Bundesamt für Sicherheit in der Informationstechnik

M 4.498 Sicherer Einsatz von Single-Sign-On

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Ein Wunschziel für ein zentrales Identitäts- und Berechtigungsmanagement-System ist, dass sich IT -Benutzer einmal authentisieren und danach durchgängig Zugriff auf die IT -Systeme und Anwendungen im Informationsverbund erhalten, für die sie die entsprechenden Berechtigungen haben. Eine solche Lösung wird Single-Sign-On ( SSO ) genannt. Durch diese ist es für Administratoren einfacher, Identitäten und Berechtigungen zu verwalten, und für Benutzer erleichtert es die IT -Nutzung, da sie sich nur noch einmal anmelden müssen. Aus Sicherheitssicht bringt ein SSO daher viele Vorteile, aber auch einige Risiken und entsprechende Sicherheitsmaßnahmen mit sich:

  • Bei einem Identitätsdiebstahl hat ein Angreifer nicht nur Zugriff auf ein System, sondern auf viele. Daher sollten SSO -Systeme immer mit Zwei-Faktor-Authentisierung eingesetzt werden.
  • Die Sicherheit des SSO -System bestimmt die Sicherheit der angeschlossenen Systeme und Anwendungen. Daher müssen die für Single-Sign-On genutzten Sicherheitsmechanismen sowie die Passwortgüte (Bildungsregeln, Komplexität, Gültigkeitsdauer) den kumulierten Anforderungen der angeschlossenen Anwendungen bzw. Systeme genügen.
  • Für Angreifer sind Authentisierungsinformationen bei SSO besonders interessant. Daher dürfen diese nur verschlüsselt übertragen und gespeichert werden.
  • Wenn das zentrale SSO -System ausfällt, kann unter Umständen auf damit verbundene IT -Systeme oder Anwendungen nicht mehr zugegriffen werden. Daher ist hier unbedingt ein Notfallkonzept erforderlich (siehe M 6.166 Notfallvorsorge beim Identitäts- und Berechtigungsmanagement-System ).
  • Mobile IT -Systeme sind eventuell zeitweise offline. Trotzdem wollen die Benutzer auch unterwegs arbeiten können. Es muss sichergestellt sein, dass in solchen Situationen ein abgesicherter Zugriff möglich ist.
  • Wenn Benutzer sich beim SSO -System nicht anmelden können, beispielsweise weil sie ihr Anmeldetoken oder Passwort vergessen haben, können sie ihre IT erst wieder nutzen, wenn entsprechende Ersatzmaßnahmen vorgenommen wurden.
  • Häufig werden bei SSO -Systemen die Zugriffsrechte nicht oder nicht ausreichend entsprechend dem jeweiligen Kontext vergeben, also abhängig von Rolle, Ort, Zeit oder Aktivität, so dass Benutzer für viele Aktionen mit zu weitreichenden Zugriffsberechtigungen arbeiten.
  • Benutzer müssen sich bei SSO -Systemen konsequent abmelden, da durch SSO die Sicherheit vieler Systeme von der Zugriffssicherheit abhängt. Es muss überprüft werden, wie eine automatische Abmeldung bei Inaktivität erfolgen kann, da durch SSO auch Systeme mit angebunden sein können, bei denen längere Phasen der Inaktivität normal sein können.
  • Die Möglichkeit einer Mehrfachanmeldung am SSO -System sollte deaktiviert werden. Ebenso ist eine automatische Sperrung von Benutzern bei mehrfach fehlgeschlagener Anmeldung am SSO -System empfehlenswert.

In SSO -Systeme können die verbreiteten IT -Systeme und Anwendungen ohne große Anpassungen eingebunden werden, für Nicht-Standard-Lösungen müssen andere Lösungen gefunden werden. Daher werden in der Praxis aus Gründen der Kompatibilität und Wirtschaftlichkeit eher sogenannte Reduced-Sign-On-Lösungen mit nicht vollständig institutionsweiten Berechtigungen verwendet.

Benutzer können mehrere Rollen mit unterschiedlichen Berechtigungsprofilen gleichzeitig haben, beispielsweise Administration und Mitarbeiter. Es muss daher überlegt werden, wie bei SSO sichergestellt werden kann, dass Benutzer Aufgaben mit unterschiedlichen Sicherheitsanforderungen nicht unter einer Benutzerkennung mit den maximalen Berechtigungen durchführen (Rollentrennung).

Für verschiedene Rollen sollten Benutzer auch unterschiedliche Systemrollen nutzen, also unter getrennten Benutzerkennungen arbeiten, insbesondere bei unterschiedlichem Sicherheitsanforderungen. So kann beispielsweise verhindert werden, dass mittels einer kompromittierten Benutzerkennung zu viele Berechtigungen durch einen Angreifer missbraucht werden können.

Mitarbeitern sollten jedoch auch nicht zu viele Benutzerkennungen zugeteilt werden, da dies unpraktikabel ist und dadurch die Gefahr steigt, dass durch Umgehungsversuche neue Sicherheitsrisiken entstehen. Deswegen sollte abhängig vom Schutzbedarf der Daten oder IT -Systeme geprüft werden, wie viele Benutzerkennungen nötig sind.

Der Einsatz des XML -Framework Security Assertion Markup Language ( SAML ) oder von Programmkonstrukten wie beispielsweise FastXPath-basierte Positionsangaben und Transformation von Namespace-Präfixen können die Sicherheit von SSO -Systemen gegen XML -Signature-Wrapping-Angriffe verbessern.

Prüffragen:

  • Entsprechen die bei Single-Sign-On genutzten Sicherheitsmechanismen den Anforderungen der angeschlossenen Anwendungen bzw. Systeme?

  • Wird bei SSO konsequent Zwei-Faktor-Authentisierung genutzt?

  • Werden Authentisierungsinformationen bei SSO ausschließlich verschlüsselt übertragen und gespeichert?

Stand: 15. EL Stand 2016