Lösung, die es Ihnen zum Beispiel ermöglicht, bei Zugriffsversuchen auf solche Anwendungen einen zusätzlichen Authentifizierungsfaktor abzufragen oder den Zugriff nur über ein geschütztes Netzwerk zuzulassen. ## Wie wird SSO implementiert? Die spezifischen Implementierungsdetails hängen davon ab, für welche konkrete SSO-Lösung Sie sich entscheiden. In jedem Fall sollten Sie aber genau überlegen, welche Ziele Sie mit Ihrer SSO-Implementierung erreichen möchten. Beantworten Sie dazu folgende Fragen: * Wie unterscheiden sich die verschiedenen Benutzertypen in Ihrem Unternehmen oder Ihrer Organisation und was für Anforderungen haben sie? * Bevorzugen Sie eine Implementierung vor Ort oder in der Cloud? * Könnte sich die SSO-Lösung problemlos an künftiges Wachstum Ihres Unternehmens oder Ihrer Organisation und an sich ändernde Anforderungen anpassen? * Mithilfe welcher Funktionen soll sichergestellt werden, dass nur berechtigte Benutzer Zugriff auf Ihre Anwendungen erhalten? MFA, adaptive Authentifizierung, Geräteüberprüfung, Aufnehmen von IP-Adressen in der Positivliste usw.? * In welche Systeme muss die SSO-Lösung integriert werden? * Soll der API-Zugriff möglich sein? ## Wodurch zeichnet sich ein SSO-System aus? Wichtig ist in dieser Hinsicht zunächst die Unterscheidung zwischen SSO- und Kennwortverwaltungssystemen (auch bekannt als Passwortmanager oder Passworttresore). Letztere werden nämlich manchmal auch als SSO-Lösungen bezeichnet, wobei die Abkürzung aber für Same Sign-On statt Single Sign-On steht. Bei solchen Systemen könnte ein Benutzer zwar immer dieselbe Kombination aus Benutzername und Kennwort verwenden, müsste diese aber bei jeder aufgerufenen Anwendung oder Website erneut eingeben. Im Kennwortverwaltungssystem werden nur die Zugangsdaten für die verschiedenen Anwendungen und Websites hinterlegt und bei Bedarf wieder abgerufen. Es besteht also kein Vertrauensverhältnis zwischen den Serviceanbietern und dem Kennwortverwaltungssystem. Beim echten SSO – also Single Sign-On – können Sie nach der einmaligen Anmeldung am SSO-System auf alle für Sie freigegebenen Anwendungen und Websites zugreifen, ohne Ihre Zugangsdaten erneut eingeben zu müssen. Dies umfasst sowohl Cloud-Anwendungen als auch vor Ort implementierte Anwendungen. Der Zugriff erfolgt häufig über ein SSO-Portal (auch Login-Portal genannt). ## Welcher Unterschied besteht zwischen SSO-Software und SSO-Lösungen? Beim Durchstöbern verfügbarer SSO-Optionen werden Sie auf unterschiedliche Bezeichnungen stoßen: SSO-Software, SSO-Lösung oder SSO-Anbieter. Meist ergibt sich der Unterschied aus der Art und Weise, wie der jeweilige Entwickler sein SSO-Modell umsetzt. Wenn von Software die Rede ist, wird wahrscheinlich ein Programm vor Ort installiert. Dieses Programm erledigt ganz bestimmte Aufgaben und nichts weiter. Wird hingegen von einer Lösung gesprochen, so stehen vermutlich diverse Extrafunktionen zur Auswahl, mit denen das Basisprodukt erweitert oder an individuelle Anforderungen angepasst werden kann. Beim SSO-Anbieter schließlich handelt es sich um ein Unternehmen, das SSO-Systeme entwickelt oder als Host verwaltet. OneLogin ist beispielsweise ein solcher SSO-Lösungsanbieter. ### Gibt es unterschiedliche Arten von SSO? Beim Thema Single Sign-On (SSO) werden Ihnen zahlreiche Fachbegriffe begegnen: * Federated Identity Management (FIM) * OAuth (heutzutage vor allem OAuth 2.0) * OpenID Connect (OIDC) * Security Access Markup Language (SAML) * Same Sign-On (ebenfalls abgekürzt mit SSO) SSO – im Sinne von Single Sign-On – ist eigentlich Bestandteil eines umfassenderen Ansatzes zur föderierten Identitätsverwaltung, auch als Federated Identity Management (FIM) bekannt. Darum ist oft von „Federated SSO“ oder von föderierten SSO-Lösungen die Rede. FIM verweist schlicht auf ein Vertrauensverhältnis zwischen zwei oder mehr Domänen oder Identitätsverwaltungssystemen. SSO steht oft als Funktion innerhalb einer FIM-Architektur zur Verfügung. OAuth 2.0 ist ein spezifisches Framework, das man auch als Bestandteil einer FIM-Architektur erachten könnte. OAuth konzentriert sich auf das Vertrauensverhältnis und ermöglicht den Austausch von Informationen zu Benutzeridentitäten zwischen den beteiligten Domänen. Bei [OpenID Connect (OIDC)](https://www.onelogin.com/blog/openid-connect-explained-in-plain-english) handelt es sich um eine Authentifizierungsschicht, die auf OAuth 2.0 aufsetzt, um SSO-Funktionalität bereitzustellen. Mit [Security Access Markup Language (SAML)](https://www.onelogin.com/de/learn/saml) ist ein offener Standard gemeint, der ebenfalls der Bereitstellung von SSO-Funktionalität dient. Das oft auch mit SSO abgekürzte Verfahren Same Sign-On ist nicht mit Single Sign-On zu verwechseln, da kein Vertrauensverhältnis zwischen den an der Authentifizierung beteiligten Systemen besteht. Stattdessen werden die Zugangsdaten auf den jeweiligen Systemen dupliziert und bei Bedarf zur Authentifizierung übermittelt. Same Sign-On ist nicht so sicher wie Single Sign-On. Des Weiteren sind im Zusammenhang mit Single Sign-On einige spezifische Systeme zu erwähnen: Active Directory (AD), Active Directory Federation Services (ADFS) und Lightweight Directory Access Protocol (LDAP). Active Directory – heute konkret als Active Directory Domain Services (ADDS) bezeichnet – ist der primäre Verzeichnisdienst von Microsoft. Benutzer und Ressourcen werden zwecks zentraler Verwaltung dem Verzeichnisdienst hinzugefügt und ADDS arbeitet mit Authentifizierungsprotokollen wie NTLM und Kerberos. Somit können sich Benutzer, die von ADDS erfasst wurden, an ihren Arbeitsplätzen anmelden und Zugriff auf alle Systeme erhalten, die mit ADDS integriert sind. Dies ist also eine Variante von Single Sign-On. Bei Active Directory Federation Services (ADFS) handelt es sich um ein bestimmtes FIM-System, das ebenfalls SSO-Funktionalität bietet. Sowohl SAML als auch OIDC werden unterstützt. ADFS kommt hauptsächlich zum Einsatz, um ein Vertrauensverhältnis zwischen ADDS und anderen Systemen wie Azure AD oder weiteren ADDS-Verbundsystemen herzustellen. Das Lightweight Directory Access Protocol (LDAP) ist schlicht ein Branchenstandard zur Definition, wie Verzeichnisdaten organisiert und abgefragt werden. LDAP erleichtert die zentrale Verwaltung von Ressourcen wie Benutzerkonten und Systeme. Dieser Standard legt allerdings nicht fest, wie die Anmeldung an Systemen stattfindet, das heißt, LDAP definiert nicht die tatsächlich zur Authentifizierung genutzten Protokolle. Dennoch ist LDAP oft Teil des Authentifizierungsprozesses und der Zugriffssteuerung. Wenn beispielsweise ein Benutzer auf eine bestimmte Ressource zugreifen will, könnte mittels LDAP geprüft werden, welchen Benutzergruppen dieser Benutzer angehört und ob er überhaupt Zugriffsrechte für die angeforderte Ressource besitzt. LDAP-Lösungen wie OpenLDAP bieten Authentifizierungsfunktionen durch Unterstützung von Authentifizierungsprotokollen wie SASL (Simple Authentication and Security Layer). ## Was ist SSO-SaaS? Da heutzutage immer mehr Anwendungen über das Internet ausgeführt werden, hat sich auch die SSO-Funktionalität entsprechend weiterentwickelt. Plattformen wie OneLogin, die in der Cloud ausgeführt werden, lassen sich somit als SaaS-Lösungen kategorisieren, also Software as a Service. ## Was ist App-to-App-SSO? Zuletzt haben Sie vielleicht von App-to-App- oder Application-to-Application-SSO gehört. Dies ist noch kein Industriestandard. Es ist eher ein Begriff, der von SAPCloud verwendet wurde, um den Prozess der Übergabe einer Benutzeridentität von einer Anwendung an eine andere innerhalb ihres Ökosystems zu beschreiben. Es ist OAuth 2.0 etwas ähnlich, aber es ist kein Standardprotokoll oder eine Standardmethode und derzeit spezifisch für SAPCloud.

Mehr erfahren

Warum ist SSO wichtig?

Mit Single Sign-On (SSO) im Unternehmen können sich Mitarbeiter einmal mit einem Satz Anmeldedaten anmelden, um Zugriff auf alle Unternehmens-Apps, Websites und Daten zu erhalten, für die ihnen Berechtigungen zugewiesen sind. SSO löst wichtige Probleme für Unternehmen, indem Folgendes bereitgestellt wird: - Mehr Sicherheit und Compliance - Verbesserte Benutzerfreundlichkeit und Benutzerzufriedenheit - Geringere IT-Kosten Die Verbreitung von Cloud-Apps und -Diensten im Unternehmen – häufig zusätzlich zu lokalen Apps und Diensten – hat zu einem erheblichen Fragmentierungsproblem geführt. Fragmentierung im Unternehmen stellt eine Herausforderung für die IT und die Benutzer dar. Die IT muss die zahlreichen Apps im Unternehmen verwalten und sich auch um die Schatten-IT kümmern. Mitarbeiter müssen täglich immer mehr Apps zur Erledigung ihrer Arbeit verwenden, was bedeutet, dass sie sich an mehreren Apps und Websites anmelden und zwischen ihnen wechseln müssen. SSO bietet Unterstützung bei der Lösung des Fragmentierungsproblems in Unternehmen. ### Vorteile von SSO im Hinblick auf Sicherheit und Compliance Benutzernamen und Passwörter sind die primären Ziele von Cyberkriminellen. Jedes Mal, wenn sich ein Benutzer bei einer neuen Anwendung anmeldet, ist dies eine Gelegenheit für Hacker. SSO verringert die Anzahl der Angriffsmöglichkeiten, da sich Benutzer nur einmal täglich anmelden und nur einen Satz an Anmeldedaten verwenden. Die Reduzierung der Anmeldung auf einen Satz an Anmeldedaten trägt zur Verbesserung der Unternehmenssicherheit bei. Wenn Mitarbeiter verschiedene Passwörter für jede App verwenden müssen, tun sie dies in der Regel nicht. Tatsächlich verwenden 59 Prozent dasselbe oder ähnliche Passwörter für mehrere Konten. Wenn ein Hacker demnach Zugriff über eine schlecht gesicherte Website erlangt, ist die Wahrscheinlichkeit des Zugriffs auf andere Unternehmenssysteme hoch. SSO bietet ebenfalls Unterstützung bei der Einhaltung von Vorschriften. Vorschriften, wie z. B. der Sarbanes-Oxley Act, erfordern, dass IT-Steuerungen dokumentiert werden und Unternehmen nachweisen, dass angemessene Methoden zum Schutz der Daten vorhanden sind. SSO stellt eine Möglichkeit dar, die Anforderungen an den Datenzugriff und den Virenschutz zu erfüllen. SSO ist auch bei Vorschriften (z. B. HIPAA) hilfreich, die eine wirksame Authentifizierung von Benutzern erfordern, die auf elektronische Aufzeichnungen zugreifen oder Revisionskontrollen zum Verfolgen von Aktivitäten und Zugriffen benötigen. Vorschriften wie HIPAA erfordern auch die automatische Abmeldung von Benutzern, die von den meisten SSO-Lösungen unterstützt wird. Als Teil eines einheitlichen Access Management-Systems verwendet SSO ein zentrales Verzeichnis, das den Benutzerzugriff auf Ressourcen auf einer detaillierteren Ebene steuert. Auf diese Weise können Unternehmen Vorschriften einhalten, die es erfordern, den Benutzern entsprechende Berechtigungen zu erteilen. Einheitliche Access Management-Systeme ermöglichen SSO mit rollenbasierter Zugriffssteuerung und Sicherheitsrichtlinien. Bei derartigen SSO-Lösungen werden Löschungen von Benutzern schnell oder sogar automatisch durchgeführt, eine weitere übliche Compliance-Anforderung, die sicherstellen soll, dass ehemalige Mitarbeiter, Geschäftspartner oder andere Personen nicht mehr auf vertrauliche Daten zugreifen können. ### SSO verbessert die Benutzerfreundlichkeit für Mitarbeiter. Durch den Wechsel in die Cloud verwenden Mitarbeiter immer mehr Apps am Arbeitsplatz. Die Verwendung verschiedener Benutzernamen und Passwörter für jede App stellt eine große Belastung für die Mitarbeiter dar und ist, offen gesagt, unrealistisch. Mit Single Sign-On wird diese kognitive Belastung verringert. Die einmalige Anmeldung spart darüber hinaus Zeit, wodurch die Produktivität der Mitarbeiter steigt. Da 68 Prozent der Mitarbeiter stündlich zehn verschiedene Apps verwenden, kann die Abschaffung mehrerer Anmeldevorgänge einem Unternehmen viel Zeit und Geld sparen. SSO-Lösungen, die Teil eines einheitlichen Access Management-Systems sind, verfügen in der Regel über ein App-Portal. Mitarbeiter wählen eine benötigte App aus dem Portal aus. Wenn dem Benutzer eine App fehlt, kann er sie über das Portal anfordern und die App wird dann mit aktiviertem SSO hinzugefügt. Dadurch können Apps schnell genutzt werden, statt wie früher lange auf sie zu warten oder sie gar nicht erst anzufordern. ### So senkt SSO die IT-Kosten SSO senkt die IT-Kosten, indem Zeit für die Rücksetzung von Passwörtern eingespart wird. Wenn alle Apps verschiedene Benutzernamen und Passwörter für jeden Mitarbeiter benötigen, ist es sehr wahrscheinlich, dass Mitarbeiter ihre Passwörter vergessen, wodurch es zu einer Anhäufung von Hilfetickets zur Zurücksetzung von Passwörtern kommt. Mit SSO müssen sich Benutzer nur einen Satz von Anmeldedaten merken, was zu einer geringeren Anzahl von Service-Tickets führt. Desweiteren ermöglichen die meisten SSO-Lösungen den Benutzern, ihre Passwörter selbst zurückzusetzen, wodurch die IT Abteilung zusätzlich entlastet wird. Als Teil eines einheitlichen Access Management-Systems nutzt SSO ein zentrales Verzeichnis zum Anlegen und Entfernen von Benutzern, was den Prozess schneller und kostengünstiger macht. Richtlinien können auf Basis von Benutzerrollen, Standorten und anderen Benutzereigenschaften definiert werden. Mitarbeiter, Geschäftspartner und Kunden können in einem Schritt für mehrere Anwendungen angelegt werden, ohne dass jede Anwendung einzeln bereitgestellt werden muss. Gleichsam spart die IT Zeit beim Deaktivieren von Benutzern, die innerhalb von Minuten statt Stunden durchgeführt werden kann. Wenn Unternehmen eine hochwertige SSO-Lösung implementieren, verbessert dies die Sicherheit und Benutzerfreundlichkeit und entlastet die IT-Abteilung zeitlich und finanziell.

Mehr erfahren

Passworttresore

Ein Passworttresor, auch als Passwortmanager bezeichnet, ist ein Programm, das Benutzernamen und Passwörter für mehrere Programme an einem sicheren Ort in verschlüsseltem Format speichert. Benutzer können mithilfe eines Benutzernamens und Passworts auf den Passworttresor zugreifen. Der Passworttresor stellt dann das Passwort für die Website bereit, auf die der jeweilige Benutzer zugreifen möchte. Benutzer verwenden häufig den in Chrome oder Safari integrierten Passwortmanager. In diesen Fällen werden die Passwörter von Google oder Apple gespeichert. Unternehmen können ein Tool zur Passwortverwaltung käuflich erwerben. (Beachten Sie, dass bestimmte Passwortmanager pro Site auch sicherere Zufallspasswörter, die als Einmalpasswörter bezeichnet werden, für den Benutzer generieren können.) ### Was versteht man unter Single Sign-On? Single Sign-On (SSO) ist eine sichere Lösung, die Mitarbeitern Zugriff auf Unternehmens-Apps und -Websites gewährt, indem sie aufgefordert werden, sich nur einmal täglich mit einem Benutzernamen und Passwort anzumelden. Wenn Sie sich über Facebook oder Google an einer Website anmelden, verwenden Sie eine Art SSO. Im Unternehmensumfeld können Mitarbeiter in der Regel auf die Apps des Unternehmens mittels einer SSO-Lösung zugreifen, die das Verzeichnis des Unternehmens verwendet, wie z. B. Microsoft Active Directory, Azure Active Directory oder ein von der SSO-Lösung bereitgestelltes Verzeichnis. ### Sind Passworttresore oder SSO besser geeignet? Im Allgemeinen gilt SSO als sicherer und benutzerfreundlicher als Passworttresore. Bei Verwendung von SSO entfällt die Notwendigkeit zur Pflege mehrere Passwörter und gleichzeitig die Belastung der Benutzer. Weiterhin wird die Anmeldehäufigkeit und die Menge der gespeicherten Anmeldedaten verringert und somit den Cyberkriminellen weniger Angriffsfläche geboten. Wenn Unternehmen mit der Implementierung strengerer Passwortanforderungen beginnen, nutzen Sie hierzu häufig Passwortmanager. Beispielsweise kann ein Unternehmen verlangen, dass Passwörter häufig geändert werden, zufällige Zeichen enthalten oder länger sein müssen. Da diese komplexen Passwörter schwer zu merken sind, erwirbt das Unternehmen unter Umständen einen Passwortmanager, der von Mitarbeitern verwendet werden kann, um Passwörter in einer verschlüsselten und relativ sicheren Umgebung zu speichern. Für die meisten Unternehmen reichen Passwortmanager jedoch schnell nicht mehr aus. Zudem stellen Passwortmanager ein neues Problem dar: Mitarbeiter müssen die Passwortverwaltung in ihre Aufgabenliste aufnehmen. Passworttresore stellen auch keine Lösung für das Problem der App-Verbreitung dar und die Benutzer verschwenden weiterhin ihre Zeit, indem sie sich an jeder App anmelden müssen. Da 68 Prozent der Benutzer angeben, stündlich zwischen 10 verschiedenen Apps zu wechseln, haben wir es mit einer Menge verschwendeter Zeit zu tun. In Single Sign-On-Systemen müssen sich die Benutzer nur einmal mit einem Satz Anmeldedaten anmelden, um auf alle Apps zuzugreifen. Für mehr Sicherheit verwenden SSO-Systeme häufig den Identitätsanbieter des Unternehmens, wie z. B. Active Directory. Darüber hinaus verwenden sie weit verbreitete Standardprotokolle, wie z. B. SAML oder OAuth, und Technologien wie digitale Zertifikate zur Bereitstellung von Sicherheit auf Unternehmensebene. SSO bietet größere Sicherheit, da Passwörter nicht weitergegeben werden. Stattdessen gibt das SSO-System nach der Anmeldung Token an die App oder Website weiter, die Authentifizierung erfordert. Zahlreiche SSO-Lösungen funktionieren auch über lokale und Cloud-Apps und Websites hinweg und bieten einen nahtlosen und sicheren Zugriff auf alle Unternehmenssysteme.

Mehr erfahren

Welche Arten von Angriffen werden durch MFA verhindert?

Multi-Factor Authentifizierung (MFA) kann bei der Verhinderung einiger der gängigsten und erfolgreichsten Arten von Cyberangriffen behilflich sein. Diese umfassen: - Phishing - Spear-Phishing - Keylogger - Credential-Stuffing - Brute-Force- und Reverse-Brute-Force-Angriffe - Man-in-the-Middle-Angriffe (MITM) ### Wie werden mithilfe von MFA Sicherheitsverstöße verhindert? Um zu verstehen, wie mithilfe von MFA Sicherheitsverstöße verhindert werden können, muss zuerst die Funktionsweise dieser Cyberangriffe erläutert werden: #### Phishing Funktionsweise: Der Angreifer verwendet eine Liste mit Telefonnummern oder E-Mail-Adressen und sendet eine Nachricht mit einer eindringlichen Handlungsaufforderung. (Ein Benutzer wird beispielsweise aufgefordert, sich anzumelden und Transaktionen zu bestätigen.) In der Regel werden Benutzer auf eine gefälschte Website umgeleitet, wo sie ihren Benutzernamen und ihr Passwort eingeben. #### Spear-Phishing Funktionsweise: Der Angreifer richtet sich an eine kleine Personengruppe mit gut ausgearbeiteten, glaubwürdigen und für die Zielgruppe relevanten Nachrichten, die oft personalisierte Inhalte verwenden (z. B. den Namen des Benutzers oder eine aktuelle Benutzeraktion oder ein Ereignis). Wie beim Phishing werden Benutzer mittels einer Handlungsaufforderung dazu gebracht, ihre Anmeldedaten preiszugeben. #### Keylogger Funktionsweise: Der Angreifer installiert ein Programm (häufig über einen Virus), das jede Tastatureingabe auf dem Computer des Benutzers erfasst, einschließlich besuchter Sites, Benutzernamen, Passwörter, Antworten auf Sicherheitsfragen usw. #### Credential-Stuffing Funktionsweise: Der Angreifer nutzt die Tatsache, dass Benutzer häufig denselben Benutzernamen und dasselbe Passwort für mehrere Konten verwenden, indem er gestohlene Anmeldungsdatenpaare verwendet, um Zugriff auf viele verschiedene Sites und Apps zu erhalten. #### Brute-Force- und Reverse-Brute-Force-Angriffe Funktionsweise: Der Angreifer verwendet ein Programm, um mögliche Benutzernamen/Passwörter zu generieren und mit ihnen Zugriff zu erlangen. (Wörterbuchangriffe gehören zu den Brute-Force-Angriffen.) In anderen Fällen versucht der Benutzer, mithilfe häufig verwendeter Passwörter (wie 123) auf viele verschiedene Konten zuzugreifen. #### Man-in-the-Middle-Angriffe (MITM) Funktionsweise: Das Programm des Angreifers fügt sich selbst in die Interaktion zwischen einem Benutzer und einer App ein (beispielsweise durch Vortäuschen eines öffentlichen WLAN-Netzes). Das Programm zeichnet dann die vom Benutzer eingegebenen Anmeldedaten auf oder stiehlt sogar den Session-Token. ###So geht MFA gegen gängige Cyberangriffe vor Multi-Factor Authentifizierung wirkt Cyberkriminalität entgegen, indem zusätzliche Informationen oder Anmeldedaten vom Benutzer gefordert werden. Bei einem Phishing-Angriff werden die Anmeldedaten eines Benutzers gespeichert, ein Fingerabdruck oder die Antwort auf eine persönliche Sicherheitsfrage aber wird dem Angreifer nicht bereitgestellt. Ebenso kann bei einem Brute-Force- oder Reverse-Brute-Force-Angriff ein funktionierender Benutzername oder ein funktionierendes Passwort ermittelt werden. Der Angreifer kennt aber die anderen Authentifizierungsfaktoren nicht, die vom MFA-System gefordert werden, und verfügt daher nicht über die vollständigen Anmeldedaten. Weiterhin kann MFA komplexere Angriffe, wie z. B. MITM-Angriffe, abwehren, indem eine zusätzliche Sicherheitsebene hinzugefügt wird. Selbst wenn der Hacker oder das Programm sich selbst einfügt oder die vom Benutzer eingegebenen Daten abfängt, kann der IT-Administrator die Multi-Factor Authentifizierung so einrichten, dass der Benutzer Anmeldedaten über ein anderes Gerät oder einen anderen Kanal bereitstellen muss. Push-basierte Authentifikatoren eignen sich hervorragend für die Bereitstellung eines sicheren Mechanismus mit minimalen Auswirkungen auf den Benutzerkomfort. Gehen wir beispielsweise davon aus, dass sich ein Benutzer über seinen Laptop anmeldet, der durch ein MITM-Programm gefährdet wurde. Für das Unternehmen wurde jedoch Multi-Factor Authentifizierung eingerichtet, weshalb der Benutzer zum Abschließen der Anmeldung eine Telefon-App wie OneLogin Protect verwenden muss. Die native mobile Authentifikator-App sendet einen Code vom Telefon zum Authentifizierungssystem, um die Anmeldung abzuschließen. Da der MITM-Hacker keinen Zugriff auf das Telefon des Benutzers hat, wird der Angriff vereitelt. Mit der Multi-Factor Authentifizierung können nicht alle Arten von Angriffen verhindert werden und vollständige Sicherheit ist auch nicht gewährleistet. Es werden aber zusätzliche Authentifizierungsebenen eingebaut, die Cyberangriffe schwieriger machen.

Mehr erfahren

Was versteht man unter adaptiver Authentifizierung (Adaptive Authentication)?

Standard-Authentifizierungsmethoden, einschließlich der Multifaktorauthentifizierung (MFA) fragen Benutzer immer dann nach bestimmten Anmeldeinformationen, wenn diese versuchen, sich anzumelden oder auf Unternehmensressourcen zuzugreifen. Bei der adaptiven Authentifizierung wird je nach Situation nach verschiedenen Anmeldeinformationen gefragt. Dadurch wird die Sicherheit erhöht, wenn das Risiko von Verstößen größer ist. Melden sich Benutzer immer mit Standard-Anmeldemethoden wie Benutzername und Passwort an, werden sie anfällig für Cyberangriffe. Authentifizierungstools wie [MFA](/product/multi-factor-authentication) bieten größere Sicherheit, indem sie zusätzliche Anmeldeinformationen wie beispielsweise einen über eine Smartphone-App generierten Code verlangen. Weitere Faktoren helfen, aber es ist für Cyberkriminelle immer noch zu einfach, die verschiedenen Anmeldedaten der Benutzer zu erlangen oder zu hacken und sie dann für den Zugriff zu verwenden. Die adaptive Authentifizierung nimmt eine intelligente Änderung der Anforderungen vor und macht es dadurch für einen Hacker viel schwieriger, Zugang zum Unternehmen zu erhalten, da einige der verwendeten Signale für einen Angreifer schwer zu umgehen sind. #### Wie funktioniert die adaptive Authentifizierung (Adaptive Authentication)? Wenn Sie die adaptive Authentifizierung in Ihrem Unternehmen implementieren, bestimmen Sie die grundlegenden erforderlichen Anmeldeinformationen für einen bestimmten Benutzer oder eine Reihe von Benutzern. Möglicherweise gelten striktere Anforderungen für Benutzer in bestimmten Gebietsschemas oder für Benutzer mit Rollen, die Ihnen Zugriff auf vertrauliche Informationen ermöglichen. Bei der adaptiven Authentifizierung wird für jeden Benutzer ein Profil erstellt, das Informationen wie den geografischen Standort des Benutzers, registrierte Geräte, die Rolle usw. enthält. Jedes Mal, wenn jemand versucht, sich zu authentifizieren, wird die Anfrage ausgewertet und mit einer Risikobewertung versehen. Je nach Risikobewertung muss der Benutzer möglicherweise weitere Anmeldeinformationen angeben oder darf umgekehrt nur weniger Anmeldeinformationen verwenden. Wenn Benutzer beispielsweise versuchen, über ein nicht registriertes Gerät auf Anwendungen zuzugreifen, werden sie möglicherweise aufgefordert, das Gerät zu registrieren. Wenn sich Benutzer von einem anderen geografischen Ort als ihrem Büro aus anmelden, müssen sie ggf. eine Sicherheitsfrage beantworten. Die IT-Abteilung bestimmt die Reaktion auf Anfragen mit unterschiedlichen Risikobewertungen. In einem bestimmten Szenario kann es Benutzern gestattet sein, sich zu authentifizieren, sie werden möglicherweise am Zugriff gehindert oder auch aufgefordert, ihre Identität nachzuweisen. #### Adaptive Authentifizierung und maschinelles Lernen Die meisten adaptiven Authentifizierungslösungen nutzen maschinelles Lernen. Die Algorithmen in diesen Tools überwachen und lernen das Benutzerverhalten im Laufe der Zeit, um ein genaueres Profil zu erstellen. Sie können Geräte, typische Anmeldezeiten oder übliche Einsatzorte nachverfolgen. Neben Bedrohungsdaten für diese Netzwerke können Sie IP-Adressen und Netzwerkreputationen überprüfen. Adaptive Authentifizierungslösungen weisen eine Risikobewertung basierend auf Verhalten und Kontext zu und reagieren auf das wahrgenommene Risiko auf der Grundlage der von der IT eingerichteten Regeln. Diese Regeln können beispielsweise je nach Risikobewertung, Benutzerrolle, Standort und Gerät variieren. Die erweiterte adaptive Authentifizierung entwickelt sich mithilfe künstlicher Intelligenz (KI) weiter, um Anomalien in Echtzeit zu überwachen und Anomalien in den Authentifizierungsmustern der Benutzer zu erkennen oder sogar Bedrohungen im Authentifizierungspfad (z. B. gefährdete Netzwerke) zu identifizieren. #### Vorteile der adaptiven Authentifizierung Neben der Erhöhung der Sicherheit ermöglicht die adaptive Authentifizierung Benutzern auch ein reibungsloseres Arbeiten. Die Standard-MFA definiert Anmeldeanforderungen, die lästig sein können – Benutzer müssen immer einen Namen, ein Passwort und einen Code von einer App eingeben, oder Benutzer müssen eine Sicherheitsfrage beantworten, wenn sie sich außerhalb des Büros authentifizieren. Bei der adaptiven Authentifizierung können weniger Informationen von Benutzern angefordert werden, die erkannt werden und sich erwartungsgemäß verhalten. Dabei werden nur gelegentlich weitere Informationen bei Benutzern abgefragt, wenn die Umstände ein größeres Sicherheitsrisiko darstellen. Dies bedeutet weniger Unterbrechungen für Benutzer, niedrigere Zugangsbarrieren und größere Sicherheit.

Mehr erfahren

Was ist MFA?

Die Multi-Faktor-Authentifizierung (MFA) ist ein Authentifizierungsverfahren, bei dem der Benutzer zwei oder mehr Identitätsnachweise (Faktoren) zur Verifizierung liefern muss, bevor er Zugriff auf die gewünschte Ressource erlangt, beispielsweise auf eine Anwendung, ein Benutzerkonto oder ein VPN. Die MFA spielt eine wesentliche Rolle beim sicheren [Identity and Access Management (IAM)](/de/learn/iam). Statt nur einen Benutzernamen und ein Kennwort abzufragen, erfordert die MFA zusätzliche Identitätsnachweise, sodass das Risiko eines erfolgreichen Cyberangriffes sinkt. ## Warum ist die MFA wichtig? Da Benutzer beim Zugriff auf Anwendungen neben ihrem Benutzernamen und Kennwort weitere Identitätsnachweise erbringen müssen, steigt die Sicherheit für Ihr Unternehmen oder Ihre Organisation – ein wesentlicher Vorteil der MFA. Wenngleich die Kombination aus Benutzername und Kennwort auch einen gewissen Schutz bietet, ist sie doch anfällig für Brute-Force-Angriffe. Zudem könnten die Zugangsdaten durch Dritte ausgespäht werden. Wird beim Authentifizierungsvorgang zusätzlich ein Daumenabdruck oder ein physischer Hardwareschlüssel zur Verifizierung benötigt, haben es Cyberkriminelle deutlich schwerer, auf Ihre vertraulichen Daten und Anwendungen zuzugreifen. ## Wie funktioniert die MFA? Bei der MFA sind zusätzliche Identitätsnachweise (Faktoren) zur Authentifizierung erforderlich. Sehr häufig muss der Benutzer ein zu diesem Zweck generiertes Einmalkennwort (One-Time Password, OTP) eingeben. Dabei handelt es sich um einen 4- bis 8-stelligen Code, der beispielsweise per E-Mail, SMS oder App an den Benutzer gesendet wird. Solch ein OTP muss entweder in regelmäßigen Abständen oder bei jeder Authentifizierungsanfrage neu erzeugt werden. Dazu wird ein Startwert, der dem Benutzer bei seiner erstmaligen Registrierung zugewiesen wurde, mit einem weiteren Faktor kombiniert, beispielsweise mit einem einfachen Zähler oder Zeitstempel. ## Drei typische Identitätsnachweise bei der MFA Bei der MFA kommen in der Regel die folgenden Arten von zusätzlichen Identitätsnachweisen zum Einsatz: Wissen: etwas, das der Benutzer weiß, zum Beispiel ein Kennwort oder eine PIN. Besitz: etwas, das der Benutzer besitzt, zum Beispiel ein Ausweis oder Smartphone. Körper: etwas, das dem Benutzer anhaftet, zum Beispiel ein biometrisches Merkmal wie Fingerabdrücke oder Sprachmuster. ## Beispiele für die MFA Für die Multi-Faktor-Authentifizierung könnten beispielsweise die folgenden Elemente beliebig kombiniert werden: WISSEN Antwort auf persönliche Sicherheitsfrage Kennwort OTP (eigentlich eine Kombination aus Wissen und Besitz, denn der Benutzer erhält das OTP zum Beispiel über sein Smartphone) BESITZ OTP, das von Smartphone-Apps erzeugt wird OTP, das per SMS oder E-Mail empfangen wird Ausweis, USB-Gerät, Sicherheitsschlüssel, Chipkarte oder Schlüsselanhänger Software-Token oder ‑Zertifikat KÖRPER Fingerabdruck, Gesicht (per Scan), Stimme, Netzhaut oder Iris (per Scan) oder ähnliches biometrisches Merkmal Verhalten ## Weitere Arten der Multi-Faktor-Authentifizierung Da die MFA mittlerweile auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, werden ausgeklügeltere Authentifizierungsmethoden möglich: ##### STANDORTBASIERTE AUTHENTIFIZIERUNG Bei der standortbasierten MFA wird üblicherweise die IP-Adresse des Benutzers und, sofern möglich, auch der geografische Standort geprüft. Diese Informationen könnten beispielsweise genutzt werden, um dem Benutzer den Zugriff zu verweigern, wenn er sich nicht an einem per Whitelist autorisierten Standort aufhält. Alternativ könnte der Standort neben einem Kennwort oder OTP auch als zusätzlicher Identitätsnachweis dienen. ##### ADAPTIVE ODER RISIKOBASIERTE AUTHENTIFIZIERUNG Eine weitere MFA-Kategorie ist die [adaptive Authentifizierung](/de/learn/what-why-adaptive-authentication), auch bekannt als risikobasierte Authentifizierung. Dieses Verfahren analysiert bei der Authentifizierung den Kontext und das Benutzerverhalten als zusätzliche Faktoren, um das mit dem Zugriffsversuch verbundene Risiko einzustufen. Zum Beispiel wird geprüft: Von wo aus versucht der Benutzer, auf die Anwendung oder Daten zuzugreifen? Wann findet der Zugriffsversuch statt? Während der üblichen Arbeitszeiten oder nach Feierabend? Welches Gerät wird für den Zugriffsversuch verwendet? Dasselbe Gerät wie am Vortag? Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt? Die Risikostufe wird anhand der Antworten auf diese Fragen berechnet. Ist das Risiko hoch, kann der Benutzer zur Übermittlung weiterer Identitätsnachweise aufgefordert werden oder unter Umständen gar nicht auf die Anwendung oder Daten zugreifen. Deswegen wird dieses Verfahren auch als risikobasierte Authentifizierung bezeichnet. Angenommen, ein Benutzer versucht spät abends, von einem Internetcafé aus auf eine Anwendung zuzugreifen. Handelt es sich um ein unübliches Verhaltensmuster bei diesem Benutzer, schlägt die adaptive MFA Alarm und der Benutzer wird zum Beispiel aufgefordert, zusätzlich zu Benutzername und Kennwort einen Code einzugeben, der an das für den Benutzer registrierte Smartphone gesendet wird. Würde sich derselbe Benutzer wie gewohnt früh um 9 in seinem Büro anmelden, müsste er nur seinen Benutzernamen und das Kennwort eingeben. Cyberkriminelle setzen alles daran, um Zugriff auf Ihre vertraulichen Anwendungen und Daten zu erlangen – ein durchdachtes und konsequent umgesetztes MFA-Verfahren ist ein hervorragender Verteidigungsmechanismus. Mit einer effektiven Datensicherheitsstrategie spart Ihr Unternehmen in Zukunft Zeit und Geld. ## Worin liegt der Unterschied zwischen MFA und 2FA (Zwei-Faktor-Authentifizierung)? Die Begriffe Multi-Faktor-Authentifizierung (MFA) und Zwei-Faktor-Authentifizierung (2FA) werden oft synonym genutzt. Genau genommen handelt es sich bei der 2FA um eine Unterkategorie der MFA, da die 2FA zur Authentifizierung maximal zwei Identitätsnachweise erfordert, während es bei der MFA auch mehr als zwei sein dürfen. ## MFA und Cloud-Computing Cloud-Computing ist aus dem heutigen IT-Alltag nicht mehr wegzudenken. Folglich werden auch MFA-Verfahren umso wichtiger, denn wenn Unternehmen ihre Systeme zunehmend in die Cloud auslagern und Benutzer nicht mehr zwingend dasselbe physische Unternehmensnetzwerk zum Zugriff auf Anwendungen und Daten nutzen, fällt dieser Sicherheitsfaktor weg. Als Ersatz müssen andere Sicherheitsmaßnahmen her, damit wirklich nur befugte Benutzer auf vertrauliche Ressourcen zugreifen können. Da die Cloud Benutzern jederzeit und von überall aus zur Verfügung steht, können mittels MFA zusätzliche Identitätsnachweise abgefragt werden, die sich von Hackern nicht so leicht fälschen oder per Brute-Force-Angriff knacken lassen. So kann geprüft werden, ob ein Benutzer auch wirklich derjenige ist, für den er sich ausgibt. ## MFA für Office 365 Viele auf der Cloud basierenden Plattformen wie AWS oder Microsoft Office 365 bieten ihre eigene MFA-Funktionalität. Office 365 nutzt standardmäßig Azure Active Directory (AD) als Authentifizierungssystem. Dabei gibt es gewisse Einschränkungen. Zum Beispiel stehen als zusätzliche Authentifizierungsfaktoren nur vier grundlegende Optionen zur Wahl: Microsoft Authenticator, SMS, Spracherkennung und OAuth-Token. Unter Umständen wird die Lizenzierung auch kostspieliger, je nachdem, welche der Optionen Sie bevorzugen und ob Sie die MFA detailliert für individuelle Benutzer aktivieren möchten. Mittels Identity as a Service (IDaaS) via OneLogin stehen Ihnen deutlich mehr MFA-Authentifizierungsoptionen zur Verfügung, die sich zudem leichter in Anwendungen außerhalb des Portfolios von Microsoft integrieren lassen. .tabbullet { margin-left: 2em; }

Mehr erfahren

MFA-Checkliste

Eine Softwarelösung für die Multi-Faktor-Authentifizierung (MFA) sollte unbedingt die grundlegenden Sicherheitsanforderungen in hybriden Umgebungen erfüllen. Im Zuge der digitalen Transformation kommen heutzutage UAM-Plattformen (Unified Access Management) zum Einsatz, die mindestens eine einfache Form der MFA umfassen. Stellen Sie anhand der folgenden Checkliste sicher, dass Ihre MFA-Lösung Ihrem Unternehmen ausreichend Schutz bietet. #### Erfassung aller Benutzergruppen Werden sämtliche Benutzergruppen, die auf Ihre vertraulichen Daten zugreifen, von Ihrer MFA-Lösung erfasst? Personal (Angestellte und Auftragnehmer) Partner/Dienstleister Kunden #### Anwendungsintegration Funktioniert die MFA-Lösung mit all Ihren geschäftskritischen Cloud- und lokalen Anwendungen? Integration in Cloudanwendungen Integration in lokale Anwendungen Integration in Personalverwaltungslösungen wie Workday oder SuccessFactors Integration in Verzeichnisdienste wie Active Directory oder LDAP #### Unternehmenszugriff Unterstützt die MFA-Lösung die Netzwerkzugriffssysteme, die in Ihrem Unternehmen bereits genutzt oder in Erwägung gezogen werden? VPN-Zugriff WLAN-Zugriff SSH/RDP-Zugriff RADIUS-Integration #### Authentifizierungsmethoden Unterstützt die MFA-Lösung die in Ihrem Unternehmen genutzten Tools zur Authentifizierung? Native mobile OTP-Authentifizierung (Push-Verfahren) Zeitstempelbasierte Offline-Verifizierungscodes (TOTP-Verfahren) Hardware-Token wie Yubico YubiKey X.509-basierte Zertifikate Ältere Authentifizierungsmethoden wie SMS, Sicherheitsfragen oder E-Mail #### Flexible Authentifizierungsrichtlinien Ermöglicht die MFA-Lösung flexible und differenzierte Authentifizierungsrichtlinien auf granularer Ebene? Granulare Richtlinien für unterschiedliche Identitäten, Apps, Geräte und Kontexte Optionale Definition verschiedener Richtlinien für diverse Identitätsgruppen oder Anwendungen Anpassbare Authentifizierungsabläufe Risikobasierte Entscheidungen #### Unterstützung für Entwickler Bietet die MFA-Lösung APIs und Unterstützung für die Integration in Ihre individuellen Anwendungen und Systeme von Dritten? APIs für die MFA-Registrierung und das Lebenszyklusmanagement SDK für wichtige Plattformen und Sprachen Unterstützung von offenen Standards Unterstützt die MFA-Lösung gängige moderne Standards zum Herstellen sicherer Verbindungen mit Webanwendungen? SAML OpenID Connect OAuth2 #### Berichterstellung Werden von der MFA-Lösung Berichte erstellt, mit deren Hilfe Sie Compliance-Anforderungen erfüllen und die Sicherheit basierend auf Daten zu potenziellen Bedrohungen verbessern können? Optionale Auslagerung von Autorisierungsereignissen an SIEM-Lösungen von Drittanbietern Sofort einsatzbereite Berichte und Prüfpfade Bei Bedarf Auslösung von Systemänderungen basierend auf Autorisierungsereignissen Echtzeitinformationen zu Zugriffsversuchen ### Weitergehende Anforderungen Obwohl jede MFA-Lösung prinzipiell zumindest grundlegende Anforderungen erfüllen sollte, gelingt Unternehmen die erfolgreiche digitale Transformation oft mithilfe von Lösungen, die auch weitergehende Anforderungen erfüllen. Da die MFA kontinuierlich verbessert wird, stellt eine erweiterte Lösung von Anfang an sicher, dass Sie aktuellen Entwicklungen nicht hinterherhinken. #### Verhaltensanalyse Nutzt die MFA-Lösung Verhaltensanalysen zur intelligenten Anpassung und kommen unterschiedliche Authentifizierungsoptionen zum Einsatz? Vertrautheitssignale Angriffssignale Anomalien (Benutzerverhalten und Kontextsignale) Kontinuierliche Authentifizierung #### Geräteüberprüfung Beachtet die MFA-Lösung bei der Zugriffskontrolle Informationen über das zur Authentifizierung genutzte Gerät? Gerätestatus, einschließlich Version, Unversehrtheit, Sperre, Verschlüsselung, Browser-Plug-in usw. Gerätereputation X.509-basierte Zertifikate Integration in MDM-Lösungen (Mobile Device Management) #### Benutzer und Geräte Unterstützt die MFA-Lösung den Benutzerzugriff über mehrere Geräte und findet eine Unterteilung in unterschiedliche Benutzertypen und Benutzerrollen statt? Unterstützung für mehrere Geräte Unterstützung für verschiedene Benutzergruppen, z. B. Angestellte, Auftragnehmer, Partner, IT-Administratoren und Kunden #### Allgemeine Überlegungen Können Sie die MFA-Lösung mit Ihren individuellen Apps vernetzen und in Ihre Unternehmensabläufe integrieren, ohne dass Sie vorhandene Lösungen ersetzen oder erheblich ändern müssen? Vernetzung mit Ihren individuellen Apps über eine API Integration der MFA, ohne dass andere Lösungen entfernt oder ersetzt werden müssen

Mehr erfahren

Sichern Sie all Ihre Apps, Benutzer und Geräte