„Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.“ Das Ausmass an unterschiedlichen Passwörtern und Anmeldedaten hat in den vergangenen Jahren stark zugenommen. Abhilfe soll das Konzept Bring Your Own Identity (BYOI oder BYO-ID) schaffen, das dem Nutzer die Möglichkeit zu SSO (Single Sign-On) ermöglicht. BYOI ist eine Methode zur digitalen Authentifizierung einer Person, wobei Benutzername und Kennwort des End-Users von einem Drittanbieter verwaltet und teilweise bereitgestellt werden. SSO beschreibt den Authentifizierungsprozess hinter einer Sitzung. Der User hinterlegt einen Nutzernamen und ein Passwort, um so auf mehrere Anwendungen Zugriff zu erhalten. Beide Konzepte haben den Vorteil, dass der Benutzer sich bequem und einfach anmelden kann. Kritiker hingegen sehen die Gefahr, dass die persönlichen Daten kompromittiert oder gestohlen werden können. Die Frage, die sich stellt: Wird die Sicherheit des Nutzers auf Kosten der Praktikabilität gefährdet? Was BYOI und SSO ausmacht und welche Vor- und Nachteile sie haben, können Sie hier nachlesen:
Die Vielzahl von Passwörtern stellt den User vor eine grosse Herausforderung: Für jeden Online-Dienst, für alle App-Konten müssen User tagtäglich unterschiedliche Anmeldedaten bereithalten, um sich zu identifizieren und zu authentifizieren. Im Durchschnitt müssen sich Benutzer über 100 Passwörter merken, die meist recht kompliziert sind, um den Sicherheitsstandards zu entsprechen. Während es ausreicht, sich in der Offline-Welt mit dem Ausweis zu identifizieren, haben wir in der digitalen Welt unzählige Benutzerkonten bei verschiedenen Online-Diensten, für die wir uns jeweils unterschiedliche Passwörter merken müssen. Im schlimmsten Fall ist das jeweilige Online-Konto gesperrt und muss erst durch den Kundendienst wieder freigegeben werden. In den meisten Fällen ist das nicht nur zeitaufwendig, sondern auch ärgerlich.
Die digitale Authentifizierungs-Methode BYOI soll mit dem Passwort-Dschungel aufräumen. Das Konzept wird oft bei der Anmeldung von Webseiten genutzt. Dabei muss der End-User kein neues Passwort und auch keinen Benutzernamen erstellen, sondern die digitale Identität wird von einem Dritten verwaltet (Identitätsmanagement oder auch IdM) und der Benutzer kann sich mit einer bereits bestehenden Identität anmelden. Die Bedingung dafür ist, dass die Ziel-Anwendung den Service BYOI integriert hat.
Beispiele hierfür sind die Anmeldung bei einem Konto durch Facebook, Twitter oder LinkedIn. Wenn ein soziales Netzwerk diesen Ansatz anbietet, wird von Social Login gesprochen. Neben Social-Media-Plattformen stellen auch staatliche Institutionen, Internet- und Netzwerkprovider oder auch Banken ihren Kunden teilweise die Option BYOI zur Verfügung. Hier wird vorab aber eine strengere Identitätsprüfung durchgeführt, um den Missbrauch der Daten zu vermeiden. Auf Unternehmensebene wird BYOI auch oft als Identity-as-a-Service (IDaaS) bezeichnet.
Der Schlüssel hinter BYOI: SSO
Der Ansatz BYOI ist mit einer Single-Sign-On-Lösung verbunden. Der User hinterlegt einen Namen und Passwort und kann sich dadurch für mehrere unterschiedliche Anwendungen authentifizieren. Hier entfallen zusätzliche Eingabeaufforderungen und es bedarf keiner ergänzenden Identifizierung. SSO wird aber nicht nur in einem privaten Rahmen genutzt, sondern dient im Unternehmensumfeld zum Identifikationsmanagement für Web-Anwendungen wie beispielsweise der Zugriff auf die Unternehmens-Cloud. Somit ersetzt SSO die einzelnen Anmeldeverfahren und setzt eine übergeordnete Identität des jeweiligen Benutzers ein. Eine grundlegende Unterscheidung von Single-Sign-On und Same User Same Passwort (SUSP) besteht darin, dass bei SUSP für jede Anwendung eine separate Anmeldung inklusive Login-Daten erfolgen muss, während bei SSO die Authentifizierung für verschiedene Apps automatisch bereitgestellt wird.
Single-Sign-On ist auch nicht dasselbe wie Self-Sovereign-Identity (SSI). Die Akronyme unterscheiden sich zwar nur durch einen Buchstaben, stehen aber für grundverschiedene Sachverhalte: Während SSO eine zentral gesteuerte Identität ist – oft auch nur mit einer schwachen Datenverifizierung, wird durch SSI eine digitale Identität erzeugt, ohne dass eine zentrale Partei vorhanden ist. SSI findet zumeist Anwendung bei digitalen Wallets.
Vor- und Nachteile von BYOI und SSO
Einer der grossen Vorteile von BYOI und SSO ist die bequeme Authentifizierung: Viele Unternehmen binden immer mehr und unterschiedliche Clouds (Multicloud) für ihre Workloads ein. Dank SSO können User sich bequem in den verschiedenen Cloud-Anwendungen anmelden. Somit wird eine verbesserte User Experience gewährleistet und die aufwändige Verwaltung von verschiedensten Benutzernamen und Passwörtern entfällt. Für webbasierte Services hat BYOI und SSO den Vorteil, dass sich der Benutzer schnell registrieren kann, ohne dass er sich einen neuen Benutzernamen und ein neues Kennwort merken muss.
Dennoch gibt es Schattenseiten: Während die Befürworter argumentieren, dass es nebensächlich ist, wo das Identity Access Management (IAM) liegt, befürchten Kritiker einen zu laxen Umgang in Sachen Datensicherheit und -schutz. Zudem bemängeln sie, dass für Unternehmen eine Abhängigkeit vom Identity-Service-Anbieter und so auch ein Single Point of Failure bezüglich der Nutzung der verschiedenen Anwendungen besteht. Sollte es zu Datendiebstahl oder der Kompromittierung der Daten für die digitale Identität kommen, kann das unter Umständen immense Auswirkungen haben – auch in finanzieller Hinsicht.
Auf der anderen Seite sorgt auch der Wildwuchs von Passwörtern und Benutzernamen für Sicherheitsrisiken, da oftmals die Passwort-Hygiene nicht ausreicht. Viele Nutzer verwenden dieselben LogIn-Daten für unterschiedliche Accounts. Werden diese Daten einmal kompromittiert, sind auch hier alle Anwendungen gefährdet.
Ein weiterer Vorteil von SSO ist das automatisierte Zugangsdaten-Management: Administratoren müssen sich nicht mehr manuell um die verschiedenen Accounts ihrer Mitarbeiter kümmern. So können sich IT-Teams auf wichtigere Aufgaben konzentrieren. Ausserdem lässt sich eine Multi-Faktor-Authentifizierung (MFA) nutzen, damit das einmalige Einloggen für alle Anwendungen noch sicherer wird. So wird beides gewährleistet: sowohl die Benutzerfreundlichkeit als auch die (Daten-)Sicherheit.