Gemäß Studien des Di­gi­tal­ver­bands Bitkom sind 75 Prozent aller deutschen Un­ter­neh­men auf sozialen Medien aktiv, 44 Prozent nutzen die Vorteile von Cloud-Diensten, zudem sind mobile Endgeräte wie Smart­phones und Tablets längst fest im Ar­beits­all­tag in­te­griert. Das bedeutet vor allem: eine ganze Menge Pass­wör­ter, die man sich merken muss – zu­sätz­lich zu denen, die man ohnehin schon für seine privaten E-Mail- und Social-Media-Accounts im Kopf hat.

Kein Wunder also, dass der gemeine In­ter­net­nut­zer an einem ernsten Fall chro­ni­scher „Pass­wort­mü­dig­keit“ (password fatigue) leidet – ein Syndrom, das sich dadurch äußert, dass der Be­trof­fe­ne auf simple Zah­len­fol­gen wie „12345“ zu­rück­greift oder wichtige Kenn­wör­ter auf Post-it-Zetteln an seinen Com­pu­ter­mo­ni­tor notiert. Die Spät­fol­gen: nicht nur ein Mangel an Pro­duk­ti­vi­tät, sondern auch an Da­ten­si­cher­heit. Die Medizin: Single-Sign-On, kurz SSO. Doch was bedeutet der Begriff genau und wie sicher ist das populäre Au­then­ti­fi­zie­rungs­ver­fah­ren wirklich?

Was ist Single-Sign-On?

Single-Sign-On, auch mit „Ein­mal­an­mel­dung“ übersetzt, be­zeich­net in der IT ein Au­then­ti­fi­zie­rungs­ver­fah­ren, das im Grunde immer gleich abläuft:

  1. Ein Benutzer meldet sich einmalig an seinem Ar­beits­platz an.
  2. Er erhält dadurch Zugriff auf alle Rechner und Dienste (inklusive der Cloud), für die er lokal au­to­ri­siert ist, solange er sich am selben Ar­beits­platz aufhält.
  3. Sobald sich der Benutzer von seinem Ar­beits­platz abmeldet, entfallen alle Zu­griffs­rech­te. Dies passiert entweder nach einem vorher fest­ge­leg­ten Zeitraum oder wenn der Benutzer manuell ein Single-Sign-Out bzw. -Off ausführt.

SSO ist also ein Zu­gangs­ver­fah­ren für multiple mit­ein­an­der as­so­zi­ier­te, aber von­ein­an­der un­ab­hän­gi­ge An­wen­dun­gen, bei dem sich der Nutzer nur einmal anmelden muss, anstatt seine Zu­gangs­da­ten bei jeder Software einzeln ein­zu­ge­ben. Aufgrund ihrer Nut­zer­freund­lich­keit kommen Single-Sign-On-Verfahren sowohl im privaten (Web­an­wen­dun­gen und private Clouds) als auch im pro­fes­sio­nel­len Bereich (un­ter­neh­mens­in­tern genutzte Ap­pli­ka­tio­nen und Portale im Intranet) zum Einsatz.

Wie funk­tio­niert Single-Sign-On?

Will sich ein In­ter­net­nut­zer während einer Sitzung bei mehreren Diensten und An­wen­dun­gen einloggen, muss er im Regelfall für jeden davon separat seine Zu­gangs­da­ten eingeben. Hat er sich statt­des­sen bei einem Single-Sign-On-Dienst re­gis­triert, übernimmt diese Aufgabe eine vor­ge­la­ger­te Software. Diese verfügt über sämtliche Zu­gangs­da­ten des Nutzers und ve­ri­fi­ziert ihn ohne sein Zutun voll­au­to­ma­tisch gegenüber allen anderen Diensten. Dabei wird eine einzelne, über­grei­fen­de Identität des Nutzers (ähnlich einem VIP-Ausweis) verwendet, die allen be­tei­lig­ten An­wen­dun­gen bekannt ist und dank der Re­pu­ta­ti­on des SSO-Dienstes als ver­trau­ens­wür­dig angesehen wird.

Damit solch ein Single-Sign-On-Verfahren rei­bungs­los funk­tio­niert, kommen ver­schie­de­ne Au­then­ti­fi­zie­rungs- und Au­to­ri­sie­rungs­sys­te­me zum Einsatz:

OpenID

OpenID ist ein offener Au­then­ti­fi­zie­rungs­stan­dard, der für über eine Milliarde Accounts verwendet wird, etwa bei Google, WordPress und PayPal. Die neueste Version des Systems nennt sich OpenID Connect (OIDC) und stellt eine Kom­bi­na­ti­on aus OpenID und OAuth2 dar. Wird es bei einem Single-Sign-On-Verfahren verwendet, benötigt der Nutzer einen OpenID-Account, den er bei einem so­ge­nann­ten OpenID-Identity-Provider (z. B. Google) erhält. Mit diesem Account (bzw. der da­zu­ge­hö­ri­gen URL) meldet sich der Nutzer bei allen Webseiten an, die OpenID ebenfalls un­ter­stüt­zen. Im Zuge dessen überträgt der ver­trau­ens­wür­di­ge Identity-Provider einen „Token“ als Beweis für die Identität des Nutzers an die jeweilige Webseite.

Man kann sich SSO via OpenID im über­tra­ge­nen Sinn wie eine Reise vor­stel­len, bei der man eine Grenze übertritt: Der Reisende (der Nutzer) verwendet dazu einen Reisepass von einer Regierung (dem Identity-Provider), dem das Zielland (die Webseite) vertraut. Der Reisepass ve­ri­fi­ziert hierbei die Identität des Reisenden. Ein gutes Beispiel hierfür ist der „Mit Facebook anmelden“-Button, der sich auf vielen Webseiten finden lässt.

Bild: Button „Mit Facebook anmelden“ auf der Homepage von Instagram
Der Button „Mit Facebook anmelden“ findet sich auf vielen Webseiten und er­leich­tert es, sich für ver­schie­de­ne Dienste zu re­gis­trie­ren und an­zu­mel­den.

OAuth2

Anders als OpenID ist OAuth2 eher ein Au­to­ri­sie­rungs- als ein Au­then­ti­fi­zie­rungs­stan­dard. Der haupt­säch­li­che Un­ter­schied: Anstatt sich selbst bei einer Webseite zu au­then­ti­fi­zie­ren, delegiert der Nutzer einen so­ge­nann­ten Client, der sich mit einem Token vom Identity-Provider bei der Webseite anmeldet. Der Vorteil dabei ist, dass der Nutzer seine Daten nicht an die jeweilige Webseite über­tra­gen muss.

Die geeignete Metapher hierfür ist das „House­sit­ting“: Übergibt man als Haus­be­sit­zer (als Nutzer) seinen Haus­schlüs­sel an einen Freund (den Client), ist dieser dazu au­to­ri­siert, das Haus (die Webseite) zu betreten. OAuth2 kommt z. B. dann zum Einsatz, wenn man Freunde aus seinem Facebook-Account in einen anderen Dienst im­por­tie­ren möchte, ohne seine Facebook-In­for­ma­tio­nen an diesen Dienst wei­ter­zu­ge­ben.

Fakt

Die IT-Begriffe „Au­then­ti­fi­zie­rung“ und „Au­to­ri­sie­rung“ werden aufgrund ihrer geringen Un­ter­schie­de oft ver­wech­selt oder fälsch­li­cher­wei­se synonym gebraucht. Au­then­ti­fi­zie­rung findet dann statt, wenn ein Dienst einen Nutzer anhand seiner Zu­gangs­da­ten iden­ti­fi­ziert. Bei einer Au­to­ri­sie­rung wiederum erteilt der Nutzer einem Dienst die Be­rech­ti­gung, bestimmte Daten und Funk­tio­nen seines Profils zu nutzen.

SAML

SAML ist das älteste der drei genannten Systeme und dient als offener Standard sowohl für die Au­then­ti­fi­zie­rung als auch die Au­to­ri­sie­rung in einem SSO-Verfahren. Auch hierbei un­ter­schei­det man vor allem drei Parteien: den Nutzer (genannt: principal), die Webseite (genannt: service provider) und den Identity-Provider, der die Ve­ri­fi­zie­rung durch­führt. Der Ablauf ähnelt dabei sehr dem von OpenID, weshalb die da­zu­ge­hö­ri­ge Reisepass-Metapher auch hier anwendbar ist.

Jedoch stellt die Webseite bei SAML in jedem Fall selbst eine aktive Iden­ti­fi­zie­rungs­an­fra­ge, die in Form einer XML-Nachricht an den Identity-Provider geschickt wird und Angaben zu den be­nö­tig­ten In­for­ma­tio­nen macht. Der Identity-Provider antwortet daraufhin mit einer so­ge­nann­ten assertion, die die an­ge­for­der­ten Au­then­ti­fi­zie­rungs- und Au­to­ri­sie­rungs­in­for­ma­tio­nen sowie spe­zi­fi­sche Attribute wie E-Mail-Adressen und Te­le­fon­num­mern des Nutzers enthält. SAML lässt sich somit auch mit der Aus­stel­lung von per­so­nen­be­zo­ge­nen Re­gie­rungs­do­ku­men­ten auf Anfrage des Ziel­lan­des um­schrei­ben.

Lö­sungs­an­sät­ze für Single-Sign-On

In der IT-Praxis un­ter­schei­det man vor allem zwischen drei Lö­sungs­an­sät­zen für die Rea­li­sie­rung von SSO-Verfahren:

Por­tal­lö­sung

Wie der Name schon sagt, meldet sich der Nutzer bei dieser SSO-Lösung bei einem Portal an – also einem System, in dem ver­schie­de­ne An­wen­dun­gen, Prozesse und Dienste in­te­griert sind. Dieses versieht den Nutzer nach seiner er­folg­rei­chen Au­then­ti­fi­zie­rung mit einem pau­scha­len Iden­ti­fi­zie­rungs­merk­mal (etwa einem Cookie), mit dem er Zugriff auf alle ins Portal ein­ge­bun­de­nen Funk­tio­nen erhält. Ein gutes Beispiel hierfür liefert der Google-Account: Einmal re­gis­triert und ein­ge­loggt, hat man auch so­for­ti­gen Zugang zu anderen Diensten des IT-Konzerns, etwa den Play Store oder Google Mail.

Ticketing-System

Auch beim Ticketing steckt die Bedeutung schon im Namen: Im Mit­tel­punkt dieser SSO-Lösung steht ein Netzwerk aus mit­ein­an­der bekannten Diensten. Meldet sich der Nutzer bei einem dieser Dienste an, wird ihm ein vir­tu­el­les Ticket zur Iden­ti­fi­ka­ti­on gegenüber allen anderen Teil­neh­mern aus diesem „Kreis der Ver­trau­ten“ zugeteilt. Beispiele hierfür sind der Au­then­ti­fi­zie­rungs­dienst Kerberos sowie das so­ge­nann­te Liberty Alliance Project.

Lokale Lösung

Bei einer lokalen Single-Sign-On-Lösung wird in der Regel ein so­ge­nann­ter SSO-Client auf dem re­gel­mä­ßig genutzten Ar­beits­platz in­stal­liert. Dieser ist so kon­fi­gu­riert, dass er die Zu­gangs­da­ten zu allen be­nö­tig­ten An­wen­dun­gen und Diensten bei­spiels­wei­se aus einer ver­schlüs­sel­ten lokalen Datei auf der Fest­plat­te, einem Server im lokalen Netzwerk oder einer Datenbank bezieht und au­to­ma­tisch in die gerade geöffnete An­mel­dungs­mas­ke einträgt. Die Pass­wort­diens­te von Browsern wie Safari oder Chrome sind solche SSO-Clients. Als besonders sichere Methode gilt außerdem die Ver­wen­dung eines phy­si­schen „Tokens“ als Träger für die Zu­gangs­in­for­ma­tio­nen. Dafür kann etwa ein USB-Stick oder eine Chipkarte dienen.

Bild: Schaubild Single-Sign-On-Lösungen
Anstatt sich bei jeder Anwendung und jedem Dienst separat anmelden zu müssen, übernimmt ein SSO-System diese Aufgabe nach einer ein­ma­li­gen Au­then­ti­fi­zie­rung.

Welche Vor- und Nachteile hat Single-Sign-On?

Mithilfe von SSO kann man auf mehrere Dienste und An­wen­dun­gen zugreifen, ohne sich für alle einzeln anmelden zu müssen.

Vorteile von SSO

Das bedeutet für Anwender vor allem, dass sie sich nicht mehr Dutzende von Pass­wör­tern merken müssen. So wird man sogar gänzlich von der Ver­ant­wort­lich­keit für die Passwort-Ver­wal­tung befreit, weshalb Single-Sign-On-Verfahren auch als Al­ter­na­ti­ve zu Passwort-Managern gelten. Aufgrund dieses Komforts und der damit ver­bun­de­nen Zeit­er­spar­nis finden sie im privaten sowie im pro­fes­sio­nel­len Rahmen schnell die Akzeptanz der Nutzer.

Un­ter­neh­men, die SSO im Betrieb einführen, erhoffen sich vor allem mehr Pro­duk­ti­vi­tät von ihren Mit­ar­bei­tern und weniger Helpdesk-Anfragen wegen ver­ges­se­ner Pass­wör­ter. Die IT hat somit weniger Workload zu ver­zeich­nen und kostet auch weniger. Gleich­zei­tig wird es den IT-Spe­zia­lis­ten er­leich­tert, neuen Mit­ar­bei­tern Accounts zu­zu­wei­sen oder die Zugänge ehe­ma­li­ger An­ge­stell­ter zu löschen.

Ent­spre­chen­den Verfahren werden außerdem große Vorzüge für die un­ter­neh­mens­in­ter­ne Da­ten­si­cher­heit nach­ge­sagt. Denn wenn sich die Mit­ar­bei­ter nur ein Passwort merken müssen, kann dieses deutlich komplexer ausfallen. Somit werden typische Fehler bei der Pass­wort­wahl ver­hin­dert, die häufig der Grund für er­folg­rei­che Hacking-Attacken sind. Da die Zu­gangs­da­ten zudem nur an einer einzigen Schnitt­stel­le ein­ge­ge­ben werden müssen, ver­rin­gert dies die An­griffs­flä­che für Phishing und Man-in-the-Browser-Attacken. Unter diesen Umständen kann es sich das Un­ter­neh­men leisten, sämtliche Si­cher­heits­be­mü­hun­gen – z. B. SSL-Zer­ti­fi­zie­run­gen – auf einen einzelnen Punkt zu kon­zen­trie­ren.

Nachteile von SSO

Dem­ge­gen­über stehen ein gewisser Im­ple­men­tie­rungs­auf­wand sowie die in­hä­ren­ten Schwächen von Single-Sign-On: Grund­sätz­lich können nur die­je­ni­gen Dienste verwendet werden, die auch vom je­wei­li­gen SSO-System un­ter­stützt werden. Versagt das SSO-System seinen Dienst, fällt auch der Zugriff auf die damit ver­bun­de­nen An­wen­dun­gen weg. Das ist z. B. der Fall, wenn auch Social-Media-Accounts ein­ge­bun­den sind, die in Bü­che­rei­en und Bil­dungs­in­sti­tu­tio­nen, aus Pro­duk­ti­ons­grün­den an be­stimm­ten Ar­beits­plät­zen oder in Ländern mit aktiver Zensur (z. B. der Volks­re­pu­blik China) vom Netzwerk blockiert werden.

Auch die an­ge­prie­se­ne Si­cher­heit von Single-Sign-On ist mit Vorsicht zu genießen: Verlässt ein Benutzer seinen Ar­beits­platz, kann ein Dritter die Zeit­span­ne bis zum au­to­ma­ti­schen Single-Sign-Out theo­re­tisch dazu ausnutzen, bereits gewährte Zugriffe wei­ter­zu­ver­wen­den. Pro­ble­ma­tisch ist es auch, wenn das „Master-Passwort“ für die SSO-Schnitt­stel­le in fremde Hände fällt – dadurch hat der Angreifer so­for­ti­gen Zugriff auf alle as­so­zi­ier­ten Dienste. Und dass auch die besten SSO-Verfahren trotz ihres guten Rufs nicht vor Phishing gefeit sind, wurde bereits bewiesen.

Kopf­zer­bre­chen bereitet manchen auch die in­zwi­schen gültige DSGVO, in der die An­for­de­run­gen des Schutzes per­so­nen­be­zo­ge­ner Daten seit dem 25. Mai 2018 eu­ro­pa­weit geregelt sind. In jedem Fall ist es notwendig, von den Nutzern eine explizite Ein­wil­li­gungs­er­klä­rung ein­zu­ho­len, um Single-Sign-On rechts­kon­form im­ple­men­tie­ren und umsetzen zu können. Die ju­ris­ti­sche Lage war hierbei schon mit dem Te­le­me­di­en­ge­setz (TMG) sowie dem alten Bun­des­da­ten­schutz­ge­setz (BDSG-alt) pro­ble­ma­tisch. Einer der größten Streit­punk­te bleibt deshalb vorerst die mas­sen­haf­te Da­ten­samm­lung durch In­ter­net­kon­zer­ne wie Google und Facebook, wodurch Daten-Leaks zu einer re­gel­rech­ten Ka­ta­stro­phe für die Pri­vat­sphä­re sowie fir­men­in­ter­ne Daten werden können.

An­ge­sichts dieser of­fen­sicht­li­chen Risiken ist es notwendig, ein be­son­de­res Augenmerk auf die Si­cher­heit der ser­ver­sei­tig ge­spei­cher­ten Daten zu legen. Sichere Single-Sign-On-Verfahren sollten also im Bestfall mit wirksamen Mitteln zur Zwei-Faktor-Au­then­ti­fi­zie­rung zu­sätz­lich verstärkt werden – dazu zählen etwa Smart Cards oder Tokens, die TANs ge­ne­rie­ren können.

Fall­bei­spie­le: Facebook vs. Verimi

Vor- und Nachteile von Single-Sign-On können anhand von Facebook ver­an­schau­licht werden. Die Social-Media-Plattform er­mög­licht es einem Nutzer, sich mithilfe seines Facebook-Kontos auch auf anderen Webseiten zu re­gis­trie­ren und an­zu­mel­den. Dafür ist ein so­ge­nann­tes Social Plug-in in Form eines „Mit Facebook anmelden“-Buttons auf der je­wei­li­gen Re­gis­trie­rungs- bzw. An­mel­de­sei­te in­te­griert. Für den Nutzer ist das bequem, es hat aber auch den Nachteil, dass sich umso mehr per­so­nen­be­zo­ge­ne Daten bei Facebook sammeln, je mehr Dienste und An­wen­dun­gen auf diese Weise mit dem Facebook-Konto verknüpft werden. Ein einzelner er­folg­rei­cher Cy­ber­an­griff reicht dann aus, um Zugriff auf sämtliche Daten zu erhalten.

Facebook nimmt sich außerdem heraus, auch solche Daten an die be­tei­lig­ten Dienste wei­ter­zu­ge­ben, die ei­gent­lich exklusiv für die Social-Media-Plattform bestimmt waren. Dazu gehören sowohl öf­fent­li­che Daten wie der Name und das Pro­fil­bild, aber auch nicht­öf­fent­li­che wie das Alter, der Wohnort oder der Be­zie­hungs­sta­tus einer Person. Zwar ver­mit­telt Facebook wei­test­ge­hend trans­pa­rent, welche Daten wei­ter­ge­lei­tet werden – um bestimmte Dienste zu verwenden, bleibt den Nutzern aber oftmals keine andere Wahl, als der Über­tra­gung zu­zu­stim­men. Umgekehrt erhält Facebook Daten von den jeweils ver­knüpf­ten Diensten. Mit diesen kann die Plattform seine Nut­zer­pro­fi­le weiter ergänzen und somit noch ziel­ge­rich­te­ter per­so­na­li­sier­te Werbung schalten.

Diese Er­kennt­nis­se über Facebook sind im gewissen Umfang auch auf andere Online-Dienst­an­bie­ter – etwa Google oder Amazon – über­trag­bar. Die Pro­ble­ma­tik hat dazu geführt, dass sich mehrere deutsche Un­ter­neh­men (darunter Allianz, Deutsche Bank, die Telekom und Axel Springer) zu­sam­men­ge­tan und im April 2018 ein Kon­kur­renz­pro­dukt für den eu­ro­päi­schen Markt her­aus­ge­bracht haben: Verimi. Der neue SSO-Identity-Provider soll ein höheres Maß an Da­ten­schutz und Trans­pa­renz bieten und damit lang­fris­tig auch fürs Banken- und Ver­wal­tungs­we­sen ein­ge­setzt werden. Grundlage hierfür ist die Da­ten­schutz­grund­ver­ord­nung sowie die ver­schlüs­sel­te Spei­che­rung per­so­nen­be­zo­ge­ner Daten in aus­schließ­lich eu­ro­päi­schen Re­chen­zen­tren. Inwieweit sich das Projekt durch­set­zen wird, hängt aber davon ab, von wie vielen Partnern es in Zukunft in Webseiten und Apps ein­ge­bun­den wird.

Fazit: SSO – ja oder nein?

Re­cher­chiert man über Single-Sign-On im Internet, findet man relativ wenig Negatives über das bequeme Multi-Au­then­ti­fi­zie­rungs­ver­fah­ren. Statt­des­sen wird es seit Jahren als re­gel­rech­te Of­fen­ba­rung für den digitalen Ar­beits­platz gehandelt, was Komfort und Da­ten­si­cher­heit anbelangt. So lobt der US-ame­ri­ka­ni­sche Cloud-Access-Security-Broker (CASB) Bitglass zwar die weltweit intensive Ver­wen­dung von Cloud-Diensten in Un­ter­neh­men, bemängelt aber gleich­zei­tig die ver­gleichs­wei­se geringe Nutzung von Single-Sign-On-Verfahren. Seiner Ansicht nach ist es durch die Nutzung un­ab­sicht­lich mit­ein­an­der kon­kur­rie­ren­der Zu­gangs­lö­sun­gen zu Diensten und An­wen­dun­gen nicht möglich, das Potenzial der Di­gi­ta­li­sie­rung voll aus­zu­nut­zen.

Aber auch die auffällig glänzende Medaille hat be­kannt­lich zwei Seiten. So hat sich der beliebte Identity-Provider Facebook mit dem Cambridge-Analytica-Datenleck unlängst einen zwei­fel­haf­ten Ruf ver­schafft. Im April 2018 zeigte dann auch das haus­ei­ge­ne „Mit Facebook anmelden“-Verfahren Schwächen gegenüber Phishing und Man-in-the-Browser-Attacken, was das größte Risiko von SSO aufs Neue hervorhob: Eine An­mel­de­schnitt­stel­le heißt auch, dass nur ein einzelner er­folg­rei­cher Cy­ber­an­griff vonnöten ist, um be­trächt­li­chen Schaden anrichten zu können. Forscher von der Princeton-Uni­ver­si­tät fordern die Betreiber der Social-Media-Plattform deshalb dazu auf, ihre Nutzer stärker über die Risiken von Single-Sign-On zu in­for­mie­ren.

Zum Hauptmenü