vom Sicherheitsrisiko zum Erfolgsfaktor

pingidentity.com
MOBILITÄT
BYOD – vom Sicherheitsrisiko
zum Erfolgsfaktor
Inhaltsverzeichnis
Einleitung
3
Drei Technologien, mit denen Sie die Vorteile von BYOD sicher nutzen können
4
Drei Technologien, die BYOD unterstützen
5
1. Mobile Authentifizierung
5
2. Single-Sign-on
6
3. Programmierschnittstellen (APIs)
7
Warum Standards entscheidend für eine sichere BYOD-Architektur sind
8
Fazit
9
Immer mehr Mitarbeiter nutzen ihre privaten Mobilgeräte auch für die Arbeit. IDC
zufolge wird es sich bei 55 Prozent aller am Arbeitsplatz verwendeten Smartphones bis 2015 um private Mitarbeitergeräte handeln. Andere Branchenexperten gehen davon aus, dass 81 Prozent der Mitarbeiter heute ihre Mobilgeräte
beruflich einsetzen. Demnach werden schätzungsweise bis 2017 zwei von drei
Organisationen eine BYOD (Bring Your Own Device)-Regelung implementieren.
Diese Entwicklung ist keine große Überraschung. Immer mehr Unternehmen
erkennen, dass mobile Mitarbeiter in der Regel auch sehr produktiv sind. Organisationen haben einen messbaren Vorteil, wenn ihre Mitarbeiter auf dem Weg
ins Büro bzw. nach Hause etwas Arbeit erledigen.
Trotz aller Beliebtheit hat der BYOD-Trend aber auch Nachteile. Die Nutzung von
Mitarbeitergeräten am Arbeitsplatz bereitet der IT – nicht zuletzt aufgrund ihrer
privaten Natur – zu Recht Kopfzerbrechen. Schließlich kann sie nur das firmeneigene Equipment effizient kontrollieren, während ihr bei privaten Geräten die
Hände gebunden sind. Hinzu kommt, dass Mitarbeiter eine hohe Benutzerfreundlichkeit und einen hohen Komfort erwarten. Wenn sie merken, dass sie durch Maßnahmen der IT in ihrem Arbeitstempo gebremst werden, finden sie schnell einen
Weg, um das Problem zu umgehen. Für jede Anwendung, die nicht von der IT
genehmigt wird, gibt es eine „Schatten-IT“-Anwendung eines Drittanbieters, bei
der sich der Mitarbeiter mit einer Kreditkarte anmelden kann (was folglich Kosten
verursacht). Es ist daher für Unternehmen wichtig, eine Lösung für die Nutzung
privater Geräte zu finden, die effizientes Arbeiten unterstützt und gleichzeitig die
Sicherheit von Firmendaten und -transaktionen gewährleistet.
der Mitarbeiter nutzen ihre
der Organisationen
Mobilgeräte für die Arbeit
werden bis 2017 eine
BYOD-Regelung einführen
3
MOBILITÄTIST EIN
ERFOLGSFAKTOR
EINLEITUNG
DREI TECHNOLOGIEN,
MIT DENEN SIE DIE VORTEILE VON
BYOD SICHER NUTZEN KÖNNEN
Mobile Authentifizierung
Single-Sign-on
Um private Mitarbeitergeräte in Ihrem Unternehmen zu unterstützen,
müssen Sie die Sicherheit sensibler Firmendaten auf den Mobilgeräten gewährleisten und Ihren Mitarbeitern gleichzeitig einfaches und
effizientes Arbeiten ermöglichen. Eine passende Architektur muss daher
Folgendes bieten:
• Anwendungs- und Datensicherheit – Schutz sensibler Unternehmensdaten, die auf Mobilgeräten gespeichert sind und deren
Zugriff über diese Geräte erfolgt
• Unterstützung der Benutzer – Mitarbeiter sollen ihre Aufgaben effizient erledigen können, wann und wo sie wollen
APIs
Mit den folgenden drei Technologien können Sie die Sicherheit Ihrer
Anwendungen und Daten sicherstellen und gleichzeitig Ihre Benutzer
unterstützen.
• Mobile Authentifizierung – einfache und sichere Anmeldung
mithilfe eines Smartphones
• Single-Sign-on über Web- und native Anwendungen
hinweg – Mitarbeiter profitieren von einer nahtlosen Benutzererfahrung sowohl bei Web- als auch bei nativen mobilen Anwendungen
• Programmierschnittstellen (APIs) – gewähren nur autorisierten Anwendungen und Benutzern einen Zugriff auf Unternehmensdaten
4
DREI TECHNOLOGIEN, DIE BYOD UNTERSTÜTZEN
1. MOBILE AUTHENTIFIZIERUNG
Der Trend bewegt sich zunehmend von Authentifizierungssystemen weg, die auf dem basieren, was der Benutzer „weiß“ (z. B. Passwörter), hin zu solchen, die auf dem beruhen, was
der User „besitzt“ (z. B. elektronische Schlüssel
oder Fingerabdrücke). Da Passwörter ziemlich
anfällig für Hackerangriffe sind, gewinnen
benutzerbasierte Authentifizierungsfaktoren,
die auf dem beruhen, was der User „besitzt“,
immer mehr an Bedeutung.
Aufgrund ihrer Funktionen können Smartphones einen nützlichen benutzerbasierten
Authentifizierungsfaktor bieten. Sie können für
die Zwei-Faktor-Authentifizierung eingesetzt
werden oder wissensbasierte Faktoren (wie
z. B. Passwörter) als Ein-Faktor-Authentifizierungsgeräte vollständig ersetzen.
SEIN
SEIN
HABEN
TREND
HABEN
WISSEN
WISSEN
Warum sich Smartphones bestens
für die Authentifizierung eignen
Letztendlich ist ein Smartphone nichts anderes
als ein leistungsstarker tragbarer Computer, mit
dem sich robuste Authentifizierungsmethoden
realisieren lassen. Dafür sorgen folgende Merkmale und Funktionen:
• Vernetzung. Mobiltelefone sind mit dem
Netzwerk verbunden und können daher
auf viele verschiedene Aufforderungen
oder Anforderungen reagieren.
• Rechenkapazität. Moderne Smartphones verfügen über Rechen- und
Speicherfunktionen, sodass sie kryptografische Operationen unterstützen können.
• Speicher. Smartphones ermöglichen die
Speicherung von Identifizierungsmerkmalen, vertraulichen Informationen und
Anmeldedaten, die in Authentifizierungsverfahren eingesetzt werden.
• Benutzeroberfläche (UI). Smartphones
haben eine Benutzeroberfläche, die bei
Bedarf zur Authentifizierung des Besitzers
eingesetzt werden kann, z. B. durch Eingabe einer PIN-Nummer, durch Wischen
über den Bildschirm oder – in Zukunft –
mittels Fingerabdruck.
• Erschwinglicher Preis. Im Vergleich zu
Tokens oder anderen Authentifizierungsgeräten sind Smartphones viel kosteneffizienter. Außerdem tragen ihre Besitzer sie
immer bei sich.
Die Nutzung von Mobiltelefonen
für die Authentifizierung
Mobile Authentifizierungsverfahren nutzen
Funktionen in unterschiedlichen Kombinationen. PingID™ etwa ist eine mobile Authentifizierungsmethode, die Benutzer authentifiziert,
indem sie eine Challenge über Google Cloud
Messaging für Android™ oder die Apple Push
Notification Services an eine Anwendung
schickt, die auf dem zuvor registrierten Gerät
des Benutzers installiert wurde. Bei Erhalt
wischt der Benutzer lediglich über den Bildschirm, um auf die Challenge zu antworten.
Die Nutzung eines Smartphones für die
Authentifizierung ist dynamischer, günstiger und wartungsärmer als elektronische Schlüssel.
5
DREI TECHNOLOGIEN, DIE BYOD UNTERSTÜTZEN
2. SINGLE-SIGN-ON
SSO erhöht nicht nur die Sicherheit und die Produktivität im
Wird ein Gerät gestohlen,
fallen somit auch die darauf
gespeicherten Anmeldedaten
in falsche Hände – äußerst
ungünstig, wenn man bedenkt,
dass 27 Prozent der Geräte von
Erwachsenen schon mal durch
Diebstahl oder Verlust abhandengekommen sind. Mit SSO
lässt sich das vermeiden.
Unternehmen, sondern auch die Zufriedenheit der Mitarbeiter.
Nichts bremst und frustriert Mitarbeiter mehr, als beim Helpdesk anrufen zu müssen, um das Passwort zurücksetzen zu lassen. Mit SingleSign-on lässt sich die Anzahl an expliziten Anmeldedaten (Passwörtern)
für den Zugriff auf Anwendungen minimieren und so die Produktivität
deutlich steigern. SSO erhöht nicht nur die Sicherheit und die Produktivität im Unternehmen, sondern auch die Zufriedenheit der Mitarbeiter.
Hände. Wenn man bedenkt, dass 27 Prozent der Erwachsenen ihr
Was hat das aber mit BYOD und Mobiltelefonen zu tun?
Gerät schon mal durch Diebstahl oder Verlust abhandengekommen
ist, liegt es auf der Hand, dass man Anmeldedaten des Unternehmens
Mit mobilem SSO kann sich der Benutzer einmalig bei einer sicheren
nicht darauf speichern sollte. Mit SSO und der mobilen Authentifizie-
SSO-Anwendung auf seinem Mobilgerät anmelden und sofort auf all
rung werden Anmeldedaten nicht auf dem Gerät gespeichert. Darüber
seine Unternehmensanwendungen zugreifen.
hinaus erfolgen Authentifizierung und Autorisierung über standardisierte Mechanismen (Standards) (siehe Kapitel Standards für detailliertere
Es gibt aber noch einen weiteren Grund, der für SSO bei mobilen
Informationen zur Rolle von Standards bei Single-Sign-on).
Geräten spricht: Die Anmeldeinformationen des Benutzers werden in
der Regel auf dem Gerät selbst gespeichert. Wird ein Gerät gestohlen,
Single-Sign-on-Lösungen wie PingOne® bieten standardbasiertes SSO
fallen somit auch die darauf gespeicherten Anmeldedaten in falsche
für Mobilgeräte.
6
DREI TECHNOLOGIEN, DIE BYOD UNTERSTÜTZEN
3. PROGRAMMIERSCHNITTSTELLEN (APIS)
MOBILITÄT
API / WEB
SERVER
TERMINAL
BROWSER
Programmierschnittstellen (APIs) sind die gängigste Methode, um nativen mobilen Anwendungen einen Zugriff auf Unternehmensdaten
zu gewähren. Wenn Sie den Schutz der APIs
sicherstellen, kann der Benutzer auf die Anwendungsdaten zugreifen, unabhängig von
Ort, Anwendung oder Gerät.
Der Schutz von APIs durch einen standardbasierten Ansatz ist wichtig für die Skalierbarkeit
und die Entwicklungsproduktivität. Viele Organisationen statten jede mobile Anwendung
mit einem Authentifizierungsmechanismus aus,
was einen erheblichen Aufwand für Entwickler darstellt und in der Regel nicht besonders
sicher ist.
Als Best Practice für die mobile Sicherheit
hat sich das standardisierte OAuth 2.0-Protokoll herausgestellt, das Zugriffstoken bei
den API-Aufrufen nutzt. Durch die Validierung
des Tokens kann das API bestimmen, welcher
Mitarbeiter einen Zugriff auf die native Anwendung anfordert, und anschließend die Autorisierung basierend auf den Zugriffsrechten dieses
Mitarbeiters festlegen. (siehe Kapitel Standards
für detailliertere Informationen zur Rolle von
Standards bei Single-Sign-on).
Moderne Zugriffsmanagementlösungen wie
etwa PingAccess® und PingFederate® bieten
sowohl Web- als auch API-Zugriffsmanagement
mit Proxy- und Agent-basierten Implementierungsoptionen.
7
WARUM STANDARDS ENTSCHEIDEND FÜR
EINE SICHERE BYOD-ARCHITEKTUR SIND
OAUTH
SAML-WEB-SSO
Standards spielen eine wichtige Rolle bei der mobilen Sicherheit (und
bei der Identitätssicherheit). Sie bieten eine sichere verschlüsselte Authentifizierung und Autorisierung sowie einen sicheren verschlüsselten
Zugriff über Web- und mobile Plattformen hinweg und unterstützen so
die mobile Authentifizierung, Single-Sign-on von beliebigen Geräten
und Standorten aus sowie eine einfache API-Autorisierung.
Durch die Verwendung von Standards werden alle Geräte, Browser
oder Clients geschützt, die über eine Anwendung auf Informationen
zugreifen. Außerdem wird so der Aufwand bei der Integration mehrerer Organisationen verringert, die Anwendungen oder Informationen
gemeinsam nutzen.
Standards wie etwa SAML, OAuth 2.0 und OpenID Connect sowie
Standardmodelle wie FIDO und NAPPS wurden und werden durch
führende Sicherheitsexperten unabhängig voneinander geprüft und
entwickelt, um ein Höchstmaß an Sicherheit zu gewährleisten. Alle Ping
Identity-Produkte und -Lösungen basieren auf Standards.
CONNECT
NAPPS
IHRE NATIVE APP
Security Assertion Markup Language (SAML) – der Standard
hinter Web-Single-Sign-on – erlaubt es Unternehmen, Identitätsinformationen für die Authentifizierung und Autorisierung domänenübergreifend auf sichere Weise auszutauschen.
OAuth 2.0 ist der Industriestandard, um den Zugriff auf APIs mittels
sicherer Zugriffstoken anstatt Benutzernamen und Passwörtern zu
kontrollieren.
OpenID® Connect (Connect) ist ein neuer Standard, der auf SAML
und OAuth basiert und einen Best-of-Breed-Ansatz für den Web-SSOund API-Zugriff bietet.
Die FIDO™ (Fast Identity Online)-Allianz ist gerade dabei, ein
alternatives mobiles Authentifizierungsmodell zu definieren, das die
neuen biometrischen Funktionen von Geräten nutzt.
Die Native Applications (NAPPS) Working Group der OpenID
Foundation ist gerade dabei, eine Architektur zu entwickeln, die SSO
über native Anwendungen hinweg und – besonders wichtig – auch für
mobile Webanwendungen ermöglicht.
8
FAZIT
Führende Unternehmen zeigen sich heute zunehmend offen,
wenn es um mobile Technologien und BYOD geht. Sie setzen auf
intelligente Lösungen, um ihren mobilen Mitarbeitern eine noch
nie dagewesene Produktivität zu ermöglichen und gleichzeitig
ihre Unternehmensdaten und -Anwendungen zu schützen. Für
Unternehmen, die maximal von den mobilen Technologien profitieren
möchten, sind folgende drei Säulen entscheidend:
• Mobile Authentifizierung – einfache und sichere
Anmeldung mithilfe eines Smartphones (z. B. mittels PingID)
• Single-Sign-on über Web- und native Anwendungen
hinweg – Mitarbeiter profitieren von einer nahtlosen
Benutzererfahrung sowohl bei Web- als auch bei nativen
mobilen Anwendungen (z. B. mittels PingOne)
• Programmierschnittstellen (APIs) – gewähren nur
autorisierten Anwendungen und Benutzern einen Zugriff
auf Unternehmensdaten (z. B. mittels PingAccess und
PingFederate)
Diese standardbasierten Technologien eröffnen jeder Organisation
das volle Potenzial von BYOD.
Besuchen Sie uns unter pingidentity.com und erfahren Sie, wie
Sie mit den Ping Identity-Lösungen mobile Technologien zu einem
Erfolgsfaktor in Ihrem Unternehmen machen können.
Ping Identity | Die Identity Security Company
Identity Security-Pionier Ping Identity ist der größte unabhängige Dienstleister von modernen Identity Security-Lösungen. Über 2.000 Unternehmen, darunter die Hälfte der Fortune 100, verlassen
sich auf diese Lösungen, damit sich Hunderte von Millionen Menschen sicher in der digitalen Welt bewegen und so erst deren volles Potenzial nutzen können. Ping Identity bietet Mitarbeitern in
Unternehmen sowie deren Kunden und Partnern mit einem Klick sicheren Zugriff auf jede Anwendung von jedem Gerät aus. Weitere Informationen stehen auf www.pingidentity.com bereit.
© 2014 Ping Identity Corporation. Alle Rechte vorbehalten. Ping Identity, PingFederate, PingOne, PingEnable, das Logo von Ping Identity und Cloud Identity Summit sind eingetragene Handelsund Dienstleistungsmarken der Ping Identity Corporation. Alle anderen Produkt- und Dienstleistungsnamen sind Handelsmarken ihrer jeweiligen Unternehmen.
9