Wer sich regelmäßig auf verschiedenen Webseiten oder in digitalen Systemen anmelden muss, kennt das Problem: unzählige Benutzernamen und Passwörter, die man sich merken und speichern muss. Genau hier setzt das Prinzip des Single Sign-On (SSO) an. Single Sign–On ist eine bequeme und zugleich sicherheitsrelevante Methode zur Authentifizierung im digitalen Raum. Was genau sich hinter dem Begriff verbirgt, erfahren Sie in diesem Glossar.
Was ist Single Sign-On?
Der Begriff Single Sign-On (SSO) bezeichnet ein Authentifizierungsverfahren, bei dem sich Nutzende nur einmal mit ihren Zugangsdaten anmelden müssen, um auf mehrere voneinander unabhängige Anwendungen oder Dienste zugreifen zu können. Nach der einmaligen Anmeldung (dem sogenannten „Login“) werden die Authentifizierungsinformationen automatisch für weitere Zugriffe auf verbundene Systeme weitergegeben, ohne dass eine erneute Eingabe von Benutzernamen und Passwort erforderlich ist.
SSO kommt vor allem in größeren Unternehmensnetzwerken, Cloud-Diensten oder Plattform-Ökosystemen zum Einsatz – etwa bei Google, Microsoft 365 oder in vielen Hochschul- und Firmennetzwerken. Ziel ist es, die Benutzerfreundlichkeit zu erhöhen, das Sicherheitsrisiko durch Passwortwiederverwendung zu verringern und den Verwaltungsaufwand für IT-Abteilungen zu reduzieren.
Wie funktioniert Single Sign-On
Single Sign-On (SSO) funktioniert nach dem Prinzip, dass sich ein Nutzender nur einmal authentifizieren muss, um anschließend auf mehrere Anwendungen oder Dienste zugreifen zu können. So muss man sich nicht jedes Mal erneut anmelden. Technisch gesehen wird dabei ein zentraler Authentifizierungsdienst eingesetzt – häufig bezeichnet als Identity Provider (IdP) –, der die Benutzeranmeldung entgegennimmt und anschließend gegenüber den angebundenen Systemen bestätigt, dass die betreffende Person erfolgreich identifiziert wurde.
Sobald sich der Nutzende beim Identity Provider eingeloggt hat, stellt dieser einen sogenanntes Authentifizierungs-Token aus. Dieser enthält die nötigen Informationen über die Identität der Person und wird sicher an andere Dienste (die sogenannten Service Provider) weitergegeben. Diese vertrauen dem Identity Provider und akzeptieren den Token als gültigen Nachweis für die Anmeldung. Der Zugriff auf die verschiedenen Systeme erfolgt somit nahtlos, da keine erneute Passworteingabe erforderlich ist.
Die Kommunikation zwischen Identity Provider und Service Provider basiert auf standardisierten Protokollen wie SAML (Security Assertion Markup Language), OAuth 2.0 oder OpenID Connect. Diese sorgen dafür, dass der Austausch der Identitätsinformationen sicher, verschlüsselt und nachvollziehbar abläuft. Häufig wird SSO auch durch zusätzliche Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung ergänzt, um die Gefahr eines Missbrauchs weiter zu minimieren.
Im Hintergrund werden Sitzungen verwaltet und regelmäßig überprüft, sodass ein einmal ausgestellter Token nur für einen begrenzten Zeitraum gültig ist. Verlässt man alle verbundenen Anwendungen, kann über ein sogenanntes Single Logout (SLO) sichergestellt werden, dass man tatsächlich überall gleichzeitig abgemeldet wird.
Zusammengefasst sorgt SSO also dafür, dass die Authentifizierung zentralisiert, sicher und nutzerfreundlich erfolgt – bei gleichzeitiger Reduzierung des administrativen Aufwands und der Risiken durch Passwortmüdigkeit.
Was sind typische Einsatzgebiete von Single Sign-On (SSO)
Unternehmen und Organisationen
Mitarbeitende nutzen täglich diverse Tools wie E-Mail, Kalender, CRM oder Projektmanagement-Plattformen. SSO ermöglicht einen einzigen Login für all diese Dienste und erleichtert so das Arbeiten wie auch die IT-Administration. Häufige Lösungen sind Microsoft Entra ID, Google Workspace oder Okta.
Hochschulen und Bildungseinrichtungen
Cloud-Dienste und SaaS-Anwendungen
SSO ist Standard bei vielen Cloud-Diensten, da es Sicherheit und Nutzerkomfort vereint. Besonders bei der Nutzung mehrerer Software as a Service-Angebote ist ein zentrales Login-System hilfreich. Beispiele: Google Workspace, Dropbox Business, Adobe Creative Cloud, Atlassian-Produkte.
E-Government und Verwaltung
Behörden nutzen SSO für interne Mitarbeitende und zunehmend auch für Bürgerzugänge. Ein zentrales Nutzerkonto bietet Zugang zu vielfältigen staatlichen Online-Diensten. Beispiele: BundID (Deutschland), Steuerportale, digitale Anträge, interne Verwaltungszugänge.
Gesundheitswesen
Medizinisches Personal benötigt schnellen, sicheren Zugriff auf verschiedene Systeme wie Patientenakten oder Labordaten. SSO spart Zeit und sorgt für eine bessere Zugriffskontrolle. Beispiele: Krankenhausinformationssysteme (KIS), Arztinformationssysteme (AIS), digitale Patientenportale.
E-Commerce und Kundenportale
Viele Onlineshops und Plattformen bieten Login über Drittanbieter wie Google oder Apple an. Das senkt die Hürde für Neuanmeldungen und erhöht die Nutzerbindung. Beispiele: Zalando, Booking.com, Versicherungs- und Energieportale mit Login via Google/Facebook/Apple.
Mobile Ökosysteme
Im Alltag nutzen viele Menschen SSO über ihre mobilen Geräte. Ein einziger Login gewährt Zugriff auf Cloud-Dienste, App-Stores, E-Mails und mehr. Beispiele: Apple-ID (iCloud, App Store, iMessage), Google-Konto (Gmail, YouTube, Google Drive).
Was sind Missbrauch und Sicherheitsrisiken bei Single Sign-On?
Obwohl Single Sign-On den Komfort und die Verwaltung digitaler Identitäten erheblich vereinfacht, birgt es auch potenzielle Risiken – insbesondere, weil es den Zugang zu mehreren Diensten über ein einziges Konto ermöglicht. Wird dieses kompromittiert, hat das möglicherweise weitreichende Folgen.
Single Sign-On kommt vor allem in größeren Unternehmensnetzwerken, Cloud-Diensten oder Plattform-Ökosystemen zum Einsatz – etwa bei Google, Microsoft 365 oder in vielen Hochschul- und Firmennetzwerken. Ziel ist es, die Benutzerfreundlichkeit zu erhöhen, das Sicherheitsrisiko durch Passwortwiederverwendung zu verringern und den Verwaltungsaufwand für IT-Abteilungen zu reduzieren.
Single Point of Failure
Der zentrale Login-Mechanismus ist gleichzeitig eine zentrale Schwachstelle: Wird das SSO-Konto eines Nutzers gehackt, können Angreifende auf alle verknüpften Dienste zugreifen – von E-Mail über interne Firmendaten bis hin zu sensiblen Kundendaten. Ein erfolgreicher Angriff kann somit großen Schaden anrichten.
Schwache Passwörter und fehlende 2FA
Wenn Nutzende kein starkes Passwort wählen oder keine Zwei-Faktor-Authentifizierung (2FA) aktiviert ist, kann ein Angreifender mit vergleichsweise wenig Aufwand Zugang zum SSO-Account erhalten. Ein kompromittiertes Passwort reicht dann oft für den Zugriff auf ein ganzes Systemnetzwerk.
Phishing-Angriffe
SSO ist besonders anfällig für Phishing: Cyberkriminelle versuchen gezielt, SSO-Login-Seiten nachzubauen, um Zugangsdaten abzugreifen. Da die Anmeldung oft wie gewohnt aussieht und weitreichende Rechte mit sich bringt, sind Nutzende hier besonders gefährdet.
Token-Diebstahl
SSO-Systeme verwenden oft Authentifizierungs-Token (z. B. OAuth-Tokens), um Nutzende über Dienste hinweg zu identifizieren. Wenn ein solcher Token abgefangen oder gestohlen wird – etwa über ein kompromittiertes Endgerät oder unsichere Verbindungen – kann er genutzt werden, um sich ohne erneute Anmeldung Zugang zu verschaffen.
Fehlkonfigurationen
Fehler bei der Implementierung – z. B. zu weitreichende Berechtigungen oder ungesicherte Rückruf-URLs – können es Angreifenden erleichtern, sich Zugriff zu verschaffen oder Sicherheitsmechanismen zu umgehen. Besonders bei der Integration von Drittanbietern ist große Sorgfalt nötig.
Abhängigkeit vom Anbieter
Setzt ein Unternehmen auf ein externes SSO-System (z. B. von Google, Microsoft oder Okta), hängt es stark von dessen Verfügbarkeit und Sicherheit ab. Kommt es zu Ausfällen, können ganze Arbeitsprozesse zum Erliegen kommen. Auch Datenlecks oder Sicherheitslücken beim Anbieter wirken sich direkt auf alle Nutzenden aus.
Datenschutz und Datenweitergabe
Bei SSO über Drittanbieter (z. B. Login mit Facebook oder Google) werden personenbezogene Daten an diese Dienste übermittelt. Welche Informationen das genau sind, ist für Nutzende oft intransparent – was datenschutzrechtlich problematisch sein kann.
Herausforderungen bei der IT-Sicherheit?
Wir unterstützen Ihr Unternehmen mit fachlicher Expertise und ganzheitlichen Sicherheitsstrategien – von der Cloud bis zum Endanwender.
Wie sichere ich ein SSO-System richtig ab?
Starke Authentifizierungsmethoden verwenden
Ein sicheres Passwort allein reicht oft nicht aus. Daher sollte eine Zwei-Faktor-Authentifizierung (2FA) oder idealerweise Multi-Faktor-Authentifizierung (MFA) verpflichtend für alle Nutzenden sein – egal ob intern oder extern. Kombiniert werden können Passwörter mit biometrischen Verfahren, Einmal-Codes (z. B. per App oder SMS) oder physischen Sicherheitstoken.
Rechte und Rollen konsequent verwalten
Jeder Nutzende sollte nur auf die Systeme und Informationen zugreifen dürfen, die er für seine Tätigkeit wirklich benötigt (Prinzip der minimalen Berechtigung). Administratoren sollten über spezielle Konten verfügen, deren Nutzung genau protokolliert wird. Auch zeitlich begrenzte Rollen („Just-in-Time“-Zugriffe) sind sinnvoll.
Zugriff regelmäßig überwachen und protokollieren
Ein effektives Monitoring ist entscheidend: Alle Login-Vorgänge und Zugriffe sollten zentral erfasst, analysiert und auf Unregelmäßigkeiten geprüft werden. Besonders auffällige Muster (z. B. nächtliche Logins, Anmeldungen aus ungewöhnlichen Regionen) sollten automatisch Warnmeldungen auslösen.
SSO-Anbieter sorgfältig auswählen und regelmäßig prüfen
Wer auf externe SSO-Dienste (wie Azure AD, Okta oder Google Workspace) setzt, sollte auf etablierte Anbieter mit hoher Sicherheitskompetenz zurückgreifen. Wichtig ist zudem ein regelmäßiges Sicherheits-Audit der Integration und der verwendeten Schnittstellen (APIs, Redirect-URIs etc.).
SSO-Sitzungen absichern und beschränken
Legitime Sitzungen sollten regelmäßig ablaufen (Session Timeouts) und bei Inaktivität automatisch beendet werden. Zusätzlich sollten IP-basierte Zugriffskontrollen oder Geofencing genutzt werden, um unerwartete Logins zu blockieren. Auch eine Beschränkung auf bestimmte Geräte oder Netzwerke erhöht die Sicherheit.
Offboarding-Prozesse klar regeln
Wenn Mitarbeitende das Unternehmen verlassen, muss der Zugriff über das SSO-System sofort deaktiviert werden. Automatisierte Offboarding-Workflows verhindern, dass verwaiste Konten offen bleiben. Dasselbe gilt bei Rollenwechseln oder längeren Abwesenheiten.
Schulung & Sensibilisierung der Mitarbeitenden
Technik allein schützt nicht: Nutzende müssen verstehen, wie wichtig sichere Anmeldeverfahren sind. Regelmäßige Schulungen zu Phishing, Passwortsicherheit und 2FA helfen, menschliche Fehler zu minimieren und Sicherheitskultur zu fördern.
Datenschutz beachten
Gerade bei Drittanbieter-SSO-Lösungen müssen Datenschutzaspekte berücksichtigt werden. Es sollte klar geregelt sein, welche personenbezogenen Daten übertragen und gespeichert werden. Ein vollständiger Überblick über die Datenflüsse sowie transparente Einwilligungen sind notwendig – vor allem bei SSO mit Google, Facebook oder Apple in Endkundensystemen.
Backup-Login bereitstellen
Falls das SSO-System nicht verfügbar ist (z. B. durch einen Ausfall beim Anbieter), sollte es einen Fallback-Mechanismus geben: z. B. Notfallkonten mit lokaler Anmeldung oder ein temporärer Direktlogin, der gesondert gesichert ist. So bleibt der Zugriff auf kritische Systeme auch im Ernstfall möglich.
Was ist der Unterschied zwischen Single Sign-On und Same Sign-On?
Single Sign-On (SSO) und Same Sign-On klingen ähnlich, unterscheiden sich jedoch deutlich in ihrer Funktionsweise. Beim Single Sign-On meldet sich ein Benutzer nur einmal an und erhält danach automatisch Zugriff auf mehrere Systeme, ohne sich erneut authentifizieren zu müssen. Dies erhöht den Komfort und reduziert die Anzahl der notwendigen Logins.
Im Gegensatz dazu erfordert das Same Sign-On zwar ebenfalls überall dieselben Zugangsdaten, jedoch muss sich der Benutzer bei jeder Anwendung erneut manuell anmelden. Während Single Sign-On eine zentrale Authentifizierung ermöglicht, basiert Same Sign-On lediglich auf identischen Anmeldedaten in verschiedenen Systemen ohne zentrale Steuerung.
Welche Arten von Single Sign-On gibt es?
Web SSO
Beim Web Single Sign-On authentifiziert sich der Benutzende einmalig im Browser. Danach kann er auf mehrere Webanwendungen zugreifen, ohne sich erneut anmelden zu müssen. Dies funktioniert über standardisierte Protokolle wie SAML, OAuth 2.0 oder OpenID Connect, die zwischen dem Benutzer, dem Identity Provider und den Anwendungen vermitteln. Web SSO ist besonders bei SaaS-Diensten wie Google Workspace, Microsoft 365 oder Salesforce verbreitet.
Enterprise SSO (Kerberos-basiert)
Enterprise SSO wird häufig in klassischen Unternehmensnetzwerken eingesetzt. Der Benutzer meldet sich einmal am Betriebssystem (z. B. Windows) an. Das Kerberos-Protokoll sorgt dann dafür, dass Zugangstickets für andere interne Dienste automatisch ausgestellt werden. So erhält der Benutzer beispielsweise Zugriff auf den Fileserver, das Intranet oder Outlook, ohne weitere Anmeldungen. Die Basis ist meist ein zentrales Active Directory.
Federated SSO (föderiertes SSO)
Föderiertes SSO erlaubt es dem Benutzer, sich mit seinem bestehenden Unternehmenskonto bei externen Systemen oder Anwendungen anzumelden. Dies geschieht über ein Vertrauensverhältnis zwischen Identitätsanbietern (Identity Provider) und Dienstanbietern (Service Provider). Gängige Protokolle sind SAML und OpenID Connect. Ein Beispiel ist, wenn sich ein Partner über seine eigene Unternehmensidentität in einem Kundenportal anmeldet.
Social SSO
Social SSO ermöglicht dem Benutzer die Anmeldung bei Anwendungen über soziale Netzwerke wie Google, Facebook, Apple oder LinkedIn. Statt ein neues Benutzerkonto zu erstellen, verwendet er seine bestehenden Zugangsdaten. Dies erleichtert die Registrierung und erhöht die Benutzerfreundlichkeit, insbesondere bei öffentlichen Websites oder mobilen Apps. Technisch basiert Social SSO meist auf OAuth 2.0 oder OpenID Connect.
Cloud SSO / IDaaS (Identity as a Service)
Cloud SSO wird über cloudbasierte Identitätsdienste wie Entra ID, Okta, Ping Identity oder Google Identity bereitgestellt. Diese Plattformen ermöglichen dem Benutzer SSO für Cloud-Anwendungen sowie für lokale Systeme über hybride Verbindungen. Zusätzlich bieten sie Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung, Zugriffsrichtlinien und Berechtigungsmanagement. Cloud SSO eignet sich besonders für moderne, verteilte IT-Umgebungen.
Vor- und Nachteile von Single Sign-On
| Vorteile | Nachteile |
|---|---|
| Einmal einloggen genügt – das spart Zeit und reduziert Frustration | Fällt der SSO-Dienst aus, ist kein Zugriff auf angebundene Anwendungen möglich |
| Weniger Logins bedeuten weniger Angriffsflächen und fördern den Einsatz starker Passwörter | Ein zweites Authentifizierungsmedium muss immer zugänglich sein |
| IT kann Zugriffe und Rechte effizient an einer Stelle steuern | Bei Störungen oder Kündigung des SSO-Anbieters kann der Zugriff eingeschränkt sein |
| Nutzende gelangen ohne wiederholte Logins sofort zu allen benötigten Tools | Veraltete Berechtigungen können zu unnötigem oder riskantem Zugriff führen |
| Durch weniger Login-Unterbrechungen können Mitarbeitende konzentrierter arbeiten | |
| Die zentrale Authentifizierung erleichtert das Einhalten von Datenschutzrichtlinien |
Zusammenfassung
Single Sign-On ermöglicht es, sich mit nur einem Login bei mehreren Diensten gleichzeitig anzumelden – komfortabel und zeitsparend. Es steigert die Sicherheit, reduziert administrative Kosten und verbessert die Nutzererfahrung.
Gleichzeitig bringt SSO auch neue Herausforderungen mit sich: Komplexität in der Umsetzung, erhöhte Anforderungen an Datenschutz und die Gefahr, dass ein einzelnes kompromittiertes Konto weitreichende Folgen hat. Mit sorgfältiger Konfiguration, zusätzlicher Absicherung durch 2FA und Aufklärung der Nutzenden bleibt SSO dennoch eine der wirkungsvollsten Methoden für moderne Authentifizierungsprozesse.
Häufig gestellte Fragen zu Single Sign-On
Ist Single Sign-On sicher?
Sofern es mit zusätzlichen Maßnahmen wie Zwei-Faktor-Authentifizierung, sicheren Protokollen und Monitoring kombiniert wird, ist SSO sicher.
Kann ich Single Sign-On auch privat nutzen?
Viele Online-Dienste wie Google oder Apple bieten SSO-Funktionen an, z. B. „Mit Google anmelden“. Auch Passwortmanager unterstützen SSO-ähnliche Funktionen.
Brauche ich Single Sign-On in meinem Unternehmen?
Single Sign-On ist eine große Erleichterung – besonders wenn viele digitale Systeme genutzt werden. SSO steigert Effizienz und Sicherheit, insbesondere in Kombination mit 2FA.
Was ist der Unterschied zwischen Single Sign-On und 2FA?
SSO ermöglicht den Zugriff auf mehrere Systeme mit einem Login. 2FA ist eine zusätzliche Sicherheitsebene beim Login, z. B. durch einen Code per App oder SMS.
