Bei der Wahl einer sicheren IT-Zugangslösung müssen sich IT-Verantwortliche zwischen Single Sign-on und Passwortmanager entscheiden. Ein neues Verfahren bietet die Vorzüge beider Welten – ohne deren Nachteile.
Für die Sicherheit ihrer Benutzerdaten haben Unternehmen die Wahl: Single Sign-on (SSO) oder Passwort-Manager – beide Lösungen haben spezifische Vor- und Nachteile.
(Bild: THAWEERAT - stock.adobe.com)
Zwischen dem Arbeitsplatzrechner und dem Zugriff auf die betrieblichen IT-Ressourcen und -Prozesse steht ein Authentisierungsvorgang. So wird sichergestellt, dass jeder Mitarbeiter auf die Daten und Vorgänge zugreifen kann, die er für seine Arbeit benötigt – und nur auf diese. Eine individuelle, auf jedes Arbeitsplatzprofil exakt zugeschnittene Zugangsberechtigung ist daher nicht nur ein wesentliches Element der IT-gestützten Produktivität, sondern auch des Datenschutzes und der IT-Sicherheit.
Dabei reicht in den heute gängigen komplexen und heterogenen IT-Landschaften ein einziger Login-Vorgang auf einem einzigen Zentralrechner nicht mehr aus. Forscher haben ermittelt, dass sich Anwender heute am Tag bei durchschnittlich 35 Rechnern, Servern, Websites oder internetbasierten Diensten einloggen – bei idealer Befolgung der IT-Security-Richtlinien natürlich jedes Mal mit einem anderen Passwort. Dafür sind im Schnitt 17 Sekunden zu veranschlagen. Im Monat summiert sich das auf gut drei Arbeitsstunden. Nicht eingerechnet sind da die laut Berechnung der Forscher (pdf) gut 11 Prozent der Login-Versuche, die abgewiesen werden – etwa wegen Tippfehlern oder falsch erinnerter Passwörter. On Top kommt noch die schlechte User Experience, denn 75 Prozent der Anwender hassen es, komplexe Passwörter eingeben zu müssen.
Um diesem täglichen Hürdenlauf ein Ende zu bereiten und dabei gleichzeitig die Zugangssicherheit zu verbessern, sind im Wesentlichen zwei Kategorien von Anwendungen im Gebrauch: Single Sign-on (SSO) und Passwort-Manager. Beide haben spezifische Vorzüge und Nachteile.
SSO: Einer für alles – mit Schattenseiten
Beim SSO genügt die einmalige Eingabe von User Identifikation und Passwort, um Zugang zu verschiedenen IT-Diensten und Anwendungen zu erhalten. Die Anmeldung wird über ein Protokoll zur Steuerung des Anmeldeprozesses sowie über eine Authentisierungsschicht wie OpenID Connect realisiert. Dabei wird das Passwort nicht weitergegeben; vielmehr erfolgt die Authentisierung über einen Token. Auch ein Verfahren auf Basis des Standards Security Assertion Markup Language (SAML) ist in Gebrauch. Dieses Verfahren stützt sich zur Autorisierung auf einen verschlüsselten Session-Cookie.
Um SSO nutzen zu können, muss jede Anwendung an das Verfahren angebunden sein. Das gilt auch für Internet-Portale, Mailsysteme und Cloud-basierte Anwendungen. Zwar verfügen die großen Unternehmenslösungen in aller Regel über die entsprechenden Einrichtungen, doch ist nicht jede Software per se dazu in der Lage – sie muss mit entsprechenden Schnittstellen ausgestattet sein.
In der Praxis wird die SSO-Funktionalität heute häufig über externe Dienste wie Microsoft Azure Active Directory bereitgestellt. Damit zeichnet sich bereits ein Nachteil ab: Die Kosten dafür hängen von der Anzahl der Anwender und der Anzahl der Anwendungen ab. Gerade Power-Arbeitsplätze, die mit zahlreichen externen Portalen oder Webdiensten interagieren, verursachen hohe Gebühren für den SSO-Service. Der anhaltende Trend, private Geräte in geschäftlichen IT-Umgebungen zu nutzen – Stichwort „Bring Your Own Device“ (BYOD) – bringt zusätzliche Komplexität in das Verfahren. Behörden- und Einkaufsportale sowie die zunehmend für betriebliche Belange bedeutsamen Sozialen Netze sind in aller Regel einem SSO überhaupt nicht zugänglich.
Als Alternative gehen manche Anwender den Weg, sich über ihr Google- oder Facebook-Account zu authentisieren. Aus der Sicht des Security-Beauftragten (und auch unter Datenschutz-Gesichtspunkten) wird diese Schatten-IT kritisch gesehen, zumal sie zentral kaum zu kontrollieren ist. Fazit: Single-Sign-on funktioniert dort gut, wo man die gesamte Softwarelandschaft eines Betriebs unter Kontrolle hat. Die Praxis zeigt jedoch, dass sich das nicht immer realisieren lässt.
Passwort-Manager: Nicht ohne komplexe Zeichenfolge
Die zweite Möglichkeit, dem ständigen Passwort-Hickhack zu entgehen, besteht in der Nutzung eines Passwort-Managers. Dieser speichert die Passwörter sämtlicher Dienste und Websites an zentraler Stelle in einer Datenbank, Vault genannt. Dieser kann je nach Anbieter lokal oder in der Cloud liegen.
Der Vorteil des Passwort-Managers hinsichtlich der User Experience ähnelt demjenigen des SSO: Der Mitarbeiter an seinem Arbeitsplatz gibt morgens sein Masterpasswort ein und hat dann den ganzen Arbeitstag über keinen Stress mehr mit Passwörtern, so das Versprechen dieses Ansatzes. Im Gegensatz zum SSO wird hier nicht jede einzelne Software und Website in ein System eingebunden, stattdessen erfolgt das Authentisierungsritual über eine Browser-Erweiterung. Bei dieser Technik ist die Wahl eines sicheren Masterpassworts besonders wichtig, denn mit ihm wird der Vault verschlüsselt. Die Sicherheit dieser Datenbank steht und fällt mit der Komplexität des Masterpassworts. Damit aber steht der User vor dem Dilemma: Wählt er ein leicht zu merkendes Passwort, das dann aber meist nicht sonderlich sicher ist? Oder doch lieber eines, das sicher ist, das er sich aber nicht so leicht merken kann - und das in der betrieblichen Realität eben doch häufig wieder auf einen Zettel unter dem Keyboard oder ein Post-It am Bildschirm notiert wird? Um die Sicherheit zu erhöhen, können Passwortmanager um eine Zwei-Faktor-Authentisierung erweitert werden, also beispielsweise durch eine PIN, die dem User über einen anderen Kanal zugesandt wird.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Weil sämtliche Passwörter in einer zentralen Datenbank abgelegt sind, wird letztere immer wieder zum Ziel von Cyberattacken. Schlagzeilen machte unlängst der Angriff auf den Passwortmanager-Dienstleister LastPass: Cyberkriminellen gelang es, zahlreiche Kunden-Vaults zu kopieren. Damit können diese nun in aller Ruhe daran gehen, die Passwort-Datenbanken mittels Brute-Force-Attacke zu entschlüsseln und die gewonnenen Identitätsdaten für ihre finsteren Zwecke zu nutzen. Die Chance, dass ihnen das gelingt, hängt von der Komplexität des Master-Passworts ab. Hier gilt die Regel: Passwörter, die sich ein User ausgedacht hat, um sie sich leichter merken zu können, sind leichter zu knacken als solche, die per Zufallsgenerator erzeugt wurden.
Das Beste aus zwei Welten: Authentisierung per Smartphone
Einen anderen Weg geht das Startup-Unternehmen Heylogin mit seinem Ansatz, der maximale Sicherheit mit einer positiven User Experience vereint. Technisch betrachtet handelt es sich dabei um einen Passwort-Manager, doch stützt sich das Unternehmen mit seinem Verfahren zur Login-Absicherung auf ein Werkzeug, das heute ohnehin jeder Mitarbeiter und jede Mitarbeiterin besitzt: Das Smartphone. Moderne Geräte sind mit einem Sicherheitschip bestückt, auf dem sich beispielsweise Bezahlmechanismen hinterlegen lassen; auch die Benutzerauthentisierung der Handys läuft über diesen Chip. Das Heylogin-Verfahren nutzt ihn, um einen Sicherheitsschlüssel zu generieren, der dann für das Login verwendet wird. Dieser Schlüssel wird per Zufallsgenerator erzeugt, was schon einmal einen Sicherheitsvorteil gegenüber einem User-generierten Passwort bietet. Zudem ist dieses „Geheimnis“ mit 256 bit so lang, dass er jedem Brute-Force-Angriff standhält. Mit einem modernen symmetrischen Verschlüsselungsalgorithmus geschützt, ist dieser Schlüssel nicht einmal mit einem Quantencomputer zu knacken. Mit dem Verfahren braucht sich der User keine komplexen Masterpasswörter zu merken – und die IT-Abteilung muss dennoch nicht um die Zugangssicherheit bangen.
Der Anwender an seinem Bildschirm-Arbeitsplatz muss sich nur noch maximal den Zugangscode zu seinem Handy merken, und oft nicht einmal das. Denn viele Mobiltelefone sind heute durch biometrische Zugangsverfahren geschützt. Der einzige denkbare Weg für einen Hackerangriff führt über die physische Wegnahme des Handys mit anschließendem Knacken des Zugangsverfahrens – doch physische Attacken lassen sich bekanntlich nicht skalieren und sind für Cyberkriminelle daher uninteressant. Aus der Sicht der betrieblichen IT-Verantwortlichen bietet das Verfahren noch einen weiteren Vorteil: Es lässt sich in das SSO-System Microsoft Azure Active Directory integrieren und skaliert damit genauso gut wie verbreitete SSOs.
Über den Autor: Dr. Dominik Schürmann hat in IT-Sicherheit promoviert und während seiner Zeit an der TU Braunschweig über 15 wissenschaftliche Publikationen veröffentlicht. Neben der Forschung entwickelte er Apps für E-Mail-Verschlüsselung und betreute 3 Jahre in Folge den Google Summer of Code. Nun ist er CEO der Heylogin GmbH und hat zusammen mit seinem Co-Founder Vincent Breitmoser und einem 9 köpfigen Team den ersten Passwort-Manager auf den Markt gebracht, der ganz ohne Master-Passwort auskommt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/a4/02a403ecfc01b1c479f5f8f8cbcf8ce5/0129088931v2.jpeg "Nur 15 bis 25 Prozent der Unternehmen haben NIS-2 umgesetzt, mangelnde Transparenz über IT-Landschaften und fehlende kontinuierliche Überwachung blockieren Compliance. (Bild: © Muhammad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9f/37/9f37a7ba0ed59cd0d4c6a8b10f395437/0125737967v1.jpeg "Zentrale Passwortverwaltung, rollenbasierte Zugriffsrechte, sichere Teilungsoptionen und eine flexible Integration in die IT-Infrastruktur zeichnen ein professionelles Passwortmanagement aus. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/93/c2/93c2a1998fd1fdd704701ba7056673a8/0128454446v2.jpeg "Das BSI fand bei seinem Passwortmanager-Test erhebliche Sicherheitsunterschiede. Doch der Einsatz von Passwortmanagern bleibt insgesamt klar empfehlenswert. (©wutzkoh - stock.adobe.com)")