Was ist Single Sign-On (SSO) und warum ist es wichtig?

Single Sign-On (SSO) ist ein System zur Benutzeridentifizierung, das es den Benutzern ermöglicht, dieselben Anmeldeinformationen für mehrere Websites und Anwendungen zu verwenden.

In der Vergangenheit waren für die Anmeldung bei einem Benutzerkonto zwei Anmeldedaten erforderlich: ein Benutzername und ein Passwort. Die Verwaltung von Dutzenden von Anmeldedaten verlangsamt die Arbeit und erhöht das Risiko. Single Sign-On (SSO) behebt dieses Problem, indem es den Benutzern ermöglicht, mit einmaliger Anmeldung auf alle benötigten Anwendungen und Systeme zuzugreifen.

Anstatt sich mehrere Passwörter merken oder diese verwalten zu müssen, können Kunden und Mitarbeiter jetzt mit denselben Benutzeranmeldeinformationen auf wichtige Systeme zugreifen. 

Lesen Sie weiter, um alles zu erfahren, was Sie über die SSO-Authentifizierung wissen müssen, insbesondere warum sie wichtig ist, wie sie funktioniert und wie Sie Ihre SSO-Konfiguration schützen können.

• Single Sign-On (SSO) ermöglicht es Benutzern, dieselben Anmeldedaten für mehrere Plattformen und Anwendungen zu verwenden.
• SSO wird immer wichtiger für die System- und Datensicherheit, da KI-gestützte Angriffe und andere raffinierte Taktiken zunehmen.
• Unternehmen wählen SSO-Standards auf der Grundlage ihrer Umgebungen und Systemfunktionen.
• Zu den Vorteilen von SSO gehören ein verbessertes Benutzererlebnis, höhere Sicherheit und ein rationalisiertes Identitätsmanagement.
• Das Hinzufügen von MFA, Passworthygiene und anderen Sicherheitsebenen erhöht die Effektivität von SSO.
• Zu den zukünftigen Trends, die sich auf SSO auswirken können, gehören Fortschritte in der Biometrie, dezentralisierte Identitäten und KI-gestützte Bedrohungen.

Single Sign-On ermöglicht Benutzern den Zugriff auf mehrere Anwendungen mit denselben Anmeldedaten. Wenn ein Mitarbeiter beispielsweise seine Anmeldedaten eingibt, um sich an seiner Arbeitsstation anzumelden, kann er durch SSO-Authentifizierung auch auf seine Anwendungen, Software, Systeme und Cloud-basierte Ressourcen zugreifen.

SSO erhöht die Sicherheit in Organisationen, die mit privaten oder sensiblen Informationen umgehen, wie z. B. Behörden, Biopharma und Gesundheitswesen, und bietet gleichzeitig eine nahtlose Benutzererfahrung über verschiedene Plattformen oder verwandte Institutionen hinweg. Ein Bankangestellter könnte sich beispielsweise mit SSO einmalig anmelden und zum CRM des Unternehmens, zu seinem E-Mail-Konto und zum HR-Portal navigieren. Sicherheitsebenen wie Multi-Faktor-Authentifizierung (MFA) tragen ergänzend dazu bei.

Warum ist SSO wichtig?

SSO ist für Unternehmen unverzichtbar, da es die Sicherheit erhöht, den Betrieb rationalisiert und die Benutzerfreundlichkeit verbessert, indem es den Zugriff auf mehrere Anwendungen mit denselben Anmeldeinformationen ermöglicht. Dies verringert die Passwortmüdigkeit und das Risiko von Phishing oder Kompromittierung von Zugangsdaten, insbesondere in Verbindung mit Multi-Faktor-Authentifizierung. SSO vereinfacht auch das Provisioning und De-Provisioning von Anwendern, senkt die IT-Supportkosten und unterstützt die Compliance durch zentralisierte Zugriffskontrolle und Aktivitätsverfolgung. Als Kernkomponente des Identitäts- und Zugriffsmanagements (IAM) und des Zero-Trust-Modells gewährleistet SSO eine sichere, effiziente und skalierbare Authentifizierung in Unternehmensumgebungen.

SSO ist angesichts der zunehmenden Verbreitung von Cloud-Anwendungen und -Diensten am Arbeitsplatz sogar noch wichtiger geworden. Nach den neuesten Schätzungen verwendet das durchschnittliche Unternehmen etwa 1400 Cloud-basierte Anwendungen. Die Begrenzung der Anzahl von Anmeldeinformationen, die Mitarbeiter mit SSO verwenden, verringert erhebliche Schwachstellen in der Cybersicherheit.

Zwar folgen alle SSO-Protokolle demselben allgemeinen Prozess, aber einige funktionieren je nach Anwendungsfall und anderen Faktoren etwas anders. Hier einige der häufigsten SSO-Standards:

• Security Access Markup Language (SAML): Die SAML-SSO-Konfiguration ist ein offener Standard für die Kodierung von Text in Maschinensprache und die Übermittlung von Identitätsinformationen. Im Vergleich zu anderen Protokollen ist es ein Authentifizierungsprotokoll mit einem breiten Anwendungsbereich, während andere Protokolle für spezielle Anwendungsfälle des sicheren Zugangs konzipiert sind. Die Security Assertion Markup Language ist auch der wichtigste Standard für die Erstellung von SSO-Token.
• Open Authorization (OAuth): OAuth ist ein offenes Standardprotokoll, das Identitätsinformationen verschlüsselt und zwischen Anwendungen überträgt. Dadurch können Benutzer auf Daten anderer Anwendungen zugreifen, ohne ihre Identität manuell bestätigen zu müssen.Es wird jedoch nicht direkt für die Authentifizierung verwendet, sondern oft in Verbindung mit OIDC für SSO-Anwendungsfälle.
• OpenID Connect (OIDC): Als Erweiterung von OAuth authentifiziert OIDC die Benutzeridentität und nutzt mehreren Anwendungen für eine Anmeldesitzung.
• Kerberos: Dieses Netzwerk-Authentifizierungsprotokoll verwendet verschlüsselte Tickets anstelle von Passwörtern, um SSO über ein Key Distribution Center (KDC) zu ermöglichen.

Diese SSO-Standards und -Protokolle werden je nach Funktion und digitaler Umgebung für unterschiedliche Konfigurationen verwendet:

• SSO auf Unternehmensebene bietet ein einheitliches Anmeldeerlebnis für interne Systeme innerhalb eines Unternehmens, so dass die Benutzer nahtlos zu mehreren Datenbanken, Plattformen und Anwendungen navigieren können.
• Federated SSO verbindet Identitäten über verschiedene Organisationen oder Domänen hinweg.
• Cloud-basiertes SSO ermöglicht den SSO-Zugang über mehrere Cloud-basierte Dienste und Anwendungen wie AWS oder Office 365.
• Mobile SSO ermöglicht es Benutzern, mit einer einzigen Anmeldung auf mehrere mobile Anwendungen zuzugreifen.
• Social SSO ermöglicht es Nutzern, sich über ein Social-Media-Konto, z. B. Facebook oder LinkedIn, bei einer Anwendung oder Plattform anzumelden.

Wichtige Aspekte bei der Entscheidung eines SSO-Protokolls

Achten Sie bei der Auswahl eines SSO-Protokolls nicht nur auf die technischen Spezifikationen, sondern auch auf die Eignung für die Ziele Ihres Unternehmens in Bezug auf Sicherheit, Compliance und Benutzerfreundlichkeit:

• Sicherheitsstufe und Bedrohungsmodell: Stimmen Sie die Stärken des Protokolls auf die Arten von Angriffen ab, vor denen Sie sich am meisten schützen müssen, z. B. Phishing oder Diebstahl von Zugangsdaten.
• Angleichung der Rechtsvorschriften: Vergewissern Sie sich, dass das Protokoll die Compliance-Standards unterstützt, die Sie erfüllen müssen, wie z. B. DSGVO, HIPAA oder FedRAMP.
• Integration in bestehende Systeme: Suchen Sie nach Protokollen, die problemlos mit Ihren derzeitigen Identitätsanbietern, Anwendungen und Ihrer Infrastruktur zusammenarbeiten, ohne dass Sie kostspielige Umstrukturierungen vornehmen müssen.
• Skalierbarkeit und Performance: Überlegen Sie, wie das Protokoll mit dem Wachstum umgeht, sowohl im Hinblick auf das Nutzervolumen als auch auf die Anzahl der integrierten Dienste.
• Benutzererfahrung: Sorgen Sie für ein Gleichgewicht zwischen Sicherheit und einem Anmeldeprozess, der für Mitarbeiter, Partner oder Bürger schnell und intuitiv ist.
• Unterstützung von Anbietern und Gemeinden: Ein gut unterstütztes Protokoll mit aktiver Entwicklung und bewährten Einsatzmustern verringert das Risiko im Laufe der Zeit. 

Die Wahl des richtigen Protokolls ist ebenso eine geschäftliche wie eine technische Entscheidung. Die richtige Lösung schützt Ihr Unternehmen, sorgt für die Einhaltung von Vorschriften und erleichtert den Menschen, die täglich damit arbeiten, das Leben.

SSO wird oft als eine Funktion der „Identitätsföderation“ bezeichnet. Vereinfacht ausgedrückt ist die Identitätsföderation ein Vertrauenssystem zwischen zwei Parteien zur Authentifizierung von Benutzern und zum Austausch von Informationen, die für die Autorisierung ihres Zugangs zu bestimmten Ressourcen erforderlich sind. Meistens handelt es sich dabei um die Verwendung von Open Authorization (OAuth). Dies ist ein Framework, das Anwendungen die Möglichkeit gibt, sicheren Zugriff zu gewähren, ohne die eigentlichen Anmeldeinformationen preiszugeben.

Im Allgemeinen ist die SSO-Authentifizierung ein schneller und einfacher Prozess:

1. Zunächst fordert der Benutzer den Zugriff auf eine Ressource innerhalb der SSO-Konfiguration an, wodurch der Anmeldevorgang über das Internet oder eine mobile App eingeleitet wird.
2. Der Dienstanbieter der Ressource, z. B. die Host-Website, leitet den Benutzer an einen Identity Provider wie Entrust weiter.
3. Der Identity Provider überprüft die Identität des Benutzers, indem er dessen Anmeldeinformationen mithilfe eines der verschiedenen SSO-Protokolle überprüft.
4. Wenn der Benutzer erfolgreich verifiziert wurde, generiert der Identity Provider ein SSO-Token (auch Authentifizierungstoken genannt). Kurz gesagt handelt es sich um ein digitales Asset, das die authentifizierte Sitzung des Benutzers darstellt.
5. Der Identity Provider sendet das SSO-Token zurück an den Dienstanbieter, der dann dessen Gültigkeit überprüft. Falls erforderlich, kann die Anwendung, das System oder der Dienstanbieter die Identität des Benutzers weiter überprüfen, indem sie eine zusätzliche Authentifizierungsanfrage stellen.
6. Nach der Verifizierung gewährt der Dienstanbieter dem Benutzer Zugang zu seiner Ressource oder Anwendung.

Nun kann der Benutzer alle anderen in der SSO-Einrichtung konfigurierten Anwendungen nutzen, solange die Sitzung nicht abläuft oder eine erneute Authentifizierung erforderlich ist.

Eine SSO-Implementierung kann sowohl für Benutzer als auch für Unternehmen und Kunden mehrere Vorteile bieten. Zum Beispiel:

Höhere Benutzerfreundlichkeit, Produktivität und Kosteneinsparungen

Die Zusammenfassung mehrerer Passwörter zu einem einzigen Satz von Benutzeranmeldedaten vereinfacht die Anmeldung und verringert die Notwendigkeit für die Mitarbeiter, den Überblick über mehrere Konten zu behalten. Besonders wichtig ist dies in einer hybriden Arbeitsumgebung, in der die wichtigsten Anwendungen zunehmend vor Ort oder in der Cloud betrieben werden.

Letztendlich führt dieser beschleunigte Arbeitsablauf zu einer Produktivitätssteigerung bei den Mitarbeitern. Noch besser: Selbst eine kleine Zeitersparnis wie Single Sign-On oder Multi-Faktor-Authentifizierung kann sich finanziell bemerkbar machen. Untersuchungen haben ergeben, dass Mitarbeiter für das Zurücksetzen von Passwörtern durchschnittlich 10 Minuten benötigen. Wenn jeder Mitarbeiter in einem Unternehmen mit 100 Mitarbeitern nur zweimal im Jahr sein Passwort zurücksetzen muss, sind das über 33 Stunden verschwendete Arbeitszeit - fast eine ganze Woche.

Außerdem kann eine SSO-Lösung unproduktive Aufgaben minimieren, wie z. B. Anfragen an den IT-Helpdesk, um Passwörter zurückzusetzen.

Mehr Sicherheit durch bessere Passworthygiene

In einer Studie wurden 41 % der erfolgreichen Anmeldungen auf Websites mit gestohlenen Passwörtern durchgeführt, die zuvor bei Datenschutzverletzungen an die Öffentlichkeit gelangt waren. Wenn sich Menschen mehrere Kombinationen aus Benutzernamen und Passwort merken müssen, fangen sie schließlich an, dieselben Kombinationen für verschiedene Konten zu verwenden.Außerdem machen sie sich möglicherweise nicht die Mühe, ihre Passwörter zu ändern, selbst wenn sie darauf aufmerksam gemacht werden, dass ihre Anmeldedaten gestohlen wurden oder gefährdet sind.

Dies wird als "Passwortmüdigkeit" bezeichnet und ist ein weiterer Grund, warum SSO wichtig ist: Das ist ein großes Sicherheitsrisiko, denn wenn ein Konto kompromittiert wird, können auch alle anderen Dienste betroffen sein. Mit anderen Worten: Angreifer könnten dasselbe Passwort verwenden, um die anderen Anwendungen des Opfers zu hacken.

Die SSO-Implementierung verringert die Passwortmüdigkeit, indem alle Anmeldungen auf eine einzige reduziert werden. Selbst wenn ein Konto kompromittiert wird, können Administratoren schnell Maßnahmen ergreifen, um den Zugang zu sperren und so das Ausmaß des potenziellen Schadens an den Systemen oder die Menge der gestohlenen Daten zu begrenzen.

Die Realität sieht jedoch bisweilen anders aus. Deshalb ist es am besten, wenn Sie Ihre SSO-Lösung mit zusätzlichen Sicherheitsmaßnahmen unterstützen – aber dazu später mehr.

Einfachere Durchsetzung von Richtlinien und Identitätsmanagement

SSO bietet eine zentrale Anlaufstelle für Passwörter, sodass IT-Teams leichter Sicherheitsrichtlinien und -regeln durchsetzen können. Das Zurücksetzen von Passwörtern in bestimmten Zeitabständen ist mit SSO viel einfacher zu handhaben, da jeder Benutzer nur einen einzigen Satz Anmeldedaten zu ändern hat.

Noch wichtiger ist, dass das föderierte Identitätsmanagement bei korrekter Implementierung die Anmeldedaten intern in einer kontrollierten Umgebung speichert. Im Gegensatz dazu speichern Unternehmen herkömmliche Benutzername-Passwort-Kombinationen extern und haben nur wenig Einblick in deren Verwaltung, z. B. in einer Anwendung eines Drittanbieters. Dadurch wird es schwieriger, die Verwaltung von Zugangsdaten gemäß den bewährten Verfahren für die Datensicherheit zu gewährleisten.

Compliance-Unterstützung

SSO spielt eine entscheidende Rolle, wenn es darum geht, Unternehmen in stark regulierten Branchen dabei zu helfen, wichtige Compliance-Standards zu erfüllen, wie z. B. die von HIPAA, DSGVO und SOC 2 vorgeschriebenen.

Die zentrale Zugriffsverwaltung unterstützt die konsistente Durchsetzung von Sicherheitsrichtlinien in der gesamten technologischen Infrastruktur, einschließlich der angeschlossenen Anwendungen. Ein einheitlicher Satz von Sicherheitsregeln vereinfacht auch die Benutzerberechtigungen und erleichtert die Kontrolle darüber, wer entsprechend den Compliance-Anforderungen auf sensible Daten und Ressourcen zugreifen darf.

Die Zugriffsverwaltung mit SSO trägt auch zur Durchsetzung des Prinzips der geringsten Berechtigung bei und stellt sicher, dass sich die Benutzer nur bei den Tools und Systemen anmelden können, die sie für ihre Aufgaben benötigen. Diese Beschränkungen können dazu beitragen, den Schaden im Falle eines Verstoßes zu begrenzen. 

Schließlich bieten SSO-Lösungen detaillierte Audit-Protokolle, die die Benutzeraktivitäten nachverfolgen und zur Erfüllung von Compliance-Anforderungen für die Überwachung und Berichterstattung oder für Untersuchungen verwendet werden können.

SSO ist sicher, muss aber effektiv implementiert werden. Wenn Ihre SSO-Authentifizierung aus einem einzigen Passwort ohne Multi-Faktor-Authentifizierung für mehrere Anwendungen besteht, haben Sie Ihre Benutzer zwar produktiver gemacht, aber Ihr Risiko vervielfacht. Wenn beispielsweise ein böswilliger Akteur ein SSO-Konto kompromittiert, kann er ungehindert auf die anderen Anwendungen innerhalb derselben Konfiguration zugreifen.

Selbst wenn Multi-Faktor-Authentifizierung implementiert ist, können Nutzer "Push-Müdigkeit" entwickeln, so dass sie gefälschte Push-Anfragen von Hackern eher genehmigen, ohne sie sorgfältig zu prüfen. 

Falsch konfigurierte SSO- und App-Integrationen können ebenfalls Schwachstellen eröffnen, insbesondere wenn Unternehmen nicht auf diese Art von Sicherheitsrisiken achten.

Um das Risiko zu mindern, sollten Unternehmen SSO durch zusätzliche Sicherheitsebenen ergänzen, z. B. Entrust stärkt SSO mit Funktionen wie:

• Token-Widerruf und Neuauthentifizierung, wenn das System anhand von Kontextdaten ungewöhnliche Zugriffe oder Verhaltensweisen feststellt, z. B. wenn jemand versucht, sich von einem unbekannten oder nicht verwalteten Gerät aus anzumelden.
• passwortlose Authentifizierung mithilfe von Anmeldedaten, bei der herkömmliche Passwörter durch biometrische Daten oder Token ersetzt werden, um einen schnellen und reibungslosen Zugang zu ermöglichen. Und das Beste daran? Kein Passwort, nichts zu stehlen – keine Möglichkeit, die Schutzmaßnahmen zu durchbrechen.
• Zentrale Kontrolle über die Sitzungsdauer, so dass Sicherheitsadministratoren festlegen und durchsetzen können, wie lange eine authentifizierte Sitzung gültig bleibt, bevor sich Benutzer erneut mit MFA authentifizieren müssen.

SSO kann ein großer Segen für die Produktivität sein, birgt aber auch Risiken. Um also sicherzustellen, dass Ihre SSO-Implementierung so sicher wie möglich ist, sollten Sie die folgenden Best Practices beachten:

1. Eine Übersicht über Ihre Anwendungen erstellen: Bestimmen Sie, welche Software, Systeme, Anwendungen und Dienste in Ihre SSO-Konfiguration aufgenommen werden sollen.
2. Wählen Sie ein Authentifizierungsprotokoll. Wählen Sie einen SSO-Standard, der mit bestehenden Systemen kompatibel ist und die erforderlichen Standards für alle Plattformen und Anwendungen erfüllt.
3. Einen Identitätsanbieter wählen: Suchen Sie nach einer flexiblen SSO-Lösung, die plattformunabhängig und mit allen Browsern kompatibel ist. Noch wichtiger ist, dass Ihr Identity Provider auch mehrere Sicherheitsfunktionen bietet, um zu gewährleisten, dass Ihre Bereitstellung gut geschützt ist.
4. Benutzerberechtigungen überprüfen: Im Sinne des Zero-Trust-Rahmens sollten Sie Ihre Entscheidungen zur Zugriffskontrolle auf das Konzept des „Zugriffs nach dem Prinzip der geringsten Berechtigungen“ stützen. Die Idee ist, dass jeder Benutzer nur die Mindestberechtigungen erhält, die er für die Erfüllung seiner Aufgaben benötigt. Wenn jemand die Kontrolle über sein Konto verliert, kann ein Hacker auf diese Weise bestimmte Anwendungen nicht nutzen.
5. Testen und überwachen. Testen Sie SSO im gesamten System vor der Bereitstellung, um sicherzustellen, dass es wie vorgesehen funktioniert. Überwachen Sie das System nach seiner Implementierung kontinuierlich auf Risiken, Schwachstellen und ungewöhnliche Verhaltensweisen oder Aktivitäten.

In dem Maße, wie sich die Risiken entwickeln und verändern, wird sich auch die SSO mit ihnen weiterentwickeln. Zu den Entwicklungen und Trends, die sich auf die künftige Verwendung auswirken könnten, gehören:

• Erweiterte Multi-Faktor-Authentifizierung. SSO kann in Kombination mit Netzhautscans, Gesichtserkennung oder Fingerabdrücken zur Unterstützung der Authentifizierung verwendet werden. Adaptive Multi-Faktor-Authentifizierung beinhaltet zusätzliche Prüfungen, die auf Faktoren wie Verhalten, Standort, Gerät oder anderen Signalen basieren.
• Dezentralisierte Identität. Blockchain und andere aufkommende Technologien verringern die Abhängigkeit von zentral gespeicherten Anmeldeinformationen, minimieren die Risiken weiter und verbessern die Privatsphäre der Nutzer.
• Token- und Sitzungssicherheit. Da Angreifer durch Malware oder Abfangen zunehmend auf die Authentifizierungs-Tokens des SSO abzielen, entwickeln sich die Best Practices weiter, um eine häufigere Token-Rotation und kürzere Validierungszeiträume zu integrieren. Es ist auch eine gute Idee, proaktiv auf Anzeichen zu achten, dass Token kompromittiert wurden.
• Anpassungen für Cloud- und Hybrid-Umgebungen. Die Komplexität moderner Unternehmenstechnologien verlangt von SSO-Plattformen mehr als je zuvor. Dazu gehören die nahtlose Skalierung über Plattformen hinweg, die Automatisierung von Aufgaben wie die Bereitstellung von Benutzern und die konsequente Durchsetzung von Sicherheitsrichtlinien.

Mit einem robusten SSO-System können Benutzer mit einer einzigen Anmeldung schnell und einfach auf mehrere Plattformen und Anwendungen zugreifen und sind gleichzeitig vor Phishing und anderen Angriffen geschützt. Es sollte zusätzliche Sicherheitsmerkmale wie die Mehrfaktor-Authentifizierung enthalten und den einschlägigen Datenschutz- und Sicherheitsanforderungen entsprechen.

Die Benutzer sollten sich leicht zurechtfinden, und die IT-Teams sollten in der Lage sein, Aktivitäten, Einstellungen und andere Funktionen von einem zentralen Dashboard aus zu überwachen, um Probleme proaktiv zu erkennen und schnell auf Sicherheitsbedrohungen zu reagieren.

SSO-Lösungen von Entrust machen es überflüssig, Anmeldedaten für jede einzelne Cloud-, On-Premise- und Legacy-Anwendung separat zu verwalten. Darüber hinaus bieten sie alle Kernfunktionen, die Sie für die Realisierung einer Zero-Trust-Architektur benötigen, darunter:

• Multi-Faktor-Authentifizierung
• Passwortloser Zugang
• Flexibilität bei der Bereitstellung
• Nahtlose Integrationen
• Zentrale Verwaltung

Die Identitätsauthentifizierung mit SSO ist eine wichtige Funktion moderner Identitäts- und Zugriffsmanagementlösungen und spielt eine immer wichtigere Rolle beim Schutz von Unternehmen vor Phishing-Angriffen und Schwachstellen. Lesen Sie mehr über die identitätszentrierten Sicherheitsstrategien, die Unternehmen anwenden, um ihre Daten und Benutzer zu schützen.