Sie erwägen eine Umstellung auf Single Sign-on (SSO)? Das sollten Sie beachten.

Was ist Single Sign-on?

Single Sign-on (SSO) ist ein Verfahren zur Benutzerauthentifizierung, das per Einmalanmeldung den Zugriff auf mehrere Anwendungen oder Systeme ermöglicht. Das bedeutet, dass für den Zugang zu anderen damit verbundenen Systemen kein erneuter Login erforderlich ist. Single Sign-on (SSO) basiert auf einem zentralen Authentifizierungsserver, dem alle beteiligten Anwendungen und Dienste vertrauen. Bei jedem Zugriffsversuch wird eine entsprechende Authentifizierung angefordert. Solange der Benutzer am zentralen Server angemeldet ist und über die passenden Berechtigungen für die gewünschten Anwendungen oder Dienste verfügt, wird der Zugang automatisch gewährt, sodass kein zusätzlicher Login notwendig ist.

SSO erleichtert Benutzern den digitalen Zugang zu verschiedenen Systemen, die sie in ihrem Arbeitsalltag nutzen. Büroangestellte greifen jeden Tag durchschnittlich auf 10 bis 30 unterschiedliche Anwendungen zurück, darunter E-Mail-Programme, Collaboration-Plattformen wie Slack, Projektmanagement-Software, Produktivitätssuiten wie Microsoft Office oder Google Workspace, Bestandsverzeichnisse, CRM-Plattformen (Customer Relations Management), das unternehmenseigene Intranet und spezifische Software für die jeweiligen Aufgaben. Ganz im Sinne des Multitasking müssen sie so mehrmals pro Stunde zwischen Programmen und Plattformen hin- und herwechseln. Ohne SSO ist für alle Systeme und Anwendungen eine separate Anmeldung erforderlich, was wertvolle Zeit kostet.

Die Eingabe von Benutzernamen und Passwörtern zählt zu den klassischen Login-Methoden. Da sich die Anzahl von netzwerk- und cloudbasierten Anwendungen mittlerweile jedoch um einiges vervielfacht hat, jonglieren viele Menschen täglich mit Dutzenden von Passwörtern, was zur sogenannten „Passwortmüdigkeit“ führt. In modernen Büroumgebungen steht Mitarbeitern aber auch eine Vielzahl von anderen Authentifizierungsmöglichkeiten zur Verfügung, z. B. ein Mitarbeiterausweis für den Gebäudezugang, ein physisches Token für den Zugriff aufs Netzwerk sowie mobile Credentials für analoge und digitale Zugangsanwendungen. SSO trägt dazu bei, dass die Verwaltung von Berechtigungsnachweisen nicht überhandnimmt.

Die Lösung erleichtern den Benutzern nicht nur den Arbeitsalltag, sondern erhöht auch die allgemeine Netzwerksicherheit im Unternehmen. Aber wie funktioniert das?

• Bessere Einhaltung von Vorschriften durch die Benutzer: Passwortmüdigkeit führt oft zu mangelhaften Sicherheitspraktiken, z. B. zur Wiederverwendung desselben Passworts für verschiedene Anwendungen oder zur Nutzung einfacher, leicht zu erratender Passwörter. Die Verwaltung mehrerer mobiler Apps, physischer Tokens und ID-Karten erhöht zudem das Risiko für den Verlust oder Diebstahl von Zugangsinformationen.
• Geringere Angriffsfläche für Cyberattacken: Weniger Anmeldeseiten und Login-Schnittstellen bedeuten weniger Möglichkeiten für Angreifer, um Zugangsinformationen abzufangen oder Schwachstellen in verschiedenen Authentifizierungssystemen auszunutzen. Die Benutzer sind gleichzeitig besser gegen Phishing-Angriffe gewappnet, da sie ihre Anmeldedaten nur einmal auf einer bekannten und vertrauenswürdigen Oberfläche eingeben müssen. 
• Zentralisierte Authentifizierungskontrolle: SSO bietet eine zentrale Kontrollstelle für die Authentifizierung und ermöglicht so eine bessere Überwachung, Prüfung und Verwaltung des Benutzerzugriffs sowie der Authentifizierungsverfahren.
• Leichtere Rechteverwaltung: Wenn ein Mitarbeiter ein Unternehmen verlässt oder intern die Position wechselt, können seine Zugriffsrechte schnell und effektiv aktualisiert oder aufgehoben werden. SSO erleichtert diesen Vorgang, da die Zugriffsrechte für mehrere Anwendungen nicht mehr einzeln angepasst werden müssen.
• Bessere Sicherheitsüberwachung: SSO-Lösungen umfassen häufig Tools zur Überwachung von Benutzersitzungen und -verhalten. So lassen sich ungewöhnliche Muster erkennen, die auf einen Sicherheitsverstoß hindeuten könnten.
• Regelmäßige Sicherheitsupdates: SSO-Anbieter halten in der Regel hohe Sicherheitsstandards ein und aktualisieren ihre Systeme regelmäßig, um neuen Bedrohungen direkt entgegenzuwirken. Davon profitieren auch alle verbundenen Anwendungen.

Maximale SSO-Sicherheit mit moderner Benutzerauthentifizierung

Obwohl ein SSO-System die Sicherheit in vielerlei Hinsicht verbessert, hat es dennoch eine Achillesferse: Wenn es kompromittiert wird, kann der Zugang zu allen vernetzten Anwendungen gefährdet sein. Ein SSO-System muss unter Einhaltung modernster Netzwerksicherheitsstandards auf einer Plattform eines seriösen Anbieters eingerichtet werden, der die entsprechenden Sicherheitsprotokolle befolgt. Die Anmeldeinformationen der Benutzer sind die größte Schwachstelle in einem ansonsten gut konzipierten SSO-System. Aus diesem Grund beginnt die SSO-Sicherheit mit der Auswahl der geeigneten Technologie zur Benutzerauthentifizierung.

Viele Unternehmen setzen in ihrem SSO-System nach wie vor auf Benutzernamen und Passwörter als Master-Logindaten. Passwörter sind jedoch von Natur aus anfällig  für Hacker-, Phishing- und Social-Engineering-Attacken sowie Brute-Force-Angriffe und andere cyberkriminelle Strategien. Sobald das Passwort kompromittiert ist, haben Angreifer Zugang zu allen damit verbundenen Systemen, Dateien und Daten.

Eine sichere Benutzerauthentifizierung über RFID-Karten/Token oder mobile Credentials stellen die bessere Wahl für SSO dar. Anstatt sich jeden Morgen mit einem Benutzernamen und einem Passwort im Netzwerk anzumelden, halten die Mitarbeiter einfach ihre ID-Karte, ihr Token oder ihr Smartphone vor den Sensor, um den Zugang zu allen Systemen und Dateien freizuschalten, die sie im Laufe des Arbeitstags nutzen. SSO lässt sich direkt auf den Karten, Token oder Geräten einrichten, die die Mitarbeiter für den Gebäudezutritt und andere physische Zugangskontrollanwendungen nutzen. So entsteht ein einheitliches Zugangssystem , das sowohl für die Mitarbeiter als auch für die IT-Abteilung einfacher zu verwalten ist.

RIFD und mobile Anmeldesysteme mit Bluetooth® Low Energy (BLE) oder Near-Field Communication (NFC) bieten zahlreiche Sicherheitsvorteile in einem SSO-System.

• Die Zugangsinformationen der Nutzer werden auf ihren Karten oder Geräten gespeichert und in verschlüsselter Form an das RFID-Lesegerät übertragen, wodurch sie weniger anfällig für Hackerangriffe, Datendiebstahl oder Klonen sind.
• Da die Benutzer ihre Karten, Sicherheits-Token oder Smartphones für die Systemanmeldung aktiv vorhalten müssen, verringert sich das Risiko, dass sich jemand mit gestohlenen Zugangsinformationen ins System hackt.
• Im Vergleich zu Passwörtern ist es deutlich unwahrscheinlicher, dass Mitarbeiter ihre Karten, Token oder Smartphones mit einem Teammitglied teilen und so eine zusätzliche Schwachstelle erzeugen. Gleichzeitig würden sie auch den Verlust oder Diebstahl ihrer Karten und Handys sofort bemerken.
• Die Mitarbeiter können durch Phishing- oder Social-Engineering-Angriffe nicht zur Weitergabe ihrer Zugangsinformationen verleitet werden, da sie diese selbst nicht kennen.
• Die Zugangsdaten werden nicht eingetippt und sind so besser vor Keylogger-Angriffen und „Shoulder Surfing“ geschützt.

Für eine Multi-Faktor-Authentifizierungslösung (MFA) können RFID-Karten oder mobile Credentials auch zusammen mit anderen Formen der Authentifizierung verwendet werden. In Verbindung mit Smartphone-Authentifizierungstechnologie müssen die Benutzer die Anmeldeanwendung beispielsweise mit biometrischen Daten (z. B. Fingerabdruck oder Gesichtserkennung), einem Passwort oder einer PIN direkt auf dem Smartphone entsperren. Dadurch wird selbst bei Verlust oder Diebstahl verhindert, dass unbefugte Personen über das Gerät auf das Netzwerk zugreifen. RFID-Karten können mit einem Passwortsystem kombiniert werden, um die Sicherheit der Anmeldelösung zu erhöhen. Da sich die Benutzer für den Zugang zu all ihren Systemen nur einmal einloggen müssen, bedeutet die Verwaltung eines einzigen Passworts und einer RFID-Karte keinen großen Aufwand.

RFID und mobile Authentifizierung erleichtern den Benutzern die sichere Netzwerk- und Anwendungsanmeldung und gewährleisten die Einhaltung moderner bewährter Sicherheitsverfahren und -standards. Dies ist besonders wichtig für Unternehmen, die strengen Cybersicherheitsanforderungen unterliegen, wie z. B. der N1S2-Richtlinie in Europa.

Die RFID-Lesegeräte von ELATEC bieten alle erforderlichen Funktionen für ein sicheres SSO mit RFID oder mobilen Credentials. Auf Basis der Power LogOn MFA-Software lässt sich Secure Log-On von ELATEC reibungslos in Active Directory, LDAP, Thin Clients und VPN-Verbindungen integrieren, um Benutzerberechtigungen gemäß den jeweiligen Zugangsinformationen zuzuweisen.

Eine sichere Benutzerauthentifizierung über RFID oder mobile Credentials stärkt das schwächste Glied in einem SSO-System: die Benutzeranmeldung. Durch die Kombination von SSO mit modernen Authentifizierungstechnologien können Unternehmen ein Höchstmaß an Netzwerksicherheit und Benutzerfreundlichkeit gewährleisten.