In der heutigen digitalen Ära ist die Flexibilität, von überall aus arbeiten zu können, nicht nur ein Wunsch, sondern oft eine Notwendigkeit. Unternehmen erkennen zunehmend die Vorteile, die sich aus der Bereitstellung von Anwendungen auf privaten Smartphones und in Teilen auch PCs ihrer Mitarbeitenden ergeben. Ein solcher Ansatz kann jedoch sicherheitstechnische Bedenken aufwerfen, insbesondere wenn es um den Zugriff auf Unternehmensanwendungen und -daten geht. In diesem Beitrag werden wir uns mit dem sicheren Einsatz von Single Sign-On (SSO)-Lösungen auf privaten Endgeräten beschäftigen und mögliche Maßnahmen zur Verbesserung der Sicherheit diskutieren.
Herausforderungen bei der Implementierung von SSO auf privaten Endgeräten
Die Implementierung von Single Sign-On (SSO) auf privaten Endgeräten bringt eine Reihe von Herausforderungen mit sich. Dazu gehören der Schutz sensibler Unternehmensdaten, die Gewährleistung der Privatsphäre der Mitarbeitenden und die Minimierung des Risikos von Sicherheitsvorfällen jeglicher Art. Die Hauptfrage ist: Wie können Unternehmen eine sichere und gleichzeitig benutzerfreundliche Lösung implementieren? Wie kann man Mitarbeitende auf allen denkbaren Wegen effizient und auf eine moderne Art und Weise erreichen – ohne bspw. der gesamten Belegschaft berufliche Smartphones zur Verfügung zu stellen?
Maßnahmen zur Verbesserung der Sicherheit
Aus sicherheitstechnischer Sicht sind private Endgeräte nicht durch das Unternehmen kontrolliert und überwacht. Ausserdem ergeben sich aus dem privaten Nutzungskontext – zu hause, auf dem Weg ins Büro oder in der Freizeit – naturgemäß verschiedene Herausforderungen. Daher ist es wichtig konkrete Maßnahmen zu diskutieren und zu implementieren, um Risiken zu minimieren.
Die folgenden Maßnahmen eignen sich dazu und wurden von uns bereits in verschiedenen Kundenprojekten erfolgreich umgesetzt:
- Schulung der Mitarbeiter
- Bewusstsein Schaffen: Schulen Sie Ihre Mitarbeitenden im sicheren Umgang mit der App, insbesondere im Hinblick auf die Gefahren von „Shoulder Surfing“ (wenn jemand über die Schulter schaut, um Informationen abzugreifen).
- Richtlinien Kommunizieren: Stellen Sie klare Richtlinien und Best Practices für die Nutzung von Unternehmensanwendungen auf privaten Geräten zur Verfügung.
- Bewusstsein Schaffen: Schulen Sie Ihre Mitarbeitenden im sicheren Umgang mit der App, insbesondere im Hinblick auf die Gefahren von „Shoulder Surfing“ (wenn jemand über die Schulter schaut, um Informationen abzugreifen).
- Biometrischer Schutz
- Zusätzliche Sicherheitsebene: Integrieren Sie biometrische Authentifizierungsoptionen wie Fingerabdruck- oder Gesichtserkennung als zusätzliche Sicherheitsebene. Dies stellt sicher, dass nur der konkrete Mitarbeitende Zugriff auf die App hat – selbst wenn das Smartphone einmal in fremde Hände gerät.
- App Lock: Nutzen Sie zusätzlich oder alternativ den sog. App Lock, d.h. dass die Nutzung der App nur auf einem passwortgeschützten Endgerät möglich ist. Diese Funktion stellt ein Mindestmaß an Schutz des Endgeräts sicher. Ohne diesen Schutz ist die App nicht nutzbar und kein Zugriff möglich (Details siehe hier).
- Zusätzliche Sicherheitsebene: Integrieren Sie biometrische Authentifizierungsoptionen wie Fingerabdruck- oder Gesichtserkennung als zusätzliche Sicherheitsebene. Dies stellt sicher, dass nur der konkrete Mitarbeitende Zugriff auf die App hat – selbst wenn das Smartphone einmal in fremde Hände gerät.
- Beschränkung des SSO-Zugriffs
- Zugriffsmanagement: Beschränken Sie den SSO-Zugriff auf Konten und Anwendungen, die nicht sicherheitskritisch sind, um das Risiko im Falle eines Sicherheitsvorfalls zu minimieren. Mitarbeitende mit Admin-Rechten sollten entweder getrennte Konten nutzen oder ein eigenes Konto über tchop nutzen.
- Rollenbasierte Zugriffskontrolle: Implementieren Sie eine rollenbasierte Zugriffskontrolle, um sicherzustellen, dass Mitarbeiter nur auf die für ihre Arbeit relevanten Anwendungen und Inhalte zugreifen können. Über das SSO lassen sich Rechte, Rollen oder Gruppen in Form von Parametern weitergeben.
- Zugriffsmanagement: Beschränken Sie den SSO-Zugriff auf Konten und Anwendungen, die nicht sicherheitskritisch sind, um das Risiko im Falle eines Sicherheitsvorfalls zu minimieren. Mitarbeitende mit Admin-Rechten sollten entweder getrennte Konten nutzen oder ein eigenes Konto über tchop nutzen.
- IP-Whitelisting für die Web App
- Zugriffskontrolle: Durch das Whitelisting vertrauenswürdiger IP-Adressen können Sie sicherstellen, dass nur autorisierte Nutzer Zugriff auf Webanwendungen haben.
- VPN-Nutzung: Durch die Nutzung eines VPNs für Mitarbeiter ist die Web App sicher vom Arbeitsplatzrechner auch mobil zu erreichen.
- Protokollierung und Überwachung: Abhängig von den Einschränkungen beim Datenschutz gibt es die Möglichkeit Webanwendungen kontinuierlich zu untersuchen, um mögliche Anomalien oder Sicherheitsverletzungen schnell zu identifizieren.
- Zugriffskontrolle: Durch das Whitelisting vertrauenswürdiger IP-Adressen können Sie sicherstellen, dass nur autorisierte Nutzer Zugriff auf Webanwendungen haben.
Erstellung einer Sicherheitsanalyse
Die Möglichkeit der SSO-Anmeldung auf privaten Endgeräten, spez. Smartphones bringt trotzdem immer Risiken mit sich. Um diese genauer zu evaluieren, bietet sich eine sog. Risikoanalyse an. Experten im Bereich Informationssicherheit sind damit vertraut und die Nutzung entsprechender Protokoll- und Prozessvorgaben erleichtert die Erstellung einer entsprechenden Analyse.
Gute Erfahrungen gemacht haben wir auch mit der Erstellung von sog. Risikobehandlungsplänen, die die oben beschriebenen Maßnahmen genau dokumentieren und in die konkrete Handlungsempfehlungen überführen. Diese sollten dann Teil einer Risikoanalyse sein.
Fazit
Die Bereitstellung von SSO auf privaten Endgeräten kann eine Win-Win-Situation für Unternehmen und Mitarbeiter darstellen, indem sie einerseits die Benutzerfreundlichkeit erhöht und andererseits flexible Arbeitsmodelle unterstützt. Mitarbeitende können auf modernen, effizienten Wegen erreicht werden. Eine Kommunikation, die speziell bei jüngeren Zielgruppen heute erwünscht und auch üblich ist. Durch die Implementierung durchdachter Sicherheitsmaßnahmen und die Schulung der Mitarbeiter können Unternehmen sicherstellen, dass sie die Vorteile dieser Technologie nutzen können, ohne Kompromisse bei der Sicherheit einzugehen.