Sie shoppen online oder nutzen einen neuen Dienst und werden aufgefordert, sich zu registrieren. Statt ein neues Konto anzulegen oder ein Passwort zu vergeben, bietet Ihnen die Seite an, sich mit Ihrem Google-Account oder über ein soziales Netzwerk einzuloggen. Dieses Verfahren heißt Single-Sign-On (SSO) und ist inzwischen Online-Alltag.
Eine Schlüssel für viele Schlösser: Mit einem Login stehen uns mehrere Anwendungen offen. 
Praktisch? Auf jeden Fall.
Aber auch riskant. Denn wer alle Türen mit einem einzigen Schlüssel öffnet, macht sich auch angreifbar.
Wir zeigen, wie Single Sign-On funktioniert, welche Unterschiede es gibt, und worauf man achten sollte.
Das erwartet mich in diesem Beitrag.
Was ist ein Single Sign-On
Single Sign-On (SSO) - also eine Einmalanmeldung - ist ein Authentifizierungsverfahren, mit dem sich Nutzer mit nur einem Login bei mehreren Anwendungen oder Webseiten anmelden können.
Es ist wie ein digitaler Ausweis, der von einem System zum anderen weitergereicht wird.
Oder ein Generalschlüssel für viele Schlösser, anstatt eines Schlüsselbunds, mit dem man jedes Schloss einzeln öffnet.
Wie funktioniert SSO?
SSO basiert auf einem Vertrauensverhältnis zwischen zwei Parteien:
- dem Service Provider (die App oder Website, auf die Sie zugreifen möchten)
- und dem Identity Provider (Dienst, der Ihre Identität bestätigt)
Der Identity Provider muss nachweisen, dass die übermittelten Informationen echt und vertrauenswürdig sind.
Diese Informationen werden in sogenannten Token übermittelt – kleine Datenpakete. Sie enthalten z. B. Ihre E-Mail-Adresse oder Ihren Benutzernamen, und die Information, wer das Token ausgestellt hat.
Damit das empfangende System sicher sein kann, dass der "Ausweis" echt ist, muss das Token digital signiert sein. Das dazu nötige Zertifikat tauschen die Systeme bei der ersten Einrichtung untereinander aus.
Angewandt auf unser Beispiel (aus der Einleitung):
Wenn Sie sich bei einem Online-Shop mit Ihrem Google-Konto anmelden, dann ist Google der Identity Provider.
Der Shop selbst kennt Sie nicht direkt – verlässt sich aber auf Googles Bestätigung.
Oder etwas bildhafter:
Identity Provider ist wie ein Türsteher, der Sie kennt und auf die Gästeliste setzt. Sobald er Sie reinwinkt, dürfen Sie durch – auch wenn der Club (also die Website oder App) Sie vorher noch nie gesehen hat.
SSO – Schritt für Schritt:
-
Sie öffnen eine Anwendung oder Website – also den Service Provider.
-
Diese Anwendung schickt eine Anfrage zur Authentifizierung an das SSO-System (den Identity Provider), inklusive eines Tokens mit z. B. Ihrer E-Mail-Adresse.
-
Der Identity Provider prüft: Ist der Nutzer schon eingeloggt?
✔ Ja → Weiter zu Schritt 5.
✖ Nein → Sie werden aufgefordert, Ihre Zugangsdaten einzugeben (z. B. Benutzername + Passwort oder ein Einmalcode). -
Nach erfolgreicher Anmeldung sendet der Identity Provider ein neues Token zurück an die Anwendung.
-
Das Token wandert über Ihren Browser zurück zum Service Provider.
-
Der Service Provider prüft das Token anhand des ursprünglichen Vertrauensverhältnisses.
-
Sie erhalten Zugriff.
-
Möchten Sie nun eine andere SSO-verbundene Website besuchen, läuft alles genauso – ohne neue Anmeldung, solange Sie noch eingeloggt sind.
SSO, Same Sign-On und FIM - Unterschiede
Same Sign-On
Was ist echtes SSO – und was nur ein Passworttresor?
Nicht alles, was „SSO“ heißt, ist wirklich Single Sign-On.
Oft ist eigentlich nur Same Sign-On gemeint – klingt ähnlich, ist aber nicht das Gleiche.
Unterschied
Bei einem Passwortmanager speichern Sie Ihre Zugangsdaten. Jedes Mal, wenn Sie eine App öffnen, trägt das Tool Benutzernamen & Passwort für Sie ein.
Aber: Zwischen App & Passworttool gibt es kein Vertrauensverhältnis.
"Richtiges" SSO funktioniert anders:
Einmal eingeloggt → überall Zugriff. Alles läuft über ein SSO-Portal, in dem alle freigegebenen Anwendungen gesammelt sind – egal ob in der Cloud oder lokal.
Verbundidentitätsverwaltung (FIM)
Bei einer Verbundidentitätsverwaltung (FIM) können sich Nutzer mit einem einzigen Konto bei verschiedenen, unabhängigen Diensten anmelden – auch wenn diese zu unterschiedlichen Organisationen gehören.
Beispiel: Eine Uni-Website erlaubt den Login mit dem Hochschul-Account, obwohl das Portal von einem externen Anbieter betrieben wird.
Die Identität wird also "mitgenommen".
Vorteile von SSO?
Weniger Login-Hürden
- Spart Zeit – gerade im Arbeitsalltag
- Nutzer merken sich nur noch ein (sicheres) Passwort statt vieler (schwacher)
- Weniger vergessene Passwörter = weniger Support-Anfragen
- Zentrale Verwaltung der Nutzerzugänge möglich (verlässt ein Mitarbeiter z. B. das Unternehmen, können die Zugänge mit einem Klick gesperrt werden)
Wie sicher ist Single Sign-On?
Zunächst einmal gilt: Die richtige SSO-Lösung wählen.
Fragen, die Sie vorher klären sollten
- Wer nutzt das System? Gibt es verschiedene Gruppen mit unterschiedlichen Anforderungen?
- Soll die Lösung in der Cloud laufen oder lokal, im eigenen Netzwerk?
- Wächst die Lösung mit? Sind Anpassungen möglich?
- Wie wird sichergestellt, wer Zugriff hat? (Multi-Faktor-Authentifizierung, IP-Whitelist, Geräteerkennung)
- Müssen Systeme angebunden werden? Wird z. B. ein API-Zugriff benötigt?
Manche Anwendungen benötigen eventuell etwas mehr Schutz.
Zum Beispiel:
- Extra-Sicherheitsabfrage beim Zugriff
- Zugang nur im Firmennetz erlaubt
Risiken von SSO
- "Single Point of Failure"
Wird Ihr zentrales Konto gehackt, haben Angreifer Zugriff auf alle angebundenen Dienste. - Datenschutz
Wer sammelt was – und warum? Manche Anbieter sammeln umfangreiche Daten und mit SSO fließen mehr Daten. Wer sich z. B. mit einem Social-Media-Account einloggt, gibt Einblick in sein Verhalten. Anbieter können untereinander Informationen austauschen, wie Interessen und Vorlieben. Das kann gezielt für Werbung genutzt werden – oder im schlimmsten Fall für Identitätsdiebstahl.
Sicherheitstipps für SSO
- Zwei-Faktor-Authentisierung aktivieren
(z. B. per Authenticator-App oder SMS-Code) - Sensible Dienste ausschließen
Schützen Sie sensible Zugänge (wie E-Mails, Onlinebanking) mit einem eigenen Login – getrennt vom SSO. - Datenschutzeinstellungen prüfen
Lesen die Datenschutzeinstellungen des Anbieters und achten Sie darauf, dass Ihre Daten nicht zwischen den Diensten getauscht werden.
Verwenden Sie SSO möglichst nur mit Diensten, denen Sie vertrauen – und bei denen Sie ohnehin wenig persönliche Daten hinterlegt haben
Überblick: SSO, FIM, MFA
| Lösung | Was ist das? | Vorteil | Nachteil | Einsatz sinnvoll, wenn… |
|---|---|---|---|---|
| Single Sign-On (SSO) | Einmal anmelden, auf mehrere Services zugreifen | Weniger Logins, besserer Nutzerfluss | Ein zentraler Account = hohes Risiko bei Missbrauch | viele Anwendungen unter einem Anbieter laufen |
| Verbundidentitätsverwaltung (FIM) | Gemeinsame Anmeldung über Anbietergrenzen hinweg | Funktioniert auch domänenübergreifend | Komplexer in der Einrichtung | verschiedene Systeme und Anbieter zusammenarbeiten |
| Same Sign-On | Gleiches Passwort für mehrere Anwendungen (separate Logins), keine automatische Weitergabe der Anmeldung | Vertraut für Nutzer, einfache Umsetzung | Kein echter Komfortgewinn, schwächere Sicherheit | Benutzer keine neue Technik lernen müssen sollen |
| Multi-Faktor-Authentifizierung (MFA) | Anmeldung mit zusätzlichem Faktor (z. B. Code, App, Fingerabdruck) | Hoher Schutz vor Identitätsdiebstahl (besonders in Verbindung mit SSO) | Zusätzlicher Aufwand beim Login | es besonders schützenswerte Daten oder Accounts betrifft |
Wer es nutzt, sollte auf ein starkes Passwort setzen, den Zugang doppelt absichern und bewusst entscheiden, welche Dienste man miteinander verknüpft.
Kontakt aufnehmen
Wenn Sie beim Thema Sicherheit unsicher sind oder Unterstützung bei der Einrichtung von SSO wünschen, schreiben Sie uns – wir unterstützen Sie gern.
Quellen: