Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Bewährte Methoden zum Schützen von Konten

Anleitungen zum Schutz von Konten mit Zugriff auf deine Softwarelieferkette

Über diesen Leitfaden

In diesem Leitfaden werden die Änderungen mit den größten Auswirkungen beschrieben, die du zum Erhöhen der Kontosicherheit vornehmen kannst. In den einzelnen Abschnitten wird jeweils eine Änderung beschrieben, die du zur Verbesserung der Sicherheit an deinen Prozessen vornehmen kannst. Die Änderungen mit den größten Auswirkungen sind zuerst aufgeführt.

Welches Risiko besteht?

Kontosicherheit ist grundlegend für die Sicherheit deiner Lieferkette. Wenn es Angreifer*innen gelingt, dein Konto auf GitHub Enterprise Cloud zu übernehmen, können sie böswillige Änderungen an deinem Code oder Buildprozess vornehmen. Dein oberstes Ziel muss daher sein, die Übernahme deines Kontos und der Konten anderer Mitglieder in deiner Organisation oder deinem Unternehmen zu erschweren.

Authentifizierung zentralisieren

Wenn du Unternehmens- oder Organisationsbesitzer bist, kannst du die zentralisierte Authentifizierung mit SAML konfigurieren. Mitglieder können zwar manuell hinzugefügt oder entfernt werden. Es ist jedoch einfacher und sicherer, einmaliges Anmelden (SSO) und SCIM zwischen GitHub Enterprise Cloud und dem SAML-Identitätsanbieter (IdP) einzurichten. Dadurch wird auch der Authentifizierungsprozess für alle Mitglieder deines Unternehmens vereinfacht.

Du kannst die SAML-Authentifizierung für ein Unternehmens- oder Organisationskonto konfigurieren. Mit SAML kannst du den Zugriff auf die persönlichen Konten von Mitgliedern deines Unternehmens oder deiner Organisation auf GitHub.com über deinen IdP gewähren, oder du kannst die Konten, die zu deinem Unternehmen gehören, mithilfe von Enterprise Managed Users erstellen und steuern. Weitere Informationen findest du unter Informationen zur Authentifizierung für dein Unternehmen.

Wenn Mitglieder nach dem Konfigurieren der SAML-Authentifizierung Zugriff auf deine Ressourcen anfordern, werden sie an deinen SSO-Flow weitergeleitet. Damit wird sichergestellt, dass sie weiterhin von deinem IdP erkannt werden. Wenn sie nicht erkannt werden, wird ihre Anforderung abgelehnt.

Einige IdPs unterstützen ein Protokoll namens SCIM, das den Zugriff auf GitHub Enterprise Cloud automatisch bereitstellen und aufheben kann, wenn du Änderungen an deinem IdP vornimmst. Mit SCIM kannst du die Verwaltung vereinfachen, während dein Team wächst, und du kannst den Zugriff auf Konten schnell widerrufen. SCIM ist für einzelne Organisationen auf GitHub Enterprise Cloud oder für Unternehmen, die Enterprise Managed Users verwenden, verfügbar. Weitere Informationen findest du unter Informationen zu SCIM für Organisationen.

Konfigurieren der zweistufigen Authentifizierung

Die beste Möglichkeit, die Sicherheit deiner Konten zu verbessern, ist die Konfiguration der Zwei-Faktor-Authentifizierung. Kennwörter selbst können kompromittiert werden, wenn sie erraten werden können, auf einer kompromittierten Website wiederverwendet oder durch Social Engineering wie Phishing kompromittiert werden. Mit der zweistufigen Authentifizierung wird die Kompromittierung eines Kontos deutlich erschwert, selbst wenn der Angreifer über das entsprechende Kennwort verfügt.

Wenn du Unternehmensbesitzer bist, kannst du eine Richtlinie konfigurieren, die für alle Organisationen im Besitz deines Unternehmens eine zweistufige Authentifizierung erfordert.

Wenn du Organisationsbesitzer bist, kannst du möglicherweise festlegen, dass alle Mitglieder der Organisation die zweistufige Authentifizierung aktivieren.

Konfigurieren deines Unternehmenskontos

Unternehmensbesitzer können möglicherweise festlegen, dass alle Mitglieder der enterprise die zweistufige Authentifizierung verwenden. Ob Richtlinien für die zweistufige Authentifizierung für GitHub Enterprise Cloud verfügbar sind, hängt davon ab, wie sich Mitglieder für den Zugriff auf deine Unternehmensressourcen authentifizieren.

Wenn in deinem Unternehmen Enterprise Managed Users verwendet oder die SAML-Authentifizierung für dein Unternehmen erzwungen wird, kannst du die Zwei-Faktor-Authentifizierung für GitHub Enterprise Cloud nicht konfigurieren. Die zweistufige Authentifizierung für den Identitätsanbieter muss von einem Benutzer mit Administratorzugriff konfiguriert werden.

Weitere Informationen findest du unter Informationen zur Identitäts- und Zugriffsverwaltung für dein Unternehmen und unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.

Konfigurieren eines persönlichen Kontos

Hinweis: Je nachdem, welche Authentifizierungsmethode derdieUnternehmensbesitzerin für dein Unternehmen auf GitHub.com konfiguriert hat, kannst du die Zwei-Faktor-Authentifizierung für dein persönliches Konto möglicherweise nicht aktivieren.

GitHub Enterprise Cloud unterstützt mehrere Optionen für die zweistufige Authentifizierung, und obwohl jede davon besser ist als nichts, ist WebAuthn doch die sicherste Option. Für WebAuthn wird entweder ein Hardwaresicherheitsschlüssel oder ein Gerät benötigt, das über Windows Hello oder Mac TouchID entsprechende Unterstützung bietet. Phishing ist bei anderen Formen der zweistufigen Authentifizierung zwar schwierig, aber möglich (wenn du beispielsweise gebeten wirst, dein sechsstelliges Einmalkennwort vorzulesen). Bei WebAuthn ist Phishing dagegen nicht möglich, da im Protokoll eine Domänendefinition integriert ist, mit der verhindert wird, dass Anmeldeinformationen von einer Website, die eine Anmeldeseite imitiert, für GitHub Enterprise Cloud verwendet werden.

Beim Einrichten der zweistufigen Authentifizierung solltest du die Wiederherstellungscodes immer herunterladen und mehr als eine Stufe einrichten. Dadurch wird sichergestellt, dass der Zugriff auf dein Konto nicht von einem einzelnen Gerät abhängt. Weitere Informationen findest du unter Konfigurieren der zweistufigen Authentifizierung, Konfigurieren von Wiederherstellungsmethoden bei der zweistufigen Authentifizierung und unter GitHub-Hardwaresicherheitsschlüssel im GitHub-Shop.

Konfigurieren eines Organisationskontos

Hinweis: Je nachdem, welche Authentifizierungsmethode derdieUnternehmensbesitzerin für dein Unternehmen auf GitHub.com konfiguriert hat, kannst du möglicherweise nicht festlegen, dass für deine Organisation die Zwei-Faktor-Authentifizierung verwendet werden muss.

Als Organisationsinhaberin kannst du erkennen, für welche Benutzerinnen die zweistufige Authentifizierung nicht aktiviert ist. Du kannst ihnen beim Einrichten der zweistufigen Authentifizierung behilflich sein und anschließend festlegen, dass für deine Organisation die zweistufige Authentifizierung verwendet werden muss. Informationen zu dieser Vorgehensweise findest du unter:

  1. Überprüfen, ob Benutzer*innen in deiner Organisation die zweistufige Authentifizierung aktiviert haben
  2. Vorbereitung darauf, dass in deiner Organisation die zweistufige Authentifizierung verwendet werden muss
  3. Festlegen, dass in deiner Organisation die zweistufige Authentifizierung verwendet werden muss

Herstellen einer Verbindung mit GitHub Enterprise Cloud mithilfe von SSH-Schlüsseln

Außer der Anmeldung bei der Website gibt es auch andere Möglichkeiten, mit GitHub Enterprise Cloud zu interagieren. Viele autorisieren den Code, den sie an GitHub pushen, mit einem privaten SSH-Schlüssel. Weitere Informationen findest du unter Informationen zu SSH.

Ebenso wie bei deinem Kontokennwort können Angreifer*innen deine Identität annehmen und böswilligen Code an alle Repositorys pushen, für die du Schreibzugriff hast, falls sie an deinen privaten SSH-Schlüssel gelangen. Wenn du deinen privaten SSH-Schlüssel in einem Datenträgerlaufwerk speicherst, solltest du ihn mit einer Passphrase zu schützen. Weitere Informationen findest du unter Verwenden von Passphrasen für SSH-Schlüssel.

Eine weitere Option besteht darin, SSH-Schlüssel mit einem Hardwaresicherheitsschlüssel zu generieren. Dabei kann derselbe Schlüssel wie für die zweistufige Authentifizierung verwendet werden. Die Kompromittierung von Hardwaresicherheitsschlüsseln per Fernzugriff ist schwierig, da der private SSH-Schlüssel auf der Hardware verbleibt und über die Software nicht direkt zugänglich ist Weitere Informationen findest du unter Generieren eines neuen SSH-Schlüssels für einen Hardwaresicherheitsschlüssel.

Hardwaregestützte SSH-Schlüssel sind recht sicher, aber die Hardwareanforderung ist für einige Organisationen möglicherweise nicht geeignet. Ein alternativer Ansatz besteht darin, SSH-Schlüssel zu verwenden, die nur für einen kurzen Zeitraum gültig sind. Auch wenn der private Schlüssel kompromittiert wird, kann er nicht lange genutzt werden. Auf diesem Konzept beruht die Unterhaltung einer eigenen SSH-Zertifizierungsstelle. Bei diesem Ansatz kannst du weitgehend festlegen, wie sich Benutzer*innen authentifizieren, jedoch bist du dafür verantwortlich, selbst eine SSH-Zertifizierungsstelle zu unterhalten. Weitere Informationen findest du unter Informationen zu SSH-Zertifizierungsstellen.

Nächste Schritte