Mit Hybrid-Identitäten gegen die Passwort-Flut aus der Cloud

5 Min. Lesezeit
6. Mai 2019

Applikationen und Services aus dem Web haben unbestreitbare Vorteile. Es gibt jedoch auch eine Kehrseite, die nur selten adressiert wird: Die Nutzer sammeln immer mehr Accounts und Passwörter – zum Teil jenseits der Aufsicht der IT-Administration. Sicherheitsprobleme sind dann schon fast vorprogrammiert, aber auch die Kontrolle über die IT-Kosten geht unbemerkt verloren. Einen Ausweg aus diesem Dilemma bieten Hybrid Identity Services.

Zu Zeiten als Anwendungen noch ausschließlich on premise installiert wurden, war Single-Sign-on integraler Bestandteil der Office-IT – obwohl es damals keiner so nannte: Der Nutzer meldete sich an seinem PC oder Notebook an und hatte damit Zugriff auf alle Ressourcen, die für ihn eingerichtet wurden. Seien es SAP-Anwendungen und -Server, Netzwerkressourcen unter Windows oder der Zugriff auf Großrechner-Applikationen von IBM. Doch das ist lange vorbei. Immer mehr Anwendungen und Services kommen aus der Cloud, die Nutzer setzen neben PC und Notebook auch Smartphones und Tablets ein. Häufig müssen sie für jeden Dienst und jede Cloud-Applikation ein eigenes Login anlegen und ein neues Passwort vergeben.

Experten schätzen, dass sich die Zahl der Accounts alle fünf Jahre verdoppelt. Angesichts der zunehmenden Cloud-Nutzung darf das nicht verwundern. Die Anbieter von Passwort-Managern liefern dazu beeindruckende Zahlen: Dashlane kommt auf durchschnittlich 92 Accounts pro User https://blog.dashlane.com/infographic-online-overload-its-worse-than-you-thought/, LastPass sogar auf 191 Passwörter für einen durchschnittlichen Business-Anwender. Ein neuer Mitarbeiter starte mit rund 20 Passwörtern, innerhalb eines Quartals verdoppele sich deren Zahl. https://www.securitymagazine.com/articles/88475-average-business-user-has-191-passwords 

Identitäts-Flut ist Sache der Unternehmen

Auch wenn die Zahl der Logins, die regelmäßig für die Arbeit genutzt werden, wesentlich niedriger liegt – Grund für eine Entwarnung ist das nicht. Denn es ergeben sich daraus gleich mehrere Risiken.

Zum einen ist hier die schiere Zahl der Passwörter zu nennen. Wer regelmäßig 14 verschiedene Anmeldungen machen muss, wird sich kaum 14 verschiedene Passwörter merken können, die den Anforderungen an die Passwortsicherheit genügen: lang, gemischt aus Groß- und Kleinschreibung, mit Zahlen und Sonderzeichen, und diese dann womöglich noch in unterschiedlichen Zeitabständen zwangsweise zu ändern. In der Folge werden entweder Passwörter recycled – sprich: bei verschiedenen Diensten taucht immer wieder das gleiche Passwort auf. Wird aber nur einer dieser Dienste gehackt, sind auch alle anderen Accounts, die der User mit diesem Passwort nutzt, in Gefahr.

Oder aber die Passwörter werden in einem Passwort-Tresor hinterlegt – wie sich gezeigt hat, ist auch das ein Sicherheitsrisiko, denn solche Tools sind selten so sicher wie versprochen. So wurde KeePass bereits 2014 gehackt, 2015 traf es LastPass und 2017 folgte OneLogin. Für die Hacker ist ein solcher Zugriff quasi der Jackpot: Mit einem Hack jede Menge weiterer Zugangsdaten auf unterschiedlichen Systeme.

Ein zweites Risiko besteht in operativer Hinsicht: Wird ein Mitarbeiter versetzt oder bekommt eine neue Rolle, können sich seine Zugriffsrechte ändern. Die IT-Administration muss in diesem Fall sicherstellen, dass das Lesen oder Bearbeiten von Kunden- und Unternehmensdaten nur entsprechend der neuen Rolle erfolgen kann. Dies wiederum setzt voraus, dass die IT-Abteilung sämtliche Accounts kennt und darauf Zugriff hat, diese also im Zweifelsfall sogar sperren kann. Gerade angesichts der zunehmenden Fälle von „Schatten-IT“, also Services, die an der IT vorbei von der Fachabteilung gebucht und eingerichtet werden, ist mehr als zweifelhaft, ob die Unternehmens-IT diesem Anspruch gerecht werden kann. Das gilt in noch stärkerem Maße, wenn ein Mitarbeiter ausscheidet und der Zugriff auf Services und Daten sicher unterbunden werden muss. Dann kommt auch noch ein wirtschaftlicher Aspekt hinzu: Nicht mehr benötigte Accounts und Lizenzen müssen gekündigt oder neu vergeben werden, damit keine unnötigen Kosten entstehen.

Es liegt also um höchsten Maße im eigenen Interesse eines Unternehmens, den Wildwuchs an Accounts und Passwörtern zu begrenzen und seinen Mitarbeitern Lösungsmöglichkeiten anzubieten, die von der IT-Administration gemanaged und kontrolliert werden können. 

Der Schatten-IT die Grundlage entziehen

Ein bedeutender Punkt bei der Lösung dieses Problems ist das Verhindern der Schatten-IT. Diese entsteht meistens aus einem Konflikt heraus: Die Mitarbeiter brauchen bestimmte Tools, um ihre Aufgaben schnell und effektiv lösen zu können. Sind diese nicht über die Unternehmens-IT zu beziehen, kommt es schnell zu einer Eigeninitiative der Fachabteilungen, die dann passende Cloud-Services buchen.

Doch warum bietet die IT-Abteilung die gewünschten Tools nicht an? Meist sind die gewünschten Applikationen aus der Consumer-Welt bekannt, entsprechen aber nicht den Richtlinien zur Governance des Unternehmens. Die Lösung dieses Konfliktes liegt daher auf beiden Seiten: Die Fachabteilungen müssen ein Bewusstsein dafür bekommen, welche Anforderungen an Tools im Unternehmenseinsatz gestellt werden und dass in diesem Sinne unsichere oder nicht rechtskonforme Anwendungen zu Problemen führen. Umgekehrt ist es Aufgabe der IT-Abteilung, für die Bedürfnisse der Fachabteilung geeignete Alternativen zu finden und anzubieten.

Eine der zentralen Fragen an dieser Stelle lautet: „Best of Breed oder Best of Suite?“ Ein ganzer Strauß an Applikationen, die jede für sich jeweils das Optimum an Funktionalität bieten, aber mit jeweils eigener Benutzerverwaltung, eigenem Login und eigenen Datenformaten agiert, kann in der Gesamtschau hinter einer Suite-Lösung zurückbleiben, die eben eine gemeinsame Nutzerverwaltung, einheitliche Datenformate und eine hohe Integration der Funktionen über die verschiedenen Anwendungen hinweg bietet. Dies kann natürlich bedeuten, dass Kompromisse bei der Funktionalität eingegangen werden müssen. Diese dürfen jedoch nicht zu große Belastungen der Arbeitseffizienz nach sich ziehen, sonst leidet die Akzeptanz bei den Mitarbeitern – und die Attraktivität der Schatten-IT steigt wieder. 

Vorteil Hybrid-Identity- und Single-Sign-on-Services

Ein Vorteil in Sachen Arbeitseffizienz, der Nachteile für die Anwender an anderer Stelle möglicherweise ausgleichen kann, ist ein zentrales Management der User-Identitäten. Wenn der Weg zu neuen Tools über die Unternehmens-IT bedeutet, dass man die Anwendungen einfacher aufrufen kann, sich nicht mehr 14 Logins und Passwörter merken muss, sondern eben mit einmaliger Anmeldung auch Zugriff auf Webservices und Cloud-Ressourcen hat, dann gewinnt der Nutzer einen echten Vorteil.

Die Lösung dafür bieten Hybrid Identity Services, die es ermöglichen mit einem Account sowohl On-Premise- als auch Cloud-Anwendungen zu nutzen. Sie ermöglichen es der Unternehmens-IT, Accounts automatisiert zu verwalten und die oben beschriebenen Probleme auszumerzen. Wenn eine Anwendung bislang allein aus dem Grund, dass die IT-Abteilung den Zugriff nicht kontrollieren kann, als nicht Governance-konform abgelehnt wird, dann können Hybrid Identity Services ebenfalls den Weg ebnen, den Fachabteilungen genau das gewünschte Tool zur Verfügung zu stellen.

Im Idealfall kann für den User eine Single-Sign-on-Umgebung geschaffen werden. Ansätze dafür sind in jedem Unternehmen bereits vorhanden. So lassen sich bereits eine große Zahl von Ressourcen und Diensten über das Microsoft Active Directory abdecken, wo diese nicht ausreichen, können übergreifende Drittlösungen gute Dienste leisten. 

Entlastung für die IT-Administration

Für die IT-Abteilung lohnt sich der Einsatz von Hybrid-Identity- und Single-Sign-on-Lösungen langfristig auf jeden Fall. Anfragen wegen vergessener Passwörter gehen zurück, Personalwechsel und ausscheidende Mitarbeiter können einfacher, schneller und zuverlässiger gemanaged werden, und die Attraktivität der Schatten-IT wird zumindest begrenzt. Die Kontrolle über Daten- und Ressourcenzugriffe wird dadurch verbessert – ein gewichtiger Aspekt gerade auch in Hinblick auf die Datenschutz-Grundverordnung (DSGVO) –, und es sinkt die Gefahr, dass Kosten für ungenutzte Accounts und Lizenzen entstehen, die nach dem Ausscheiden eines Mitarbeiters niemand kündigt, weil sie in der IT-Abteilung schlicht nicht bekannt sind.

Sind solche Grundlagen im User- und Identity-Management erst einmal gelegt, dann kann die Entwicklung weitergeführt werden, mit Self-Services für Mitarbeiter und sogar für Kunden. Die Effizienz der Unternehmens-IT kann damit weiter gesteigert werden, weil zum einen die IT-Abteilung von der Erledigung trivialer Aufgaben entlastet wird und zum anderen die Datenqualität steigt, wenn die Umsetzung den wichtigsten Anforderungen folgt. 

Fazit

Ein scheinbar banaler Vorgang wie das Login per Account-Name und Passwort hat im Unternehmenseinsatz eine Fülle von Aspekten, die die Leistungsfähigkeit von Mitarbeitern und IT-Administration betreffen, die Auswahl von Anwendungen, Tools und Cloud-Services bis hin zur Organisation von Arbeitsprozessen und dem Angebot an Kunden-Services. Damit ist auch ein hohes Potenzial für Effizienzgewinne gegeben.

Um dieses zu heben, sollten Unternehmen ruhig die Hilfe erfahrener Dienstleister wie ACP in Anspruch nehmen. Experten für die Cloud können Sie nicht nur dabei beraten, wie IT-Policies und die Entscheidungsprozesse für die Auswahl von Online-Anwendungen gestaltet werden sollten, sondern auch bei der Frage nach „Best of Breed vs. Best of Suite“, wie sich verschiedene Verzeichnisdienste verbinden lassen, welche Tools für Hybrid-Identity-Services und Single-Sign-on den Unternehmensanforderungen entsprechen und wie diese am sinnvollsten eingesetzt werden.