Als Ende März im Netz sensible Daten des US-IT-Dienstleisters Okta auftauchten, der Großkonzerne wie FedEx oder T-Mobile betreut, begannen viele Unternehmen, ihre Authentifizierungsprotokolle zu überdenken.
Okta, ein IT-Spezialist aus San Francisco, ist auf Identitäts- und Zugriffsmanagement spezialisiert. Okta entwickelt IT-Lösungen für Mitarbeiter, damit diese sicher auf unternehmensinterne Netzwerke und Anwendungen zugreifen können. Darunter fallen Dienste wie Single-Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA), die bei der Anmeldung auf Webseiten oder Apps eingesetzt werden. Verantwortlich für den „Okta Hack“ war die Hackergruppe Lapsus$, der es scheinbar gelungen war, sich Zugang zu den Unternehmensservern von Okta zu verschaffen. Exemplarisch an diesem Vorfall ist die – wiederholte – Erkenntnis, dass SSO (Single-Sign-On) als Sicherheitsmethode einfach nicht ausreicht. Dafür gibt es einfache Möglichkeiten, diese Risiken zu vermeiden.
Die Vorteile und Risiken der Verwendung von SSO
In der Tat bietet SSO (Single-Sign-On) mehrere Vorteile für Unternehmen. Zum einen ist es eine bequeme Möglichkeit, die Kontrolle der Zugriffsrechte für alle wichtigen Dienste und Tools zu zentralisieren. Darüber hinaus werden Helpdesk-Anrufe und Arbeitsausfälle wegen Passwortproblemen reduziert. Vor allem aber können Mitarbeiter sich dank SSO problemlos mit einer einzigen Unternehmensidentität bei verschiedenen Systemen, Websites und Anwendungen anmelden und müssen sich nicht mehrere Passwörter merken. Und letztlich erleichtert SSO auch die Arbeit der IT-Teams. Sie können mit SSO bestimmte Sicherheits- und Compliance-Anforderungen besser erfüllen, da sie mehr Kontrolle über den Zugriff auf wichtige Systeme erhalten. Vereinfacht gesagt: SSO verringert die Angriffsfläche, da es weniger Passwörter gibt, die Cyberkriminelle stehlen können.
Allerdings hat sich in den letzten Jahren gezeigt, dass SSO-Protokolle nicht die Universallösung für alles sind. Sie beinhalten viele Einschränkungen und bieten nicht für alle Konten einen zuverlässigen Schutz. Drei Aspekte, die für Administratoren wichtig sind:
- Nicht alle SaaS-Anwendungen unterstützen SSO. Das bedeutet, Zugriffsrechte müssen über einzelne Anmeldeinformationen manuell verwalten werden. Das macht den Prozess insgesamt zeitaufwändiger und birgt ein großes Fehlerpotenzial.
- SSO ist darüber hinaus eine Herausforderung für die so genannte Schatten-IT, bei der Mitarbeiter diese Anwendungen und Geräte ohne Wissen oder Aufsicht des IT-Teams verwenden.
- SSO wird von Verbraucheranwendungen, die Mitarbeiter nutzen, nicht unterstützt. Egal ob es sich dabei um Verbraucherversionen beliebter Dateifreigabeanwendungen oder Social-Media-Plattformen handelt.
SSO und Sicherheit
Aus der Sicherheitsperspektive birgt SSO ebenfalls Risiken. Werden SSO-Protokolle nicht richtig verwaltet, öffnen sie Hackern Tür und Tor. Beispielsweise durch Anmeldeinformationen, die durchsickern oder kompromittierte SSO. Dadurch können sich Hacker einen Zugang zu allen Konten des Mitarbeiters erhalten – und von dort aus zu verschiedenen sensiblen Geschäftssystemen innerhalb des Unternehmens.
Cyberkriminelle entwickeln ihre Techniken weiter und passen sich neuen Trends an. Insbesondere die Zentralisierung der Identität innerhalb eines einzigen Systems macht SSO-Tools zu einem attraktiven Ziel für Hacker. Auf diese Weise müssen sie nur zu einem Anbieter vordringen, um potenziellen Zugang zu zahlreichen Kunden und Benutzerkonten zu erhalten. Der Okta-Hack ist dafür ein Paradebeispiel.
Aber dieses Risiko beschränkt sich nicht allein auf interne Mitarbeiter. Auch andere Insider (Auftragnehmer, Praktikanten oder Geschäftspartner), die auf Systeme zugreifen können, sind gefährdet. Ebenso wie Drittanbieterdienste, die mit der internen Infrastruktur des Unternehmens verbunden sind. Im Fall von Okta ging der Verstoß Berichten zufolge von einem Anbieter aus, der Kundensupport für Okta-Benutzer anbietet.
Wie Unternehmen SSO-Risiken abschwächen können
SSO ist nach wie vor eine wirksame Authentifizierungstechnik – vorausgesetzt sie wird mit zuverlässigen Sicherheitsmaßnahmen kombiniert. Die beste Möglichkeit, Anmeldungen zu schützen, ist die Integration von SSO in einen Passwortmanager. Diese bieten eine universelle Lösung, die mit jedem Online-Dienst oder jeder Cloud- und Webanwendung funktioniert. Ein Passwortmanager bietet darüber hinaus zusätzliche Sicherheiten für die vielen Dienste, die SSO nicht abdecken kann. Zusätzlich zur Implementierung eines Passwortmanagers sollten SSO-Lösung mit einer robusten Zwei-Faktor-Authentifizierung (2FA) ergänzt werden. 2FA reduziert das Risiko von gestohlenen und durchgesickerten Passwörtern erheblich.
Eine Lösung wie Dashlane ermöglicht es, 2FA sowohl zu integrieren als auch zu verwalten, und zwar mit diesen Funktionen:
- Automatisches Ausfüllen von per SMS empfangenen 2FA-Codes (für einige Anwendungen)
- Synchronisierung von 2FA-Codes über verschiedene Geräte hinweg, was für Mitarbeiter, die mehrere Endgeräte verwenden, praktisch ist
- Ermöglichung der gemeinsamen Nutzung von 2FA-Codes durch Mitarbeiter
Entscheidend für die Einführung eines Passwortmanager innerhalb eines Unternehmens ist die Akzeptanzrate, die wiederum von einer benutzerfreundlichen Lösung abhängt. Eine niedrige Nutzungsrate bei den Mitarbeitern führt dazu, dass Nicht-SSO-Anmeldungen weiterhin stark gefährdet sind. Deshalb sollten sich Unternehmen nach einer Lösung umsehen, die für ihre Benutzerfreundlichkeit bekannt ist. Der Markt bietet eine Vielzahl von Tools für die Sicherung sensibler Daten im Unternehmen. Diese muss nicht kompliziert sein. Einfache Methoden zur Minderung von SSO-Risiken sind genauso effektiv, wenn sie richtig umgesetzt werden.
www.dashlane.com