Die Flut von Funktionen, Netzwerken und Anwendungen, die unsere zunehmend vernetzte Welt im Allgemeinen und das Internet im Speziellen hervorbringt, beschert uns einen beständig wachsenden Berg an Accounts. Der Zugang zu jedem dieser Accounts ist mit einem Passwort gesichert. Da kann es schon ganz leicht mal passieren, dass man eines dieser Passwörter vergisst.

Der Umstand, sich überhaupt mehr als ein Passwort merken zu müssen, gehört seit einer breiteren Durchsetzung von Technologien wie Single Sign On (SSO) der Vergangenheit an. Diese Entwicklung markiert einen Generationenwechsel, sowohl technologisch als auch gesellschaftlich. Noch ist dieser Wechsel nicht in alle Bereiche vorgedrungen. Da die damit einhergehenden Vorteile in Organisation und Zeitmanagement jedoch enorm sind, gilt es für Unternehmen, nicht den Anschluss zu verlieren und die Nutzung neuer Technologien sowohl hinsichtlich der Risiken als auch der Chancen, auf die Agenda zu setzen.

Als Teil einer neuen Generation erwarte ich ein einfaches Login auf beliebigen Websites. Ich will mich nicht mit lästigen Passwörtern herumschlagen, welche immer höheren Sicherheitsanforderungen genügen müssen und damit immer länger, komplexer und schwieriger zu merken sind. Für nahezu jeden benutzerbezogenen Onlinedienst ist heute ein eigenes Passwort notwendig, dort muss es eine einfachere Lösung geben.

Single Sign-On mit 2FA

Single Sign-On – Wie sicher ist das eigentlich?

Abhilfe schaffen Passwortmanager und SSO-Dienste. Ein Passwort schaltet dabei den Zugriff auf viele weitere Passwörter bzw. Tokens frei, um sich bei entsprechenden Diensten anzumelden. Im Falle des SSO-Dienstes muss der Nutzer sich nicht einmal ein neues Passwort ausdenken, was die Angriffsfläche deutlich reduziert.

Zusätzliche Sicherheit kann dabei durch einen zweiten Faktor (2FA) hinzugefügt werden, beispielsweise durch QR-Codes, die sich mit dem Smartphone scannen lassen. Auch eine Bindung an Hardware ist möglich, sei es das Smartphone oder ein spezielles Hardware-Security-Token. Es wird dann lediglich eine Bestätigung auf dem Gerät durch den Nutzer benötigt, um ein Login zu gewährleisten.

Insbesondere bei der Hardware hat sich seit einigen Jahren für die neue Generation einiges verändert. Smartphones und Laptops haben vielerorts Festnetztelefone und stationäre Computer abgelöst und sind immer dabei. Ein eigenes Gerät wird dabei von immer mehr Unternehmen vorausgesetzt, ganz nach dem Motto “bring-your-own-device”. Dadurch vermischt sich die Geschäftsdomäne mit den privaten Passwörtern, beides gilt es jedoch aus Sicherheitsgründen explizit voneinander zu trennen.

Mit SSO-Diensten ist dies durch eine dedizierte Rechteverwaltung durch das Unternehmen möglich. Zusätzlich wird dadurch die Weitergabe von Passwörtern im Falle eines Geräteverlustes minimiert, die Accounts können zentral verwaltet und ggfs. gesperrt werden. Ebenfalls denkbar und auch im Enterprise Umfeld bereits angekommen ist die Secret Rotation, bei der Tokens und Passwörter in regelmäßigen Abständen automatisch ausgetauscht werden. Im Falle einer Veröffentlichung eines Passworts ist dies so nach kurzer Zeit wieder ungültig. Weitere Zusatzfunktionen des SSO-Dienstes wie das Verschleiern der Email Adresse können dem Nutzer zusätzliche Anonymität garantieren – er behält die Hoheit über die bereitgestellten Daten.

Mit Single Sign-On zur digitalen Identität

Doch wie kann der Wandel hin zu einem bequemeren und sicherem Nutzen von Diensten und Anwendungen erfolgen und welchen Nutzen gibt es konkret im Alltag? Diese Frage stellen nicht nur wir uns, sondern beispielsweise auch die EU-Kommission. Mit der digitalen Bürgeridentität will diese eine EU-weit gültige Möglichkeit schaffen sich auszuweisen und eine Art digitale Brieftasche für den Bürger kreieren. So ist es denkbar ganz einfach digital ein Auto zu registrieren, Bahntickets zu kaufen und zu bezahlen, ein Bankkonto zu eröffnen oder die Steuererklärung zu signieren. Adressänderungen müssen bei einem Umzug so nur noch an einer zentralen Stelle eingetragen werden, alle Unternehmen und Behörden werden automatisch über die Änderungen informiert. Gleichzeitig kann ich als Bürger sehen, wer Zugriff auf meine persönlichen Daten hat und dies ggfs. einschränken oder erweitern, ganz nach meinen persönlichen Bedürfnissen.

Single Sign-On für digitale Identität

Im Kleinen kann dies auch auf Unternehmensebene geschehen. Neben einem Email-Account hat ein Mitarbeitender häufig Zugriff auf Drittsysteme, die Login-Daten erfordern. Durch Single Sign-On kann hier ein schnelles und Effizientes On- und Offboarding von neuen Mitarbeitenden erfolgen, indem dem Mitarbeitenden Rollen zugeordnet werden. Sind weitere Berechtigungen nötig, beispielsweise durch einen Abteilungswechsel, können weitere Dienste durch Provisioning hinzugefügt werden. Für den Mitarbeitenden selbst ist es so auch einfach und effizient möglich, neue Dienste anzufragen.

Doch warum ist dies nicht längst Standard in vielen Bereichen des alltäglichen Lebens?

Macht man einen Generationswechsel entlang neuartiger Technologien aus, ist dieser häufig mit Skepsis gegenüber neuen Technologien und Angst vor Kontrollverlust verbunden. Bereits in dem man Passwörter einem Passwortmanager anvertraut, übergibt man ein Stück Kontrolle an einen digitalen Vermittler. Solche Passwörter schützen in der Regel nur den Zugang zu digitalen, meist inoffiziellen Aspekten unseres Lebens, unserer Identität. 

Unsere Identität als Bürger:in eines Staates jedoch ist in fast all ihren Facetten noch analog. Sicherlich ist Vorsicht geboten, wenn es um die Digitalisierung dieser Identität geht. Die Skepsis insbesondere älterer Menschen ist ungleich höher, die Furcht, zu gläsernen Bürger:innen zu werden weit verbreitet.

Die Vorteile allerdings sind nicht von der Hand zu weisen. So wie ein Passwortmanager den Verwaltungsaufwand für die Zugangssicherung von Online Accounts erheblich reduziert, entlastet eine digitale Bürgeridentität sowohl staatliche Behörden als auch die Bürger:innen selbst. Auf staatlicher Seite fallen immense Kosten weg, die für den Betrieb des Verwaltungsapparates aufgewendet werden müssen, insbesondere wenn digitale Identität mit einer Automatisierung von Verwaltungsprozessen einhergeht. Für Bürger:innen gehören lange Wartezeiten bei Behördengängen sowie beständig wachsende Stapel von Ausweisdokumenten der Vergangenheit an.

Sorgen beim Rundum-Sorglos-Paket

Der Skepsis gegenüber Technologien, die dieses Rundum-Sorglos-Paket für den Umgang einer Gesellschaft mit Verwaltungsprozessen möglich machen, steht die tatsächliche Sensibilität der Daten und das hohe Potenzial für Missbrauch gegenüber.* Das bedeutet, dass eine Umsetzung nur unter Berücksichtigung hoher Sicherheitsstandards möglich ist. Neue Authentifizierungsverfahren oder die dezentrale Speicherung personenbezogener Daten sind hier als mögliche Unterstützer zu nennen.

Denkt man digitale Identität noch weiter, gelangt man zum Metaverse, einer neueren Entwicklung in der digitalen Welt und den Diskussionen, die darüber geführt werden. Hier verschmelzen digitale und analoge Identität, entsprechend erscheinen die Möglichkeiten nahezu grenzenlos.

Es ist Zeit für einen digitalen Wandel, insbesondere in Sachen Sicherheit und Datenschutz. Es ist Zeit für sicheres, einfaches Login, mehr Selbstbestimmung über die eigenen Daten. Es ist Zeit für eine eigene digitale Identität und Single Sign-On.

Patrick Huber, Head of Cloud Components bei esentri AG

Patrick Huber
Lead Cloud Components

„Ein einfaches Login ist für die jüngere Generation ein ausschlaggebender Faktor für die Nutzung eines Online-Services. Die Möglichkeit des Single Sign-Ons schafft für den Nutzer eine bequemes Erlebnis und senkt das Frustrationslevel beim Einrichten eines Kontos.“