Die wichtigsten Vorteile von Single Sign-on und seine Bedeutung für Firmen
Was ist Single Sign-on (SSO)?
Single Sign-On, kurz SSO, ist eine Lösung für Unternehmen, die dazu beiträgt, die IT-Sicherheit zu erhöhen, die Benutzerfreundlichkeit zu verbessern und Kosten zu senken. Denn sich unzählige, komplizierte Passwörter zu merken ist nahezu unmöglich und das Hantieren mit Passwort-Managern kostet Zeit. SSO, frei übersetzt „Einmalanmeldung“, bietet einen Ausweg aus diesem Konflikt. Dabei handelt es sich um Sitzungs- und Benutzerauthentifizierungsdienste, der es ermöglicht, mit nur einem einzigen Satz Anmeldedaten aus Nutzernamen und Kennwort auf mehrere Anwendungen zuzugreifen.
Wie funktioniert SSO?
Ohne SSO erfolgt die Authentifizierung bei jeder Website oder Anwendung separat. Dazu muss die Website ihre eigene private Datenbank mit Benutzeranmeldeinformationen vorhalten und diese entsprechend gepflegt werden. Für Unternehmen, die Cloud-Anwendungen und lokale Netzwerke kombinieren, stellt die schiere Menge an Benutzerdaten einen erheblichen Verwaltungsaufwand dar. Die IT-Abteilung muss für jeden Account (z. B. Mitarbeitende, Auftragnehmer oder Kunden) separate Anmeldedaten für jede einzelne Website, jedes Programm oder jede Anwendung im System speichern und verwalten. Dies führt zu Sicherheitsrisiken, hohen Verwaltungskosten und Ineffizienz. SSO vereinfacht den Anmelde- und Authentifizierungsprozess. Konkret funktioniert ein SSO-Anmeldevorgang wie folgt:
- Angestellte rufen die Internetseite oder Anwendung des Service Providers (SP) auf, auf die sie zugreifen möchten.
- Der Service Providersendet diese Anfrage und leitet den Mitarbeiter an den Identity Provider (IdP) des SSO-Systems weiter.
- Der Mitarbeiter wird aufgefordert, sich zu authentifizieren, indem er die vom Identity Provider angeforderten Anmeldedaten für das SSO wie Benutzername und Passwort eingibt.
- Sobald der Identity Provider die Anmeldedaten des Mitarbeiters überprüft hat, sendet er eine Bestätigung an den Service Provider zurück, um die erfolgreiche Authentifizierung zu bestätigen. Der Mitarbeiter erhält daraufhin Zugriff auf die gewünschte Anwendung.
- Andere Service Provider, auf die der Mitarbeiter zugreift, bestätigen die Authentifizierung des Benutzers beim Identity Provider. Diese Service Providerbenötigen keinen Benutzernamen und kein Passwort.
Wie SSO Sicherheit und Produktivität steigert
Jedes Mal, wenn sich ein Nutzer bei einem Dienst anmelden, entsteht ein potenzielles Risiko. Denn Login-Daten gehören zu den beliebtesten Angriffszielen von Cyber-Kriminellen. SSO reduziert die Angriffsfläche, da sich Beschäftige zum Beispiel nur einmal am Tag anmelden müssen und dabei nur einen Satz von Anmeldedaten verwenden. Die Beschränkung der Logins auf einen Satz von Anmeldedaten erhöht somit die Sicherheit der Unternehmen. Denn wenn die Mitarbeitende für jede Anwendung ein eigenes Passwort verwenden müssen, machen sie es häufig gar nicht oder verwenden leicht merkbare Passwörter. Laut einer aktuellen Studie beziehen sich zum Beispiel 32 Prozent aller Passwörter direkt auf das Unternehmen, etwa den Firmennamen oder eine Abwandlung desselben). Single Sign-On reduziert die kognitive Belastung. Durch den Einsatz sinkt zudem die Gefahr, dass Angestellte die gleichen Passwörter wiederverwenden oder aufschreiben, was wiederum das Risiko eines Diebstahls verringert.
Verringerung von Sicherheitsrisiken
In der Regel ist der Einsatz von SSO-Diensten auch technisch sicherer als die „normale“ Anmeldung per Nutzername und Passwort. Denn die Anmeldedaten sind deutlich besser geschützt. SSO basiert auf einer Vertrauensbeziehung zwischen der Partei, die über die Identitätsinformationen verfügt und Logins authentifizieren kann, dem Identity Provider (IdP), und dem Dienst oder der Anwendung, auf die zugegriffen werden soll, dem Service Provider (SP). Anstatt sensible Daten über das Internet hin und her zu schicken, sendet der Identity Provider eine Bestätigung – oft über einen Identitätsstandard wie SAML –, um den Anmeldung gegenüber dem Service Provider zu authentifizieren.
Ein weit verbreiteter Mythos über SSO-Lösungen ist, dass sie die Sicherheit von IT-Systemen gefährden. Dieser Irrglaube beruht auf der Vorstellung, dass bei Diebstahl des Masterpassworts alle zugehörigen Konten zugänglich sind. Das lässt sich allerdings effektiv vermeiden. Eine bewährte Strategie, um eine zusätzliche Sicherheitsebene zu schaffen, ist zum Beispiel die Kombination von SSO mit Multi-Faktor-Authentifizierung (MFA). MFA erfordert, dass ein Mitarbeiter bei der Anmeldung zwei oder mehr Nachweise seiner Identität vorlegt. Dabei kann es sich um einen Code handeln, der zum Beispiel an das Smartphone gesendet wird.
Risikobasierte Authentifizierung (RBA) ist eine weitere erprobte Sicherheitsfunktion zum Schutz von SSO. RBA ermöglicht IT-Verantwortlichen den Einsatz von Tools zur Überwachung der Benutzeraktivitäten und des Kontexts. Dadurch kann sie ungewöhnliches Verhalten erkennen, das auf nicht autorisierte Nutzer oder einen Cyberangriff hindeutet. Wenn beispielsweise mehrere Anmeldungen fehlschlagen oder falsche IPs verwendet werden, kann die IT eine MFA anfordern oder den Benutzer vollständig sperren.
SSO verhindert Schatten-IT
Der Begriff “Schatten-IT” ist in der Welt der Cyber-Sicherheit nicht neu. Sie bezieht sich auf nicht autorisierte Downloads am Arbeitsplatz. In der Vergangenheit beschränkte sich Schatten-IT hauptsächlich auf Angestellte, die nicht lizenzierte oder unautorisierte Software nutzten. Mit der zunehmenden Beliebtheit von Cloud-basierten Downloads steigt auch das Risikopotenzial. Um dieses Problem zu lösen, können IT-Administratoren mithilfe von SSO überwachen, welche Anwendungen die Mitarbeitende verwenden. Auf diese Weise wird das Risiko des Identitätsdiebstahls minimiert, was ein weiteres Plus an Sicherheit darstellt.
SSO senkt Kosten und steigert die Zufriedenheit
Single Sign-On steigert nicht zuletzt die Produktivität der Beschäftigten, da sie weniger Zeit mit der Anmeldung und der Verwaltung von Passwörtern verbringen müssen. Angesichts der Tatsache, dass viele Angestellte mehrmals pro Stunde zwischen verschiedenen Anwendungen wechseln, ist dieser Zeitfaktor nicht zu unterschätzen. Nach Schätzungen von Gartner sind Passwortprobleme für 40 % aller Anrufe beim Helpdesk verantwortlich. Eine weitere Studie von Forrester zeigt, dass das Zurücksetzen von Passwörtern Unternehmen bis zu 70 US-Dollar pro Problemlösung kostet. SSO senkt somit auch die Support-Kosten, da das Verfahren die Anzahl der benötigten Passwörter auf ein einziges reduziert. Darüber hinaus vereinfacht SSO die Arbeit der Administratoren, da sie Benutzerkonten und Zugriffsrechte zentral verwalten können. Nicht zuletzt erhöht es die Arbeitszufriedenheit generell, da die Mitarbeiter unterbrechungsfrei arbeiten und schneller auf alle Dienste zugreifen können, die sie benötigen. Besonders wertvoll ist der einfache Zugang für Mitarbeiterinnen und Mitarbeiter, die im Außendienst tätig sind oder von mehreren Geräten aus arbeiten.
Welche Arten von SSO gibt es?
Bei Single Sign-On (SSO) kommen verschiedene Verfahren zum Einsatz. Das derzeit am häufigsten verwendete Verfahren ist das SAML-basierte SSO. Dieses System ist aus verschiedenen Gründen populär:
- Weit verbreitet: SAML ist seit vielen Jahren auf dem Markt und wird von einer Vielzahl von Identity Providern und Service Providern unterstützt. Viele Unternehmen haben bereits in SAML-Infrastruktur investiert und setzen diese erfolgreich ein.
- Sicherheit: SAML bietet robuste Sicherheitsmechanismen für die Übertragung von Authentifizierungs- und Autorisierungsdaten zwischen Identity Providern und Service Providern. Beispielsweise werden digitale Signaturen und Verschlüsselung verwendet, um die Integrität und Vertraulichkeit der übertragenen Daten zu gewährleisten.
- Benutzerfreundlichkeit: SAML ermöglicht es, sich einmal bei einem Identity Provider anzumelden und dann nahtlos auf verschiedene Service Provider zuzugreifen, ohne sich erneut anmelden zu müssen. Dies verbessert die Benutzerfreundlichkeit und reduziert den Anmeldeaufwand.
- Interoperabilität: SAML ist ein offener Standard, den viele Organisationen unterstützen. Dadurch arbeiten Systeme und Anwendungen verschiedener Anbieter nahtlos zusammen, was die Zusammenarbeit erleichtert.
Obwohl SAML das am weitesten verbreitete SSO-Verfahren ist, gewinnen auch moderne Protokolle wie OpenID Connect (OIDC) zunehmend an Bedeutung, insbesondere in Webanwendungen und Cloud-Szenarien. OIDC bietet zusätzliche Funktionen wie die Unterstützung von OAuth 2.0 und eine verbesserte Benutzererfahrung für moderne Anwendungen und APIs.
Hat SSO auch Nachteile?
SSO weist systembedingt auch Nachteile auf. Wenn zum Beispiel das SSO-System ausfällt oder nicht verfügbar ist, können Nutzer den Zugriff auf angeschlossenen Anwendungen und Dienste verlieren. Dies kann zu Beeinträchtigungen und Produktivitätsproblemen führen. Bei der Nutzung von SSO müssen Unternehmen darüber hinaus darauf vertrauen, dass ihr SSO-Anbieter die Anmeldedaten angemessen schützt. Ansonsten besteht das Risiko, dass Angreifer Authentifizierungsdaten kompromittieren oder missbrauchen.
Fazit Single Sign On
Wie wird SSO implementiert?
Die Implementierung und Wartung von SSO ist eine komplexe Aufgabe. Sie erfordert sorgfältige Planung, die Integration in bestehende Systeme und die Gewährleistung der Kompatibilität mit verschiedenen Plattformen und Authentifizierungsprotokollen.
Authentifizierungsprozesse spielen eine wichtige Rolle im Ökosystem eines Unternehmens. Je größer die Organisation, desto mehr Authentifizierungsdaten muss es verarbeiten und speichern. Die Vorteile von SSO in diesem Kontext sind beachtlich: erhöhte Sicherheit, verbesserte Benutzerfreundlichkeit, geringere Kosten und Aufwand für die Verwaltung von Passwörtern. Es kann jedoch auch Nachteile geben, wie eine erhöhte Abhängigkeit von externen Diensten. Eine gründliche Bewertung Ihrer geschäftlichen Anforderungen hilft Ihnen zu entscheiden, ob SSO die richtige Wahl für Unternehmen ist.