Der Klassiker: Passwort vergessen
Der Passwort-Reset ist der Klassiker unter den Automatisierungsprojekten: Je nach Kalkulation kostet ein „vergessenes“ Passwort oder ein zu spät neu gesetztes Passwort betriebswirtschaftlich zwischen 20 und wenigen hundert Euro. Mit Toolunterstützung kann man den Service-Desk wirksam entlasten: Derzeit arbeiten die meisten Tools mit der Abfrage von privatem Wissen, zum Beispiel der ersten Automarke oder dem Mädchennamen der Mutter. Verfahren der Nachbarschaftshilfe stellen beispielsweise zwei Kollegen jeweils eine Hälfte des neuen Passworts zu. Besser geschützt gegen social Engineering Angriffe ist man dagegen durch biometrische Verfahren: Seit über einem Jahrzehnt haben Unternehmen Stimmerkennung zur Authentisierung im Einsatz.
Andere Verfahren sind prinzipiell verfügbar, allerdings muss in einer Gesamtkostenkalkulation auch der Aufwand für das Enrollment, also beispielsweise das Erfassen von Stimm-Mustern eingerechnet werden.
Bild 2: Toolunterstützung entlastet den Service-Desk markant
Ein weiteres Mittel, die Anzahl von Passwort Resets insgesamt zu reduzieren sind SSO-Methoden. Das wird durch die Integration von möglichst vielen Anwendungen in die zentrale Anmeldung (meist via Active Directory) oder die Einführung von dezidierten Single Sign-On Produkten bzw. Federation-Technologien erreicht: Dann müssen sich Anwender nämlich insgesamt weniger Benutzernamen-Passwort-Kombinationen merken.
Effekte von Single Sign-On
Gut mit Kennzahlen belegen lässt sich die Anzahl von Anwendungen, an denen sich ein User explizit „anmelden“ muss. Viele Silosysteme sind nämlich nicht nur aus Mitarbeitersicht ineffizient. Sie stellen zusätzlich ein erhebliches Sicherheitsrisiko dar: Wenn Passwörter auf Post-its geschrieben oder unter der Schreibtischablage zu finden sind, könnte man auch gänzlich auf sie verzichten. Oft ist es der ein-fachste und kostengünstigste Weg, Applikationen in das führende Directory zu integrieren. Klassische SSO-Produkte kommen zwar generell immer mehr „aus der Mode“, weil die Directory-Integration immer weiter fortschreitet. Sie erleben jedoch vor allem in Krankenhäusern derzeit eine Renaissance, weil sie auch einen schnellen Benutzer- bzw. Sessionwechsel auf den Stationsrechnern erlauben.
Bild 3: Kennzahlen App-Nutzung
Ohnehin schwindet die Relevant klassischer thick clients: Neu eingeführte Anwendungen sind meis-tens webbasiert – unabhängig davon ob sie intern betrieben werden oder von einem externen Cloud-Anbieter. Dafür werden die früher implementierten Web-SSO Lösungen zunehmend abgelöst durch Standard-basierende Federationtechnologien. Diese haben zusätzlich den Vorteil, dass sie bei Bedarf einen on-the-flight Provisionierung ermöglichen, also eine Neuanlage von Accounts auf der Grundlage einer Vertrauensstellung.
Bild 4: Kennzahlen App-Zugriffe
Allerdings kann die Zählung der Integrationsart von Applikationen ein verzerrtes Bild der gelebten Wirklichkeit abgeben: Wenn es viele Anwendungen gibt, die sehr wenige User haben, die diese auch noch selten nutzen, kann die Statistik unangemessen negativ aussehen. Ideal wäre es, die realen Zu-griffe zu zählen. Wenn diese Information nicht verfügbar ist, gibt immerhin eine Statistik über alle Accounts in den einzelnen Applikationen ein gutes Bild.