vom Sicherheitsrisiko zum Erfolgsfaktor
Transcrição
vom Sicherheitsrisiko zum Erfolgsfaktor
pingidentity.com MOBILITÄT BYOD – vom Sicherheitsrisiko zum Erfolgsfaktor Inhaltsverzeichnis Einleitung 3 Drei Technologien, mit denen Sie die Vorteile von BYOD sicher nutzen können 4 Drei Technologien, die BYOD unterstützen 5 1. Mobile Authentifizierung 5 2. Single-Sign-on 6 3. Programmierschnittstellen (APIs) 7 Warum Standards entscheidend für eine sichere BYOD-Architektur sind 8 Fazit 9 Immer mehr Mitarbeiter nutzen ihre privaten Mobilgeräte auch für die Arbeit. IDC zufolge wird es sich bei 55 Prozent aller am Arbeitsplatz verwendeten Smartphones bis 2015 um private Mitarbeitergeräte handeln. Andere Branchenexperten gehen davon aus, dass 81 Prozent der Mitarbeiter heute ihre Mobilgeräte beruflich einsetzen. Demnach werden schätzungsweise bis 2017 zwei von drei Organisationen eine BYOD (Bring Your Own Device)-Regelung implementieren. Diese Entwicklung ist keine große Überraschung. Immer mehr Unternehmen erkennen, dass mobile Mitarbeiter in der Regel auch sehr produktiv sind. Organisationen haben einen messbaren Vorteil, wenn ihre Mitarbeiter auf dem Weg ins Büro bzw. nach Hause etwas Arbeit erledigen. Trotz aller Beliebtheit hat der BYOD-Trend aber auch Nachteile. Die Nutzung von Mitarbeitergeräten am Arbeitsplatz bereitet der IT – nicht zuletzt aufgrund ihrer privaten Natur – zu Recht Kopfzerbrechen. Schließlich kann sie nur das firmeneigene Equipment effizient kontrollieren, während ihr bei privaten Geräten die Hände gebunden sind. Hinzu kommt, dass Mitarbeiter eine hohe Benutzerfreundlichkeit und einen hohen Komfort erwarten. Wenn sie merken, dass sie durch Maßnahmen der IT in ihrem Arbeitstempo gebremst werden, finden sie schnell einen Weg, um das Problem zu umgehen. Für jede Anwendung, die nicht von der IT genehmigt wird, gibt es eine „Schatten-IT“-Anwendung eines Drittanbieters, bei der sich der Mitarbeiter mit einer Kreditkarte anmelden kann (was folglich Kosten verursacht). Es ist daher für Unternehmen wichtig, eine Lösung für die Nutzung privater Geräte zu finden, die effizientes Arbeiten unterstützt und gleichzeitig die Sicherheit von Firmendaten und -transaktionen gewährleistet. der Mitarbeiter nutzen ihre der Organisationen Mobilgeräte für die Arbeit werden bis 2017 eine BYOD-Regelung einführen 3 MOBILITÄTIST EIN ERFOLGSFAKTOR EINLEITUNG DREI TECHNOLOGIEN, MIT DENEN SIE DIE VORTEILE VON BYOD SICHER NUTZEN KÖNNEN Mobile Authentifizierung Single-Sign-on Um private Mitarbeitergeräte in Ihrem Unternehmen zu unterstützen, müssen Sie die Sicherheit sensibler Firmendaten auf den Mobilgeräten gewährleisten und Ihren Mitarbeitern gleichzeitig einfaches und effizientes Arbeiten ermöglichen. Eine passende Architektur muss daher Folgendes bieten: • Anwendungs- und Datensicherheit – Schutz sensibler Unternehmensdaten, die auf Mobilgeräten gespeichert sind und deren Zugriff über diese Geräte erfolgt • Unterstützung der Benutzer – Mitarbeiter sollen ihre Aufgaben effizient erledigen können, wann und wo sie wollen APIs Mit den folgenden drei Technologien können Sie die Sicherheit Ihrer Anwendungen und Daten sicherstellen und gleichzeitig Ihre Benutzer unterstützen. • Mobile Authentifizierung – einfache und sichere Anmeldung mithilfe eines Smartphones • Single-Sign-on über Web- und native Anwendungen hinweg – Mitarbeiter profitieren von einer nahtlosen Benutzererfahrung sowohl bei Web- als auch bei nativen mobilen Anwendungen • Programmierschnittstellen (APIs) – gewähren nur autorisierten Anwendungen und Benutzern einen Zugriff auf Unternehmensdaten 4 DREI TECHNOLOGIEN, DIE BYOD UNTERSTÜTZEN 1. MOBILE AUTHENTIFIZIERUNG Der Trend bewegt sich zunehmend von Authentifizierungssystemen weg, die auf dem basieren, was der Benutzer „weiß“ (z. B. Passwörter), hin zu solchen, die auf dem beruhen, was der User „besitzt“ (z. B. elektronische Schlüssel oder Fingerabdrücke). Da Passwörter ziemlich anfällig für Hackerangriffe sind, gewinnen benutzerbasierte Authentifizierungsfaktoren, die auf dem beruhen, was der User „besitzt“, immer mehr an Bedeutung. Aufgrund ihrer Funktionen können Smartphones einen nützlichen benutzerbasierten Authentifizierungsfaktor bieten. Sie können für die Zwei-Faktor-Authentifizierung eingesetzt werden oder wissensbasierte Faktoren (wie z. B. Passwörter) als Ein-Faktor-Authentifizierungsgeräte vollständig ersetzen. SEIN SEIN HABEN TREND HABEN WISSEN WISSEN Warum sich Smartphones bestens für die Authentifizierung eignen Letztendlich ist ein Smartphone nichts anderes als ein leistungsstarker tragbarer Computer, mit dem sich robuste Authentifizierungsmethoden realisieren lassen. Dafür sorgen folgende Merkmale und Funktionen: • Vernetzung. Mobiltelefone sind mit dem Netzwerk verbunden und können daher auf viele verschiedene Aufforderungen oder Anforderungen reagieren. • Rechenkapazität. Moderne Smartphones verfügen über Rechen- und Speicherfunktionen, sodass sie kryptografische Operationen unterstützen können. • Speicher. Smartphones ermöglichen die Speicherung von Identifizierungsmerkmalen, vertraulichen Informationen und Anmeldedaten, die in Authentifizierungsverfahren eingesetzt werden. • Benutzeroberfläche (UI). Smartphones haben eine Benutzeroberfläche, die bei Bedarf zur Authentifizierung des Besitzers eingesetzt werden kann, z. B. durch Eingabe einer PIN-Nummer, durch Wischen über den Bildschirm oder – in Zukunft – mittels Fingerabdruck. • Erschwinglicher Preis. Im Vergleich zu Tokens oder anderen Authentifizierungsgeräten sind Smartphones viel kosteneffizienter. Außerdem tragen ihre Besitzer sie immer bei sich. Die Nutzung von Mobiltelefonen für die Authentifizierung Mobile Authentifizierungsverfahren nutzen Funktionen in unterschiedlichen Kombinationen. PingID™ etwa ist eine mobile Authentifizierungsmethode, die Benutzer authentifiziert, indem sie eine Challenge über Google Cloud Messaging für Android™ oder die Apple Push Notification Services an eine Anwendung schickt, die auf dem zuvor registrierten Gerät des Benutzers installiert wurde. Bei Erhalt wischt der Benutzer lediglich über den Bildschirm, um auf die Challenge zu antworten. Die Nutzung eines Smartphones für die Authentifizierung ist dynamischer, günstiger und wartungsärmer als elektronische Schlüssel. 5 DREI TECHNOLOGIEN, DIE BYOD UNTERSTÜTZEN 2. SINGLE-SIGN-ON SSO erhöht nicht nur die Sicherheit und die Produktivität im Wird ein Gerät gestohlen, fallen somit auch die darauf gespeicherten Anmeldedaten in falsche Hände – äußerst ungünstig, wenn man bedenkt, dass 27 Prozent der Geräte von Erwachsenen schon mal durch Diebstahl oder Verlust abhandengekommen sind. Mit SSO lässt sich das vermeiden. Unternehmen, sondern auch die Zufriedenheit der Mitarbeiter. Nichts bremst und frustriert Mitarbeiter mehr, als beim Helpdesk anrufen zu müssen, um das Passwort zurücksetzen zu lassen. Mit SingleSign-on lässt sich die Anzahl an expliziten Anmeldedaten (Passwörtern) für den Zugriff auf Anwendungen minimieren und so die Produktivität deutlich steigern. SSO erhöht nicht nur die Sicherheit und die Produktivität im Unternehmen, sondern auch die Zufriedenheit der Mitarbeiter. Hände. Wenn man bedenkt, dass 27 Prozent der Erwachsenen ihr Was hat das aber mit BYOD und Mobiltelefonen zu tun? Gerät schon mal durch Diebstahl oder Verlust abhandengekommen ist, liegt es auf der Hand, dass man Anmeldedaten des Unternehmens Mit mobilem SSO kann sich der Benutzer einmalig bei einer sicheren nicht darauf speichern sollte. Mit SSO und der mobilen Authentifizie- SSO-Anwendung auf seinem Mobilgerät anmelden und sofort auf all rung werden Anmeldedaten nicht auf dem Gerät gespeichert. Darüber seine Unternehmensanwendungen zugreifen. hinaus erfolgen Authentifizierung und Autorisierung über standardisierte Mechanismen (Standards) (siehe Kapitel Standards für detailliertere Es gibt aber noch einen weiteren Grund, der für SSO bei mobilen Informationen zur Rolle von Standards bei Single-Sign-on). Geräten spricht: Die Anmeldeinformationen des Benutzers werden in der Regel auf dem Gerät selbst gespeichert. Wird ein Gerät gestohlen, Single-Sign-on-Lösungen wie PingOne® bieten standardbasiertes SSO fallen somit auch die darauf gespeicherten Anmeldedaten in falsche für Mobilgeräte. 6 DREI TECHNOLOGIEN, DIE BYOD UNTERSTÜTZEN 3. PROGRAMMIERSCHNITTSTELLEN (APIS) MOBILITÄT API / WEB SERVER TERMINAL BROWSER Programmierschnittstellen (APIs) sind die gängigste Methode, um nativen mobilen Anwendungen einen Zugriff auf Unternehmensdaten zu gewähren. Wenn Sie den Schutz der APIs sicherstellen, kann der Benutzer auf die Anwendungsdaten zugreifen, unabhängig von Ort, Anwendung oder Gerät. Der Schutz von APIs durch einen standardbasierten Ansatz ist wichtig für die Skalierbarkeit und die Entwicklungsproduktivität. Viele Organisationen statten jede mobile Anwendung mit einem Authentifizierungsmechanismus aus, was einen erheblichen Aufwand für Entwickler darstellt und in der Regel nicht besonders sicher ist. Als Best Practice für die mobile Sicherheit hat sich das standardisierte OAuth 2.0-Protokoll herausgestellt, das Zugriffstoken bei den API-Aufrufen nutzt. Durch die Validierung des Tokens kann das API bestimmen, welcher Mitarbeiter einen Zugriff auf die native Anwendung anfordert, und anschließend die Autorisierung basierend auf den Zugriffsrechten dieses Mitarbeiters festlegen. (siehe Kapitel Standards für detailliertere Informationen zur Rolle von Standards bei Single-Sign-on). Moderne Zugriffsmanagementlösungen wie etwa PingAccess® und PingFederate® bieten sowohl Web- als auch API-Zugriffsmanagement mit Proxy- und Agent-basierten Implementierungsoptionen. 7 WARUM STANDARDS ENTSCHEIDEND FÜR EINE SICHERE BYOD-ARCHITEKTUR SIND OAUTH SAML-WEB-SSO Standards spielen eine wichtige Rolle bei der mobilen Sicherheit (und bei der Identitätssicherheit). Sie bieten eine sichere verschlüsselte Authentifizierung und Autorisierung sowie einen sicheren verschlüsselten Zugriff über Web- und mobile Plattformen hinweg und unterstützen so die mobile Authentifizierung, Single-Sign-on von beliebigen Geräten und Standorten aus sowie eine einfache API-Autorisierung. Durch die Verwendung von Standards werden alle Geräte, Browser oder Clients geschützt, die über eine Anwendung auf Informationen zugreifen. Außerdem wird so der Aufwand bei der Integration mehrerer Organisationen verringert, die Anwendungen oder Informationen gemeinsam nutzen. Standards wie etwa SAML, OAuth 2.0 und OpenID Connect sowie Standardmodelle wie FIDO und NAPPS wurden und werden durch führende Sicherheitsexperten unabhängig voneinander geprüft und entwickelt, um ein Höchstmaß an Sicherheit zu gewährleisten. Alle Ping Identity-Produkte und -Lösungen basieren auf Standards. CONNECT NAPPS IHRE NATIVE APP Security Assertion Markup Language (SAML) – der Standard hinter Web-Single-Sign-on – erlaubt es Unternehmen, Identitätsinformationen für die Authentifizierung und Autorisierung domänenübergreifend auf sichere Weise auszutauschen. OAuth 2.0 ist der Industriestandard, um den Zugriff auf APIs mittels sicherer Zugriffstoken anstatt Benutzernamen und Passwörtern zu kontrollieren. OpenID® Connect (Connect) ist ein neuer Standard, der auf SAML und OAuth basiert und einen Best-of-Breed-Ansatz für den Web-SSOund API-Zugriff bietet. Die FIDO™ (Fast Identity Online)-Allianz ist gerade dabei, ein alternatives mobiles Authentifizierungsmodell zu definieren, das die neuen biometrischen Funktionen von Geräten nutzt. Die Native Applications (NAPPS) Working Group der OpenID Foundation ist gerade dabei, eine Architektur zu entwickeln, die SSO über native Anwendungen hinweg und – besonders wichtig – auch für mobile Webanwendungen ermöglicht. 8 FAZIT Führende Unternehmen zeigen sich heute zunehmend offen, wenn es um mobile Technologien und BYOD geht. Sie setzen auf intelligente Lösungen, um ihren mobilen Mitarbeitern eine noch nie dagewesene Produktivität zu ermöglichen und gleichzeitig ihre Unternehmensdaten und -Anwendungen zu schützen. Für Unternehmen, die maximal von den mobilen Technologien profitieren möchten, sind folgende drei Säulen entscheidend: • Mobile Authentifizierung – einfache und sichere Anmeldung mithilfe eines Smartphones (z. B. mittels PingID) • Single-Sign-on über Web- und native Anwendungen hinweg – Mitarbeiter profitieren von einer nahtlosen Benutzererfahrung sowohl bei Web- als auch bei nativen mobilen Anwendungen (z. B. mittels PingOne) • Programmierschnittstellen (APIs) – gewähren nur autorisierten Anwendungen und Benutzern einen Zugriff auf Unternehmensdaten (z. B. mittels PingAccess und PingFederate) Diese standardbasierten Technologien eröffnen jeder Organisation das volle Potenzial von BYOD. Besuchen Sie uns unter pingidentity.com und erfahren Sie, wie Sie mit den Ping Identity-Lösungen mobile Technologien zu einem Erfolgsfaktor in Ihrem Unternehmen machen können. Ping Identity | Die Identity Security Company Identity Security-Pionier Ping Identity ist der größte unabhängige Dienstleister von modernen Identity Security-Lösungen. Über 2.000 Unternehmen, darunter die Hälfte der Fortune 100, verlassen sich auf diese Lösungen, damit sich Hunderte von Millionen Menschen sicher in der digitalen Welt bewegen und so erst deren volles Potenzial nutzen können. Ping Identity bietet Mitarbeitern in Unternehmen sowie deren Kunden und Partnern mit einem Klick sicheren Zugriff auf jede Anwendung von jedem Gerät aus. Weitere Informationen stehen auf www.pingidentity.com bereit. © 2014 Ping Identity Corporation. Alle Rechte vorbehalten. Ping Identity, PingFederate, PingOne, PingEnable, das Logo von Ping Identity und Cloud Identity Summit sind eingetragene Handelsund Dienstleistungsmarken der Ping Identity Corporation. Alle anderen Produkt- und Dienstleistungsnamen sind Handelsmarken ihrer jeweiligen Unternehmen. 9