Single Sign-on: Tipps beim Einsatz der Login-Technologie

it-sicherheit 45
Fachbeitrag

Viele Unternehmen möchten ihre Authentifizierungsmethode durch die Implementierung einer „Single Sign-on“-Technologie verbessern, um den Nutzern die mehrmalige Anmeldeprozedur zu ersparen. Aber auch in dem World Wide Web versuchen Plattformen ihre Dienste lukrativ zu gestalten, indem die lästige Registrierung / Anmeldung durch z.B. einen Facebook- oder Google-Login ersetzt wird. Was datenschutzrechtlich bei Einsatz dieser Technologie zu beachten ist, wird in dem folgenden Artikel erläutert.

Was ist Single Sign-on?

Bei der Authentifizierung mittels „Single Sign-on“ (SSO) kann der Nutzer mehrere Dienste nutzen, ohne sich jedes Mal erneut anmelden bzw. registrieren zu müssen. Damit soll erreicht werden, dass sich ein Nutzer nicht mehrmals mit unterschiedlichen Login-Daten bei unterschiedlichen Diensten identifizieren muss.

SSO innerhalb eines internen Systems

Ein SSO-System kann zunächst innerhalb eines internen Systems (z.B. innerhalb eines Unternehmens) eingesetzt werden.

Beispiel:
Ein Mitarbeiter meldet sich an seinem Arbeitsrechner an. Will er z.B. auf die Personaldatenbank und das CRM-System zugreifen, müsste er sich zusätzlich noch zwei weitere Male authentisieren, wenn diese Zugriffe passwortgeschützt sind.

Beim Einsatz von Single Sign-on ist dies jedoch nicht notwendig. Jedes Mal, wenn der Mitarbeiter eine passwortgeschützte Anwendung aufruft, führt die SSO-Lösung die Anmeldung automatisch durch, sofern der Mitarbeiter für die Nutzung autorisiert ist. Der Mitarbeiter muss sich nicht nochmal aktiv anmelden. Bei dem Betriebssystem Windows kann dies mittels Active Directory erfolgen.

SSO innerhalb von Webseiten

SSO kann aber auch im World Wide Web eingesetzt werden. Ein Portalbetreiber kann neben den herkömmlichen Registrier- und Anmeldemasken auch einen Button integrieren, der das Einloggen über einen bereits bestehenden Account eines anderen Dienstleister ermöglicht. Diese Funktionalität soll den Nutzern die erneute Registrier- und Anmeldeprozedur mit neuen Login-Daten ersparen.

Beispiel:
Ein prominentes Beispiel ist Facebook-Login. Bietet ein Webportal die Anmeldung über den Facebook-Login an, öffnet sich ein Popup-Fenster von Facebook, in dem der Nutzer seine Facebook-Login-Daten eintragen kann. Facebook setzt daraufhin ein Cookie in dem Browser des Nutzers, so dass er bei Facbook eingeloggt ist und sich nun auch bei Fremddiensten anmelden kann.

Vorteile von Single Sign-on

Durch die Implementierung einer Single Sign-on-Lösung muss sich der Nutzer nur ein Master-Passwort merken. Es entfällt die mehrmalige Passwortgenerierung, das lästige Passwortmerken und die ständige Passwortänderung. Dadurch sinkt auch das Risiko, dass sich Nutzer die Passwörter aufschreiben, immer das gleiche Passwort nutzen oder auch Trivialpasswörter wählen. Das Ausspähen des Passworts wird geringer, da diese nicht mehr so häufig eingegeben werden müssen. Bei der Nutzung von SSO über Social Media ist der größte Vorteil darin zu sehen, dass sich der Nutzer nicht nochmal registrieren muss, so dass das lästige Eintippen von Daten, Festlegen eines neuen Passwortes und Bestätigung der Registrierung wegfällt.

Nachteile von Single Sign-on

Den Vorteilen stehen aber auch Nachteile gegenüber. Egal welche SSO-Lösung implementiert ist, so besteht die Gefahr, dass ein unberechtigter Dritter auf mehrere Dienste und Daten zugreifen kann, wenn er an das Master-Passwort gelangt. Das kann mit dem Verlust eines Schlüssels zu einem Firmengebäude verglichen werden, mit dessen Hilfe ein Finder alle Räume betreten kann, die nicht mit einem anderen Schlüssel abgeschlossen sind. Zudem besteht auch die erhöhte Gefahr, dass ein Dritter das Passwort erspähen kann, weil dieses oft eingegeben wird (z.B. bei Einsatz eines Bildschirmschoners). Außerdem könnte die Verfügbarkeit der Dienste tangiert sein, wenn ein SSO-System ausfällt.

Bei der Single Sign-on-Lösung im World Wide Web (z.B. über Social Media) besteht auch die Gefahr, umfangreiche Informationen und Daten an die Webseiten-Betreiber übermittelt und eventuell miteinander verknüpft werden können, die über die Authentifizierung hinausgehen.

Zwar bleibt oft das Passwort geheim und ist nur dem Single Sign-on-Anbieter bekannt, dennoch besteht die Gefahr, dass die SSO-Beteiligten weitere Informationen untereinander austauschen. Bei Facebook heißt es z.B. in den Nutzungsbedingungen, dass bei Nutzung der Single Sign-on-Technologie das öffentliche Profil und die Freundesliste an den Webdienst übermittelt werden können. Im Gegenzug erhält Facebook aber auch Informationen über die Aktivitäten des Nutzers (z.B. Nutzung des Fremddienstes) und kann diese dem Benutzerprofil hinzufügen und weiterverarbeiten. Sofern diese Daten für die Nutzung des Dienstes erforderlich sind und der Nutzer die Möglichkeit hat die Übermittlung selbst zu steuern, ist dies jedoch unproblematisch.

Wichtige Punkte zu Datenschutz / IT-Sicherheit

Um den Einsatz der Single Sign-on-Technologie (insbesondere mit Beteiligung Dritter) aus Sicht des Datenschutzes und der IT-Sicherheit abzusichern, sollten u.a. die folgenden Punkte beachtet werden:

  1. Rechtsgrundlage:
    Der SSO-Anbieter bzw. Webseitenbetreiber dürfen personenbezogene Daten, die über den Zweck der Authentifizierungsdaten hinausgehen, nicht erheben und verarbeiten. Zwar dürfen gemäß 14 TMG Bestandsdaten für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses genutzt werden. Übermitteln die Webseiten-Betreiber / SSO-Anbieter darüber hinaus weitere Daten bzw. Informationen, so müsste der Nutzer in diesen Austausch und die Weiterverarbeitung einwilligen. In diesem Fall muss der Nutzer datenschutzkonform informiert werden.
  2. Erforderlichkeit:
    Daten sollen nicht willkürlich übermittelt und gesammelt werden. Nur diejenigen Daten sollen erhoben und verarbeitet werden, die für die Nutzung des Dienstes erforderlich sind.
  3. Nutzerprofile:
    Entstehen bei den SSO-Beteiligten Nutzerprofile, da z.B. das Surfverhalten der Nutzer innerhalb eines Single Sign-on-Systems verfolgt wird, so muss dies pseudonymisiert erfolgen und dürfen diese Daten nur mit einer Einwilligung der Nutzer zusammengeführt werden.
  4. Passwort-Sicherheit:
    Selbstverständlich sollte auch bei der Single Sign-on-Lösung eine systemseitige Passwort-Sicherheit implementiert sein, so dass nur sichere Passwörter verwendet werden können. Um eine Brute Force Attacke zu verhindern, sollte auch eine beschränkte Anzahl an Fehlversuchen bei der Eingabe des Passwortes möglich sein.
  5. Automatisches Abmelden:
    Zu denken ist auch an ein automatisches Abmelden des Nutzers, wenn dieser für eine längere Zeit im System inaktiv ist.
  6. Verschlüsselung:
    Passwörter müssen verschlüsselt über das Netz übertragen und auch gespeichert werden.
  7. Mehr-Faktor-Authentisierung:
    Je nach dem Schutzbedarf der Daten sollte der Zugriff nicht nur mittels eines Passworts sondern auch zusätzlich mit einem weiteren Authentisierungsmerkmal erfolgen.
  8. Notfallkonzept:
    Um die Verfügbarkeit der Dienste bei Ausfall eines zentralen Single Sign-on-Systems zu gewährleisten, sollte ein Notfallkonzept erstellt werden.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.