Was ist Single-Sign-On (SSO)?

Von Marcel Stäheli, 08.01.2025   
Kategorie: [Sicherheit]

Single-Sign-On (SSO) ist ein Authenti­fizierungsverfahren, bei dem sich der Benutzer nur einmal bei einem Identitätsanbieter anmeldet. Über diesen erhält er automatisch Zugriff auf verschiedene Webseiten und Dienste, ohne sich bei jeder einzelnen erneut anmelden zu müssen.

Wenn Sie sich zum Beispiel bei gmail.com anmelden, um E-Mails zu überprüfen und danach youtube.com öffnen, sind sie bereits angemeldet, obwohl sie sich bei Youtube nicht explizit angemeldet haben. Dies ist möglich, weil beide Seiten im Hintergrund dasselbe Authentisierungssystem verwenden. 

Ihnen ist vielleicht bei einigen Webseiten aufgefallen, dass sie sich neben dem normalen Anmelden mit Benutzername/Passwort auch über Facebook, Google oder LinkedIn anmelden können. Dies sind alles Beispiele von SSO, wo Sie sich nur einmal bei einem Identitätsanbieter anmelden müssen (Microsoft, Google, Facebook und andere), und damit Zugang zu anderen Webseiten und Diensten erhalten, welche denselben Identitätsanbieter unterstützen ohne, dass Sie Ihre Anmeldedaten erneut eingeben müssen.

Single-Sign-On erleichtert Benutzern den Arbeits­alltag, weil sie sich für mehrere Dienst nur einmal anmelden müssen. Der Passwortmüdigkeit, also das Phänomen das Benutzer immer wieder das gleiche, einfache Passwort verwenden, weil sie keine Lust haben sich viele Passwörter zu merken, wird entgegengewirkt.

So funktioniert SSO vereinfacht

Erstanmeldung

Vereinfachte schematische Darstellung einer Erstanmeldung mit Single-Sign-On

  1. Ein Benutzer möchte sich beim Server A anmelden, um Daten anzusehen. 
  2. Er wird für die Anmeldung zum Identitätsanbieter weitergeleitet, wo er seine Anmeldedaten eingibt.
  3. Der Identitätsanbieter überprüft die Anmeldedaten und stellt ein Zugriffstoken aus, welches er an das Gerät des Benutzers sendet.
  4. Mit diesem Token weiss nun Server A, dass der Benutzer bereits angemeldet ist und gewährt ihm Zugang zu den Daten.

Jede weitere Anmeldung

Vereinfachte schematische Darstellung einer Anmedlung mit Single-Sign-On, wenn der Benutzer sich bereits an einer anderen Seite angemeldet hat
  1. Der Benutzer möchte sich bei Server B anmelden.
  2. Er besitzt bereits ein gültiges Zugriffstoken und muss sich nicht beim Identitätsanbieter erneut anmelden. Er erhält direkt Zugang zu den Daten.

Gefahren von SSO

SSO erhöht den Komfort und die Bequemlichkeit für Benutzer im Alltag, hat aber potentielle Nachteile.

Diebstahl der Anmeldedaten

Gelingt es einem Angreifer an die Anmeldedaten eines Kontos zu gelangen, dass für SSO verwendet wird, hat er automatisch Zugang zu allen Webseiten und Diensten, die beim Identitätsanbieter hinterlegt sind. Es wird also nicht potentiell eine Webseite/App geknackt, sondern alle hinterlegten.

Tokendiebstahl

Gelingt es einem Angreifer ein Token zu stehlen, hat er Zugang zur Webseite, für die das Token ausgestellt wurde, so lange wie das Token gültig ist, oder bis Sie sich abmelden.

Für ausführlichere Informationen zum Thema Token, lesen Sie unseren Ratgeberartikel Tokendiebstahl und Tokenschutz.

Schutzmassnahmen

Wenn Single-Sign-On verwenden, sollten Sie darauf achten, dass die Kontrollen bei der Anmeldung so strikt wie möglich sind. Aktivieren Sie auf jeden Fall Multifaktor-Authenti­fizierung. Je nach Anbieter, kann es weitere Schutzmassnahmen geben, die Sie aktivieren können:

Zugangsbeschränkung

Mit der Zugangsbeschränkung werden zur Entscheidungsfindung, ob ein Benutzer angemeldet wird, zusätzliche Richtlinien berücksichtigt und nicht nur ob die Anmeldedaten korrekt sind. Solche Richtlinien können sein, dass beim Benutzer ein Antivirus oder ein bestimmtes Betriebssystem installiert sein muss oder, dass der Benutzer nur aus einem bestimmten geografischen Raum zugreifen darf oder sich nur während einem bestimmten Zeitfenster anmelden darf.

Tokenschutz

Um die Gefahr eines Tokendiebstahls zu minimieren, kann ein Token mit dem verwendeten Gerät verknüpft werden. Meldet sich ein Benutzer an, erhält er ein Token, dass mit seinem Gerät verknüpft ist. Stiehlt ein Angreifer das Token und verwendet es auf einem fremden Gerät, wird die Anmeldung fehlschlagen.

Für ausführlichere Informationen zum Thema Token, lesen Sie unseren Ratgeberartikel Tokendiebstahl und Tokenschutz.

Vor- und Nachteile von SSO

  • Ein Benutzer hat weniger Passwörter, die er sich merken muss. Die Wahrscheinlichkeit für simple oder mehrfach verwendete Passwörter sinkt.
  • Es gibt weniger Aufwand für die Passwortpflege und Problembehebung bei gesperrten Konten.

  • Ist der Identitätsanbieter offline, kann man sich bei keinem der hinterlegten Webseiten und Diensten mehr damit anmelden.
  • Gelingt es einem Angreifer ein SSO-Konto zu übernehmen, z.B, indem er die Anmeldedaten stiehlt, hat er Zugang zu allen anderen Konten des Benutzers, die beim Identitätsanbieter verknüpft sind.
  • Der Identitätsanbieter erhält Informationen zu all den vom Benutzer genutzten Webseiten und Diensten, dies ist aus Datenschutzgründen nicht immer erwünscht.

SLO – Single-Log-Out

Single-Log-Out Ist die Eigenschaft, dass eine einzige Abmeldeaktion den Zugang zu mehreren Webseiten oder Diensten beendet. Es ist die Umkehraktion zu Single-Sign-On.

Nach oben