Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.05.2001 - 

Single Sign-On hilft, den Überblick zu bewahren

Lichtblick im Passwort-Dschungel

MÜNCHEN (sra) - Single-Sign-On-Lösungen nehmen Anwendern eine Bürde ab: Sie befreien von der Last, sich für jede Applikation ein eigenes Passwort merken zu müssen, indem sie die Anmeldevorgänge zu einer einzigen Abfrage zusammenfassen. Angenehmer Nebeneffekt: Unternehmen sparen Geld, weil am Helpdesk weniger Anrufe wegen vergessener Passwörter eingehen.

Ob Verzeichnisdienst, SAP oder Lotus Notes - viele Anwendungen verlangen eine gesonderte Anmeldung. Oft genug muss das Passwort dann auch noch aus Sicherheitsgründen in regelmäßigen Abständen gewechselt werden und bestimmten Anforderungen genügen (zum Beispiel Buchstaben und Ziffern enthalten). Ergebnis: Früher oder später wird ein Anruf beim Helpdesk fällig, weil sich der Benutzer nicht mehr an sein Kennwort erinnert. Pessimistischen Schätzungen zufolge betreffen 70 bis 80 Prozent aller Helpdesk-Anfragen verlorene Passwörter. Die Schweizer Bankgesellschaft UBS beispielsweise verzeichnete früher 8600 Passwort-Probleme pro 10000 Benutzer im Monat. Nach Einführung einer Smartcard-basierten Single-Sign-On-Lösung von Itsec aus Mönchengladbach sank diese Quote auf monatlich 750 Fälle, in denen User Pin-Codes vergessen hatten. Die Banker freut''s, weil die Betriebskosten für das Helpdesk gesunken sind.

Doch Single Sign-On beschert Firmen noch weitere Vorzüge: Der Administrator gewinnt eine bessere Übersicht, wer welche Anwendungen nutzt. Das ist zum Beispiel wichtig, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet, denn oft bleiben aus Versehen Zugriffsrechte erhalten, die eigentlich getilgt werden müssten. Solche Versäumnisse stellen eine Sicherheitslücke dar.

Generell verleitet die übliche Passwortflut dazu, ein einheitliches Kennwort zu wählen oder es sich an leicht auffindbaren Stellen zu notieren. Diesem Manko schiebt eine Single-Sign-On-Lösung einen Riegel vor. Andererseits öffnet sie auch neue Schwachstellen. Da der Zugriff auf viele Applikationen mit nur einem Passwort erfolgt, empfehlen Berater, das Login um biometrische Methoden - wie Fingerabdruck oder Iris-Scan- oder Token-Karten zu erweitern. "Eine Anmeldung nur mit Passwort ist riskant", bestätigt auch Roland Holtkämper, Partner und Projektbereichsleiter Security Consulting bei Secunet in Essen. "Deswegen werden oft Kartenleser gewünscht."

Typen von LösungenIst die Entscheidung für oder gegen Single Sign-On (SSO) im Unternehmen getroffen, bleibt zu klären, welcher Typ von Lösung angeschafft werden soll. Was sich technisch hinter dem Begriff verbirgt, ist nämlich mitunter recht unterschiedlich. Manche Lösungen synchronisieren alle Passwörter, so dass tatsächlich für die verschiedenen Applikationen ein und dasselbe Passwort benutzt wird. Als Beispiel hierfür kann "Passgo" von Symantec (ehemals Axent) dienen. Es handelt sich dabei um eine rein Server-basierende Lösung, die ohne Installation einer Komponente auf dem Client auskommt. Dadurch verläuft die Installation in der Regel unproblematisch und benötigt keine großen Ressourcen. Auf der anderen Seite besteht bei dem Ansatz der Passwortsynchronisation eine gewisse Sicherheitsgefahr. Da tatsächlich mit einem einzigen Passwort diverse Anwendungen zugänglich sind, darf dieses auf keinen Fall unverschlüsselt übertragen werden.

Andere Lösungen umgehen dieses Problem, indem sie auf dem Server in einem geschützten Bereich Benutzerprofile und User Accounts hinterlegen. Agenten auf den Clients können dann dort die Passwörter für beliebige Applikationen abfragen. Solche auf Verzeichnisdiensten basierenden Lösungen stammen etwa von Novell ("Novell Single Sign-On"), Computer Associates ("E-Trust Security") und Tivoli ("Global Sign On").

Benutzerprofile auf ServerBei Novell heißt der abgeschottete Bereich der Novell Directory Services (NDS) "Secret Store". Nicht einmal der Administrator, nur der Benutzer hat Zugriff darauf. Nach einem Login kann er diese verschlüsselten Informationen auslesen. Eine abgespeckte SSO-Version, die nur eine eingeschränkte Zahl an Websites und Applikationen unterstützt, erfordert lediglich die Installation von Secret Store und der Verschlüsselungskomponenten auf dem Server. Die knapp 50 Dollar je Benutzer teure Vollversion dagegen benötigt auch Komponenten auf dem Client, zum Beispiel einen Konnektor für Lotus Notes. Andere Hersteller verwenden statt dem Verzeichnisdienst NDS meist LDAP.

Public-Key-InfrastrukturAuch Public-Key-Verfahren lassen sich für die Anmeldung an Computersystemen einsetzen. Sie ermöglichen keinen Single Sign-On im eigentlichen Sinne, weil immer wieder eine neue Authentisierung erforderlich ist. Sie adressieren jedoch dasselbe Problem. PKIs benutzen zum Verschlüsseln einer Nachricht einen anderen Schlüssel als zum Entschlüsseln. Ihre Aufgabe ist es, die Schlüssel zum Verschlüsseln (öffentliche Schlüssel) zu verteilen, beglaubigen und zu sperren sowie die privaten Schlüssel zu schützen. Beglaubigte Schlüssel werden auch als digitale Zertifikate bezeichnet.

Die gängigste Form der PKI sieht eine Zentralstelle als wichtigsten Bestandteil vor. Das Trust-Center ist für die Ausgabe und Sperrung von digitalen Zertifikaten zuständig. Für ein Unternehmen bedeutet das, dass ein neuer Mitarbeiter sich beim Trust-Center des Unternehmens anmelden muss, um ein digitales Zertifikat und den zugehörigen privaten Schlüssel zu erhalten. Scheidet ein Mitarbeiter aus, wird sein Schlüsselpaar gesperrt. Damit öffentliche Schlüssel für alle Mitarbeiter und Kommunikationspartner zugänglich sind, gehört zu einem Trust-Center meist auch eine Datenbank (Verzeichnisdienst), die digitale Zertifikate allgemein zugänglich speichert.

Altanwendungen schwer einzubindenLaut Martin Steinkopf, Senior Business Consultant bei Iplanet, einem Joint Venture von Sun und Netscape in Hallbergmoos, liegt das Zertifikat auf dem Client. Der Server fordert es dort an und prüft seine Gültigkeit anhand der zentralen Datenbank. Dieses Verfahren gilt zwar als sehr sicher, billig ist die Anschaffung einer PKI allerdings nicht. Auch Legacy-Anwendungen sind schwer einzubinden. Eine Zertifikat-basierende Lösung eignet sich daher nach Angaben von Steinkopf weniger für Netze mit Hosts als für Browser.

Ebenfalls keinen SSO im eigentlichen Sinne bieten Lösungen, die auf sich öffnende Authentisierungsfenster ("HTTP: Basic Authentication") warten und diese blitzschnell ausfüllen. Solche Produkte haben allerdings einen Vorteil: Sie setzen keine Änderungen an Anwendungen voraus. Roland Holtkämper, Projektbereichsleiter bei Secunet, argumentiert, so gingen auch keine Garantieansprüche verloren. Der Pferdefuß: Diese Tools lassen sich leicht hacken. Sobald sich ein Fake-GUI öffnet, trägt die Lösung Benutzernamen und Passwort dort ein.

Noch ist Single Sign-On eher wenig verbreitet. Bauchschmerzen bereiten die oft noch heterogenen Welten mit diversen Plattformen und Applikationen. Reine Windows-Umgebungen bringen weniger Schwierigkeiten mit sich. "95 Prozent aller Windows-Anwendungen lassen sich abdecken", schätzt Thomas Gertler, Systems Engineer bei Novell in Eschborn.

Auch Web-Seiten und Terminalemulationen sind SSO-fähig. Telnet, SAP und Oracle gehören zum Standardprogramm. Schwierig wird es etwa, wenn Unix im Einsatz ist. Manche konventionellen Lösungen berücksichtigen auch noch keine Java-Anwendungen. Teils müssen die Anwender von ihren ursprünglichen Anforderungen abweichen, wenn sie sich als unrealistisch herausstellen und beispielsweise nur 75 Prozent der Arbeitsplätze anbinden.

Anpassung bedeutet AufwandEin weiteres Hindernis besteht im weitgehenden Fehlen großer Beispielinstallationen in Deutschland. Helmut Griehl, Senior Technical Consultant bei NK Network & Services in Berlin, vermutet, dass die Anwender keine Versuchskaninchen spielen wollen. Seiner Erfahrung nach befinden sich durch die immer kürzeren Produktzyklen häufig Fehler in der Software. Möglicherweise haben die Lösungen einfach die Ansprüche noch nicht erfüllt. Außerdem taugen fertige Lösungen nur für einfache Netze. Die Anpassung an die tatsächlich vorhandenen Verhältnisse, zum Beispiel das Programmieren von Konnektoren, bringt nach Angaben von Manfred Rothkugel, Senior Consultant bei Controlware in Dietzenbach, einen hohen Aufwand mit sich.

Nicht die oberste PrioritätSollte das Budget knapp sein, wird ein Unternehmen womöglich andere Prioritäten setzen. Schließlich funktioniert die DV auch mit vielen Passwörtern, wenn auch vielleicht nicht so effizient. Das Management investiert zuerst in die Behebung jener Probleme, die das meiste Kopfzerbrechen verursachen. Nach einer Flaute durch den zurückliegenden Jahrtausendwechsel erzeugt derzeit der elektronische Handel eine Nachfrage nach SSO-Lösungen. Entsprechend werden auch viele SSO-Produkte für das Web angeboten.

Hat ein Unternehmen mobile Anwender, sollte es bei der Auswahl eines SSO-Produkts darauf achten, dass auch diese Nutzer unterstützt werden. Oft speichern solche Lösungen die Passwörter lokal auf dem Notebook zwischen. Das Cashen auf dem Client kann auch kürzere Ausfälle des Servers überbrücken. Eine längere Ausfallzeit oder Überlastung des SSO-Servers muss jedoch vermieden werden, weil sich sonst niemand mehr einloggen kann und der Betrieb stillsteht. Besonders heikel ist die Zeit zwischen halb neun und halb zehn morgens, weil sich dann die SSO-Vorgänge häufen.

Last auf mehrere Punkte verteilenDiese maximale Last muss der Server verkraften. In der restlichen Zeit liegen unbenötigte Ressourcen brach. Als Lösung für dieses Problem bieten sich laut Holtkämper von Secunet Cluster oder dezentrale Server an. Sie verteilen die Last auf mehrere Punkte.

Für die Einführung empfiehlt der Berater, zuerst eine Teststellung vorzunehmen. Da sich die Last schlecht testen lässt, rät er hier zu einer Simulation. Dann können Pilotbereiche ausgewählt werden. Aus dem Dialog mit den Pilotanwendern ergeben sich in der Regel Anregungen für ein Redesign. "Ein Rollout in Etappen ist sinnvoll, er sollte sich aber nicht über Jahre hinziehen", so Holtkämper. Horst Leber, Program Manager bei Computer Associates in Darmstadt, schlägt vor, die Benutzer vor der Implementierung der Lösung in Gruppen mit gleichen Profilen einzuteilen. Im Falle einer PKI-Lösung sollte die Installation auf jeden Fall mit der zentralen Instanz anfangen.

Hamburgische LandesbankAus Gründen der Wirtschaftlichkeit und Sicherheit hat sich die Hamburgische Landesbank dafür entschieden, Single Sign-On zu verwenden. Derzeit befindet sich das Geldinstitut allerdings noch im Stadium der Produktauswahl. "Unsere Mitarbeiter haben mindestens fünf Systeme, in denen sie sich authentisieren müssen", schildert Ahmet Büyükyilmaz, Bevollmächtigter Organisation/Informatik, die Situation bei der Bank. "Damit haben wir einen Zustand erreicht, der nicht mehr wirtschaftlich ist." Außerdem will der DV-Spezialist verhindern, dass sich Mitarbeiter ihre Passwörter auf Zetteln notieren.

Statt einer Passwort-Synchronisation mit einem einheitlichen Passwort für die Zielsysteme favorisiert Büyükyilmaz eine dezentrale Lösung. Die Mitarbeiter authentisieren sich über eine Chipkarte und die Eingabe einer persönlichen Identifikationsnummer (PIN). Auf der Chipkarte sind die Passwörter dezentral gespeichert. "Wenn die Karte gestohlen wird, kann sich der Dieb trotzdem nicht anmelden, weil er die PIN nicht kennt", erläutert Büyükyilmaz den Sinn der doppelten Sicherung.

Auch Public-Key-Verfahren hält er für zukunftsträchtig. Für künftige Anwendungen, die im Browser zur Verfügung gestellt werden sollen, ist eine PKI geplant. Es existieren aber auch Legacy-Anwendungen. Die Hamburgische Landesbank versucht, sowohl für Neuentwicklungen als auch für Altanwendungen gangbare Wege zu finden. Allerdings besteht für Altanwendungen teilweise ein hoher Programmieraufwand, um sie SSO-fähig zu machen. In diesem Fall entscheidet eine Kosten-Nutzen-Analyse darüber, ob die Anpassung realisiert wird. "Bei Legacy-Applikationen, die massenhaft genutzt werden, lohnt sich das - wenn es nur fünf Angestellte gibt, die das brauchen, nicht", argumentiert der Organisator.

Auf jeder Chipkarte soll es ein Zertifikat geben. Der Ablauf dürfte dann so aussehen: Der Mitarbeiter steckt seine Chipkarte in das System, schaltet den Rechner an, gibt die PIN ein und klickt auf die gewünschte Anwendung. Von der Chipkarte wird das Zertifikat des Mitarbeiters ausgelesen und mit den Zertifikaten in einem Verzeichnis verglichen (Authentisierung). Erweist sich das Zertifikat als gültig, werden anhand der User-ID weitere Fragen geprüft: Darf der Mitarbeiter mit der Anwendung arbeiten? Welche Funktionen darf er nutzen? (Autorisierung). Erst dann kann er auf die Applikation zugreifen.

Abb.1: Single Sign-On: Informationsfluss

Am Authentication Host findet die einmalige Authentisierung des Benutzers statt - etwa durch Übermittlung von Benutzernamen und Passwort, durch biometrische Verfahren oder Zertifikate. War die Überprüfung erfolgreich, erhält der Client ein Ticket, das den Zugriff auf den SSO-Server erlaubt. Wenn der Benutzer nun eine seiner Anwendungen startet, holt sich der SSO-Client die für den Anmeldevorgang benötigten Informationen (zum Beispiel Login-Name/Passwort) vom SSO-Server. Quelle: CA

Abb.2: Magisches Quadrat: Extranet Access Markt (EAM)

Gartner definiert EAM-Produkte als Lösungen, die einen einheitlichen Mechanismus für die Verwaltung der Benutzerauthentisierung zur Verfügung stellen (dazu gehört auch Single Sign-On) und Regeln für den Zugriff auf Daten und Applikationen implementieren. Eine Führungsrolle nimmt laut Gartner die Firma Netegrity mit ihrer Software "Siteminder" ein. Diese positive Einschätzung basiert vor allem auf der schnellen Integration der von Anwendern gewünschten Features in die Software. Quelle: Gartner Research