User-Self-Services dank zentraler Sicherheitslösung

Zürich, 11.09.2013 – security-zone.info

Accounts entsperren, vergessene Passwörter zurücksetzen oder neue Kunden registrieren: Gerade bei hohen Nutzerzahlen sind Helpdesks häufig mit einfachen, repetitiven, Aufgaben ausgelastet. User-Self-Services entlasten nicht nur die Helpdesk-Mitarbeitenden und sparen so Kosten für das Unternehmen, sondern verkürzen auch die Wartezeiten der Nutzer. Auch in Umgebungen mit erhöhten Sicherheitsanforderungen können zentrale Authentifizierungslösungen diese Aufgaben übernehmen.

 

User-Self-Services sind im Trend: Laut einer Studie des Service Desk Institutes mit Sitz in Kent (UK) nutzen bereits über 80% der teilnehmenden Unternehmen Self-Services – und sie wollen sie weiter ausbauen. Die Studie zeigt ausserdem, dass dank Self-Service-Technologie die Nutzerzufriedenheit steigt und sich die Servicequalität verbessert – aber nur, wenn die verwendete Technologie ausgereift und sicher ist.

Zentrale Sicherheitslösung

Dass eine zentrale Sicherheitslösung viele Vorteile bietet, ist mittlerweile bekannt: Eine vorgelagerte Plattform mit Application Firewall und Authentifizierung garantiert einen hochsicheren Zugang zu sensiblen Daten und Applikationen via Internet. Eine flexible Architektur macht es möglich, unkompliziert neue Applikationen hinzuzufügen und jederzeit auf ein noch passenderes Authentifizierungstoken zu wechseln.
Dieser Ansatz bietet einen weiteren Vorteil: User-Self-Services und Self-Administration machen den Alltag nicht nur für Kunden einfacher, auch Unternehmen können einen nicht zu unterschätzenden täglichen Aufwand und damit Kosten einsparen.

Account selber entsperren

Dass sich ein Nutzer selbständig ein- und ausloggen sowie das Passwort ändern kann, ist selbstverständlich. Der Nutzer ist sich heute aber auch gewohnt, dass alle administrativen Vorgänge bei Internet-Applikationen weitgehend automatisch und ohne Verzögerung abgewickelt werden: Hat er beispielsweise sein Passwort vergessen, will er nur einen Knopf drücken und sofort ein neues in seinem Mail finden. Bei vielen Anwendungen mit starken Authentifizierungsanforderungen gibt es diese Möglichkeit jedoch nicht. Nach drei vergeblichen Versuchen, das richtige Passwort einzutippen, wird man gesperrt. Um sich entsperren zu lassen und es nochmals zu versuchen, muss man den Helpdesk anrufen. Eine Analyse zeigte, dass bis zu 50 % der Anrufer genau dieses Anliegen hatten – häufig war das Passwort beim vierten oder fünften Versuch dann aber korrekt. Ein kosten- und zeitintensiver Vorgang für alle Beteiligten – dabei ist hier eine einfache Lösung möglich: Die zentrale Authentisierungskomponente bietet die Möglichkeit, dass der Nutzer nach den ersten drei Versuchen sein Token einsetzen kann – also beispielsweise den SMS-Code eintippt – und sich so selber für drei weitere Versuche entsperrt. Oft reicht dies für einen erfolgreichen Login. Die Anzahl der Anrufe beim Service Desk nehmen so signifikant ab.

Self-Migration minimiert Risiko

Ein weiteres typisches Szenario mit hohem Aufwand ist der Wechsel des Sicherheitstokens, beispielsweise von der Matrix-Karte auf den SMS-Code. Dazu muss jeder einzelne Nutzer zwingend seine Handynummer angeben. Man könnte jeden einzelnen Nutzer per Post anschreiben. Dies wäre nicht nur ein grosser Aufwand, sondern würde auch Risiken mit sich bringen: Ein Brief kann abgefangen werden! Es ist deshalb auch nicht sichergestellt, dass die angegebene Telefonnummer auch tatsächlich dem gewünschten Kontoinhaber gehört. Ausserdem: Was, wenn der Nutzer trotz mehrmaliger Aufforderung nicht auf den Brief reagiert?
Viel sinnvoller ist es, die Migration gleich mit dem Login zu verknüpfen, also die Möglichkeit der Self-Migration zu nutzen. So ist die Sicherheit gegeben: Der Nutzer gibt seine Nummer direkt an, nachdem er die Matrix-Karte genutzt hat. Um die Sicherheit zu erhöhen, kann das System via SMS vom Nutzer eine Matrix-Karten-Position abfragen. Ausserdem kann der Nutzer ab einem bestimmten Zeitpunkt gezwungen werden, den Migrations-Workflow zu starten – sonst bekommt er keinen Zugang mehr zum Dienst. Das Resultat ist eine sicherere Migration, die erst noch weniger Aufwand für den Anbieter mit sich bringt.

Einmaliger Login

In einem weiteren Schritt kann der Single Sign-on auf externe Applikationen erweitert werden. Dazu kann der Nutzer selber beim Authentifizierungsdienst einmalig die gewünschten Dienste mit den zugehörigen Login-Daten eingeben und muss sich von diesem Zeitpunkt an nur noch einmal anmelden, um sowohl auf die internen als auch die externen Dienste Zugriff zu erhalten. Als zusätzlichen Service erhält er so eine starke Authentifizierung und somit eine erhöhte Sicherheit für alle seine Internet-Applikationen wie Mail-Accounts oder Social Networks.

Eine zentrale Authentifizierungslösung macht das Leben sowohl für Anbieter als auch für Nutzer einfacher – gerade im Hinblick auf Self-Services, die so an einem zentralen Ort verwaltet werden.

 

Marc Bütikofer, Senior Security Consultant bei Ergon Informatik AG. Ergon ist Herstellerin der etablierten Sicherheitsprodukte Airlock, einer Web Application Firewall, und der Authentisierungsplattform Medusa.