Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Zugangsschutz durch Single-Sign-On ? Problembeschreibung Der Zugang zu Arbeitsplatzrechnern und Anwendungsprogrammen wird in der Regel durch Passworte geschützt. Wenn Personen an unterschiedlichen Rechnern arbeiten und mehrere Programme nutzen, müssen sie sich häufig eine Vielzahl von Passworten merken. Bei der Nutzung eines Single-Sign-On muss sich der Nutzer nur einmal gegenüber dem System authentisieren. Beim Zugriff auf eine bestimmte Ressource erfolgt die Überprüfung der Zugriffsrechte an einem zentralen Server. Der Nutzer erhält dann die mit dem Benutzerkonto verbundenen Berechtigungen, die Anwendungsprogramme und Ressourcen nutzen zu können, ohne dass er beim Aufruf der Programme erneut ein Passwort angeben muss. Dem großen Vorteil, dass sich der Benutzer nur noch ein Passwortwort merken muss, stehen verschiedene Bedrohungen und Risiken gegenüber, die im Folgenden beleuchtet werden. Bedrohungen und Risiken beim Single-Sign-On Benutzer und Benutzerumfeld Je weniger Passworte sich ein Nutzer merken muss, desto geringer ist die Gefahr, dass einfache Passworte genutzt werden. Die Gefahr, dass Passworte aufgeschrieben und für andere leicht zugänglich aufbewahrt werden, wie z.B. als Notiz unter der Tastatur, wird geringer. Die Eintrittswahrscheinlichkeit, dass andere durch Unachtsamkeit des Benutzers unbefugt auf Daten zugreifen, wird durch das Single-Sign-On kleiner. Die Benutzerfreundlichkeit steigt deutlich. Die Schadensauswirkungen sind beim Single-Sign-On jedoch höher, wenn ein Unberechtigter sich anmeldet, da mit einem Passwort auch die Daten anderer Anwendungsprogramme einsehbar werden. Es besteht das Risiko, dass das Benutzerumfeld Kenntnis von dem Benutzerpasswort erlangt, wenn bei der Anmeldung die Eingabe des Passwortes verfolgt wird. Aufgrund der häufigen Eingabe des Kennwortes, das bei der Anmeldung und auch zur Aufhebung des Bildschirmschoners eingegeben werden muss, bietet sich für Kollegen aber auch Kunden oft Gelegenheit, das Passwort durch einen Blick über die Schulter zu erspähen. Beim Single-SignOn reicht dies in Zusammenhang mit dem allgemein bekannten und angezeigtem Benutzernamen, um sich auch in die mit der Kennung verbundenen Programme einloggen zu können. Da in der Regel der Zugriff nicht auf bestimmte Computer beschränkt ist, kann die Kennung und das Passwort an jedem beliebigen PC der Domäne genutzt werden. Der Zugang zu bestimmten Räumen ist damit in diesem Fall nicht notwendig. Auch wenn nur Teile des Passwortes erspäht werden, kann das vollständige Passwort ermittelt werden. Passwortrichtlinien als Schutz gegen Ausprobieren greifen nicht in jedem Fall. Wenn z.B. bei der Anmeldung an einem Client der Windows-Server für die Authentisierung nicht zur Verfügung steht, besteht dennoch die Möglichkeit, sich am PC anzumelden, wenn das Konto von diesem Client aus schon einmal in der Domäne angemeldet war. In diesem Fall greifen die Passworteinstellungen nicht. Die Kennung würde also nicht nach einer bestimmten Anzahl von Fehlversuchen gesperrt werden, auch wenn diese Einstellung auf dem Stand Dezember 2012 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Server konfiguriert ist. Die Ausnutzung dieser Möglichkeit setzt den räumlichen Zugang voraus. Administratoren Administratoren haben die Möglichkeit, Passworte neu zu vergeben, und können sich damit kurzfristig als ein bestimmter Nutzer ausgeben und dann mit den jeweiligen Berechtigungen im System arbeiten. Ein anschließendes Zurücksetzen auf das bisherige Passwort des Nutzers ist jedoch nicht möglich. Eine Kontrolle durch den Nutzer ist quasi nicht möglich, da er nicht feststellen kann, warum sein Passwortwort nicht mehr gültig ist. Eine Protokollierung der Passwortänderung erfolgt häufig nicht. Beim Single-Sign-On würde es reichen, lediglich dass Zugangs-Passwort neu zu vergeben, um dann auch die weiteren Programme bearbeiten arbeiten zu können und so ggf. an sensible Daten heranzukommen. Damit kann sich ein System-Administrator Zugriff auf Daten anderer Verfahren verschaffen, ohne dass er gleichzeitig Administrator der anderen Verfahren sein muss. Dem steht gegenüber, dass beim Single-Sign-On für die Anwendungsprogramme keine Passworte mehr freigeschaltet werden müssen. Die Personenanzahl, die sich durch unberechtigtes Freischalten von Passworten Zugriff verschaffen kann, kann somit ggf. verkleinert werden. Bedrohung im internen Netz Es ist möglich, sich im internen Netz als ein anderer Benutzer auszugeben und Passworte auszuprobieren. Diese Möglichkeit kann durch die Kontenrichtlinien technisch begrenzt werden, indem nach einer bestimmten Zahl von Fehlversuchen die Kennung gesperrt wird. Erst nach der Freigabe wären weitere Versuche möglich. Zugangs-Passworte werden in der Regel verschlüsselt über das Netz übertragen. Es besteht jedoch die Möglichkeit, die Tastatureingaben z.B. durch Zusatzgeräte, auszuspähen und so auch die Passworte auszuspähen. Die Installation erfordert jedoch einen räumlichen. Zugang zum Rechner, der ausspioniert werden soll. Auch kann das verschlüsselt übertragene Passwort im Netz abgehört werden und durch einen Brute-Force-Angriff, bei dem alle Kombinationsmöglichkeiten systematisch ausprobiert werden, ermittelt werden. Gerade bei schwachen Kennworten, die weniger als 8 Zeichen und nicht den vollen Zeichenvorrat (Groß-/Kleinschreibung, Ziffern und Sonderzeichen) nutzen, kann ein Passwort so relativ schnell ermittelt werden. Auch wenn die Anforderungen der Passwort-Richtlinie der hamburgischen Verwaltung eingehalten werden und ein Passwort mit 8 Zeichen aus Buchstaben, Ziffern und Sonderzeichen gebildet wird, dauert ein Brute-ForceAngriff max. nur 38,5 Tage, im Schnitt sogar nur 19 Tage Bei Nutzung von Single-Sign-On, wäre dann der Zugang zu weiteren Programmen möglich. Die Passworte von Anwendungsprogrammen werden häufig unverschlüsselt im Netz übertragen. Durch Abhören des Netzverkehrs lassen sich die Kennungen und Passworte abhören. Diese Übertragung von Passworten entfällt beim Single-Sign-On. Bedrohungen über das Internet Wenn keine getrennte Arbeits- und Internetumgebung konfiguriert ist, besteht das Risiko, dass Angreifer über das Internet sich nicht nur Daten aus dem Bürokommunikationssystem, Stand Dezember 2012 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sondern auch aus den weiteren Programmen verschaffen, ohne dass ihnen die Hürde einer weiteren Passwortabfrage entgegensteht. Softwarefehler Es kann nicht davon ausgegangen werden, dass der Authentisierungsprozess vollständig frei von Programmfehlern ist, die ggf. zum unberechtigten Zugang missbraucht werden können. Es werden immer wieder Softwarefehler aufgedeckt, die dann mit neuen Software-Versionen abgestellt werden. Dabei besteht jedoch immer ein Zeitverzug, bis diese neuen Versionen installiert sind. Die Auswirkungen eines Softwarefehlers beim Single-Sign-On sind größer. Maßnahmen zur Reduzierung des Risikos bei Single-Sign-On Durch den Einsatz von Chipkarten zur Authentisierung können die mit dem Single-Sign-On zusätzlich verbundenen Risiken deutlich reduziert werden. In diesem Fall ist nicht nur dass Wissen des Passwortes notwendig, sondern auch der Besitz der Chipkarte. Eine solche Lösung ist bei der hamburgischen Polizei seit langem im Einsatz. Diese wird derzeit auf eine Smartcard-Lösung umgestellt. Die dort entwickelte Lösung wurde so konzipiert, dass sie auch für weitere Fachverfahren der FHH als technologische Grundlage dienen kann. Der Zugriff auf bestimmte Anwendungsprogramme kann auf ausgewählte Rechner oder Teilnetze beschränkt werden, um die Möglichkeit zu reduzieren, sich mit einer erspähten Kennung unbemerkt anzumelden. In diesem Fall wäre zusätzlich der räumliche Zugang erforderlich und somit eine zusätzliche soziale Kontrolle gegeben. Gesamtbewertung Den Vorteilen von Single-Sign-On, zu denen insbesondere auch die größere Benutzerfreundlichkeit gehört, stehen gravierende Nachteile und zusätzliche Risiken gegenüber. Die Schadenshöhe steigt deutlich an, sobald ein Unberechtigter sich Zugang zu einem Konto verschafft. Der Zugang zum Benutzerkonto kann zum gegenwärtigen Zeitpunkt aufgrund der aufgezeigten Bedrohungsmöglichkeiten nicht mit ausreichender Sicherheit verhindert werden. Somit steigt das Risiko durch die Einführung des Single-Sign-On. Aus diesem Grund sollte ein Single-Sign-On ohne ergänzende technische Maßnahmen (z.B. Nutzung einer Chipkarte) insbesondere dann nicht genutzt werden, wenn an den betroffenen Arbeitsplätzen personenbezogene Daten mit „hohem“ oder „sehr hohem“ Schutzbedarf verarbeitet werden. Dazu gehören u.a. Gesundheits- und Sozialdaten, die Religionszugehörigkeit. Wenn Sie mehr wissen möchten, wenden Sie sich bitte an Ulrich Kühn – E-Mail: [email protected] oder Dr. Sebastian Wirth – E-Mail: [email protected]. Stand Dezember 2012