M 4.498 Sicherer Einsatz von Single-Sign-On

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Ein Wunschziel für ein zentrales Identitäts- und Berechtigungsmanagement-System ist, dass sich IT-Benutzer einmal authentisieren und danach durchgängig Zugriff auf die IT-Systeme und Anwendungen im Informationsverbund erhalten, für die sie die entsprechenden Berechtigungen haben. Eine solche Lösung wird Single-Sign-On (SSO) genannt. Durch diese ist es für Administratoren einfacher, Identitäten und Berechtigungen zu verwalten, und für Benutzer erleichtert es die IT-Nutzung, da sie sich nur noch einmal anmelden müssen. Aus Sicherheitssicht bringt ein SSO daher viele Vorteile, aber auch einige Risiken und entsprechende Sicherheitsmaßnahmen mit sich:

In SSO-Systeme können die verbreiteten IT-Systeme und Anwendungen ohne große Anpassungen eingebunden werden, für Nicht-Standard-Lösungen müssen andere Lösungen gefunden werden. Daher werden in der Praxis aus Gründen der Kompatibilität und Wirtschaftlichkeit eher sogenannte Reduced-Sign-On-Lösungen mit nicht vollständig institutionsweiten Berechtigungen verwendet.

Benutzer können mehrere Rollen mit unterschiedlichen Berechtigungsprofilen gleichzeitig haben, beispielsweise Administration und Mitarbeiter. Es muss daher überlegt werden, wie bei SSO sichergestellt werden kann, dass Benutzer Aufgaben mit unterschiedlichen Sicherheitsanforderungen nicht unter einer Benutzerkennung mit den maximalen Berechtigungen durchführen (Rollentrennung).

Für verschiedene Rollen sollten Benutzer auch unterschiedliche Systemrollen nutzen, also unter getrennten Benutzerkennungen arbeiten, insbesondere bei unterschiedlichem Sicherheitsanforderungen. So kann beispielsweise verhindert werden, dass mittels einer kompromittierten Benutzerkennung zu viele Berechtigungen durch einen Angreifer missbraucht werden können.

Mitarbeitern sollten jedoch auch nicht zu viele Benutzerkennungen zugeteilt werden, da dies unpraktikabel ist und dadurch die Gefahr steigt, dass durch Umgehungsversuche neue Sicherheitsrisiken entstehen. Deswegen sollte abhängig vom Schutzbedarf der Daten oder IT-Systeme geprüft werden, wie viele Benutzerkennungen nötig sind.

Der Einsatz des XML-Framework Security Assertion Markup Language (SAML) oder von Programmkonstrukten wie beispielsweise FastXPath-basierte Positionsangaben und Transformation von Namespace-Präfixen können die Sicherheit von SSO-Systemen gegen XML-Signature-Wrapping-Angriffe verbessern.

Prüffragen: