Sabrina - stock.adobe.com
Richtig authentifiziert: Nutzerfreundlichkeit zahlt sich aus
Damit sich Mitarbeiter sicher anmelden, können situationsbezogen einige Wege sinnvoll sein. Eine komfortable Nutzung für Anwender kann die Security erhöhen und IT-Teams entlasten.
Die Nutzerfreundlichkeit von Login-Verfahren ist ein entscheidender Erfolgsfaktor beim mobilen Arbeiten. Denn sie hat nicht nur auf die Zufriedenheit der Mitarbeiter Auswirkung, sondern auch auf deren Produktivität und die Auslastung des IT-Supports.
Ein Zugriff auf Accounts und Anwendungen per Single Sign-On (SSO) ist daher eine sinnvolle Lösung. Schließlich schränken ständige Passwortabfragen und komplexe Verfahren das Nutzererlebnis ein und sorgen für viele Anfragen beim Help Desk.
Vor allem, wenn der Passwortwechsel und -Reset am Mobilgerät nicht möglich ist. Doch auch beim Thema SSO gibt es eine Herausforderung: Denn ein SSO lässt sich bei Android Enterprise-Geräten aufgrund der fehlenden Kerberos-Unterstützung nicht ohne Weiteres umsetzen.
So sicher und komfortabel wie möglich
Unternehmen können beim Login auf verschiedene Verfahren setzen: Ein Login per Benutzername und Passwort – einfach, aber wenig sicher. Eine Multifaktor-Authentifizierung – sicherer, aber nervig. Eine Anmeldung per Zertifikat – nahtlos und sicher. Oder eine kombinierte Variante: Ein Login per Single Sign-On – sicher und nutzerfreundlich.
Doch welche Methode ist nun die richtige? Das lässt sich nicht so einfach beantworten, denn idealerweise hängt dies immer vom Kontext ab: Will ein Mitarbeiter mit einem verwalteten Gerät, auf dem sich ein Zertifikat befindet, auf eine Anwendung aus dem Unternehmens-App-Store zugreifen, ist ein Single Sign-On eine gute Option. Ist ein Gerät nicht verwaltet und befindet sich der Mitarbeiter im Ausland, so sollte eher auf die Multifaktor-Authentifizierung gesetzt werden. So lässt sich sowohl für die notwendige Sicherheit als auch für einen größtmöglichen Komfort sorgen. Und das sollte am besten geräteübergreifend gehandhabt werden.
Fehlende Kerberos-Unterstützung bei Android Enterprise
Eine geräteübergreifende Strategie in puncto Authentifizierung lässt sich allerdings nicht so einfach realisieren. Denn hier gibt es bei Android-Enterprise-Geräten ein Problem: Das Standardprotokoll Kerberos gilt als sicherer Industriestandard für die Authentifizierung. Daher wird es zum Beispiel vom Verzeichnisdienst Active Directory verwendet, dessen Daten wiederum bei vielen Diensten zur Anmeldung herangezogen werden. Möchte sich ein Mitarbeiter bei einem solchen Dienst einloggen, so wird mittels Ticket überprüft, ob der Nutzer Zugriff bekommen darf. Bei positiver Prüfung erfolgt der Login per Single-Sign-On.
Während Kerberos von iOS unterstützt wird und ein Single Sign-On daher auf iPhones problemlos umgesetzt werden kann, gibt es bei Android-Geräten seit Android Enterprise ein Problem: Hier wird das Standardprotokoll nicht mehr unterstützt. Hier kommt man um den Einsatz einer Drittanbieter-App nicht herum, um auch dort einen Zugriff per SSO möglich zu machen. Die Nutzung einer solchen Lösung kann sinnvoll sein. Denn nur so kann die IT einen geräteübergreifenden Ansatz realisieren und allen Mitarbeitern das gleiche Nutzungserlebnis ermöglichen.
Wenn Passwort, dann richtig
Eines ist klar: Wenn Passwörter verwendet werden, dann sollten sie komplex sein und Mitarbeiter regelmäßig aufgefordert werden, die Kennwörter unter Beachtung der Passwort-Historie zu aktualisieren. Schließlich sind Mitarbeiter, die häufig das gleiche und ein einfaches Passwort verwenden, immer noch ein enormes Sicherheitsrisiko. Grundsätzlich sollten die Passwortregeln auf den Prüfstand gestellt werden, viele der althergebrachten Regeln gelten nicht mehr (siehe auch Was ist die beste Richtlinie für Passwörter?).
„Die Nutzerfreundlichkeit von Login-Verfahren ist ein entscheidender Erfolgsfaktor beim mobilen Arbeiten.“
Marco Föllmer, EBF
Allerdings ergeben sich in der Praxis zwei Probleme: Zum einen, weil für einen Passwortwechsel meist ein Windows-Rechner erforderlich ist. Dadurch können Mitarbeiter, die viel unterwegs sind, ihr Passwort nicht über ihr Mobilgerät wechseln und es häufen sich die Anfragen beim Help Desk.
Zum anderen, weil Mitarbeiter ihre Passwörter durch die vielen Wechsel regelmäßig vergessen. Auch in diesem Fall greifen sie zum Hörer und bitten den IT-Support, ihr Passwort zurückzusetzen. Nicht ohne Grund stehen Probleme beim Login und vergessene Passwörter daher weit oben auf der Liste der Help-Desk-Anfragen. Gerade bei einer großen Nutzeranzahl sorgt das dafür, dass wertvolle Ressourcen blockiert werden und unnötig hohe Kosten entstehen.
Wünschenswert wäre es daher, wenn Nutzer ihr Passwort selbst wechseln und zurücksetzen können. Das würde den IT-Aufwand enorm reduzieren und Mitarbeiter viel eigenständiger agieren lassen. Möglich ist dies ebenfalls über Drittanbietern-Anwendungen.
Eine hohe Nutzerfreundlichkeit zahlt sich also gleich doppelt aus: Während Mitarbeiter zufriedener und dadurch erwiesenermaßen auch produktiver sind, werden IT-Abteilungen deutlich entlastet, da die Anfragen zurückgehen. So können enorme Kosten für die Bearbeitung von Tickets gespart werden und eine geräteübergreifende Strategie in puncto Authentifizierung Realität.
Über den Autor:
Marco Föllmer ist Gründer und Geschäftsführer der EBF.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
