Inhalt in Kürze
- Single Sign-On (SSO) bedeutet: einmal anmelden, überall Zugang. Ein zentraler Identity Provider (z.B. Microsoft Entra ID) authentifiziert den Nutzer gegenüber allen angeschlossenen Apps via SAML 2.0 oder OpenID Connect.
- Für KMU in Hamburg ist Microsoft Entra ID meist die naheliegendste Wahl — in Microsoft 365 Business Premium inklusive, native MFA, Conditional Access. Okta und Google Workspace sind Alternativen.
- Ohne Multi-Faktor-Authentifizierung ist SSO gefährlich: Wer das eine Passwort knackt, hat alles. Mit MFA sind laut Microsoft über 99 Prozent der Identitäts-Angriffe blockiert.
- Größtes Risiko: Single Point of Failure und Session-Hijacking. Lösung: Break-Glass-Accounts, Token-Lebensdauer begrenzen, Conditional Access an Gerät und Standort koppeln.
- Einführung in 7 Schritten: Inventur, Identity Provider wählen, MFA erzwingen, Pilot mit IT-Team, Rollout in Wellen, Monitoring, Notfallplan.
Ihre Mitarbeiter hassen Passwörter. Zwölf Anwendungen, zwölf Login-Masken, zwölf verschiedene Regeln — am Freitagnachmittag liegt der gelbe Klebezettel unter der Tastatur. Single Sign-On löst genau das: Einmal anmelden, überall drin. Klingt simpel, hat aber Tücken. Wir betreuen über 200 Unternehmen in Hamburg und Norddeutschland — und sehen täglich, wo SSO richtig eingeführt wird und wo es zur Sicherheitslücke wird.
Was ist Single Sign-On (SSO)?
Single Sign-On (SSO) ist ein Authentifizierungsverfahren, bei dem sich ein Nutzer einmal bei einem zentralen Identitätsanbieter anmeldet und anschließend ohne erneute Passworteingabe auf alle angeschlossenen Anwendungen zugreifen kann. Der Identity Provider tauscht signierte Tokens mit den Apps aus — für den Mitarbeiter komplett unsichtbar.
Konkret: Ein Mitarbeiter öffnet morgens seinen Laptop, meldet sich einmal bei Microsoft an. Ab jetzt laufen Outlook, Teams, Salesforce, DATEV, Urlaubsportal und Intranet ohne weitere Passwort-Eingabe. Die Anmeldung gilt für den gesamten Arbeitstag.
SSO ist nicht dasselbe wie ein Passwort-Manager. Ein Passwort-Manager speichert einzelne Passwörter und füllt sie aus. SSO ersetzt Passwörter komplett durch einen zentralen Login-Flow mit signierten Tokens. Weniger Angriffsfläche, weniger Passwörter, die überhaupt existieren.
Warum das für KMU relevant ist: Laut einer Bitkom-Studie entsteht der Großteil erfolgreicher Cyberangriffe über kompromittierte Zugangsdaten. Je mehr einzelne Login-Oberflächen ein Unternehmen hat, desto größer die Angriffsfläche. SSO reduziert diese Fläche auf einen einzigen, hochgesicherten Authentifizierungspunkt — wenn man es richtig macht.
Wie SSO funktioniert: SAML 2.0, OIDC und OAuth 2.0
Im Hintergrund sprechen SSO-Systeme drei zentrale Protokolle. Für die tägliche Praxis müssen Geschäftsführer nicht jedes Detail kennen — aber die Unterschiede sind beim Kauf und der Integration relevant.
| Protokoll | Typ | Datenformat | Typischer Einsatz | Reife |
|---|---|---|---|---|
| SAML 2.0 | Authentifizierung | XML | Klassische Business-Apps (Salesforce, SAP, DATEV) | Seit 2005, ausgereift |
| OpenID Connect (OIDC) | Authentifizierung | JSON (JWT) | Moderne Cloud-Apps, Mobile Apps | Seit 2014, aktueller Standard |
| OAuth 2.0 | Autorisierung | JSON | API-Zugriffe, Delegation | Basis für OIDC |
SAML 2.0 ist der ältere XML-basierte Standard. Wenn Sie DATEV SmartLogin, klassische SAP-Systeme oder on-premise Business-Apps anbinden, läuft das meist über SAML. Schwergewichtig, zuverlässig, umständlich zu konfigurieren.
OpenID Connect (OIDC) ist der moderne Nachfolger. Schlanker, JSON statt XML, gut für mobile Apps und moderne Cloud-SaaS. Microsoft empfiehlt OIDC für neue Integrationen mit Entra ID — Details in der offiziellen Microsoft-Learn-Dokumentation.
OAuth 2.0 ist streng genommen kein Authentifizierungs-, sondern ein Autorisierungs-Protokoll: Es regelt, welche Rechte ein Dienst im Namen des Nutzers ausüben darf. OIDC setzt auf OAuth 2.0 auf — daher die häufige Verwechslung.
Bei neuen Anwendungen immer OIDC bevorzugen. SAML nur dann nehmen, wenn die App es verlangt und kein OIDC anbietet. Alle großen Identity Provider (Entra ID, Okta, Google Workspace) unterstützen beides parallel — Sie müssen sich nicht entscheiden.
SSO-Anbieter 2026 im Überblick
Der Markt hat sich auf eine Handvoll ernstzunehmender Identity Provider konsolidiert. Für KMU in Hamburg mit 10 bis 250 Mitarbeitern spielen in der Praxis fünf eine Rolle.
| Anbieter | Preis (pro Nutzer/Monat) | Stärke | Für wen geeignet |
|---|---|---|---|
| Microsoft Entra ID (Azure AD) | 0 € (in M365 Business Premium), 6 € standalone (P1) | Native M365-Integration, Conditional Access, MFA, 99,99 % SLA | KMU mit Microsoft 365 — die Standardwahl |
| Okta Workforce Identity | ab 2 $ (SSO Basis), +3 $ MFA, Enterprise ab 15 $ | Herstellerunabhängig, riesiger App-Katalog (7.000+) | Heterogene IT-Landschaft ohne M365-Lock-in |
| OneLogin | ab 4 $ (Starter) bis 16 $ (Unlimited) | Gute UX, einfache Policies | Mittelständler ohne komplexe Anforderungen |
| Google Workspace | ab 7,20 € (Business Starter) | SSO + Workspace in einem Paket | Unternehmen, die komplett im Google-Kosmos arbeiten |
| Auth0 (Okta Customer Identity) | ab 0 $ (7.000 aktive Nutzer frei), ab 150 $/Monat (Essentials) | Starke Developer-Tools, Customer Identity | Eigene Kundenportale, SaaS-Anbieter |
Praxis-Erfahrung aus Hamburg: Rund 85 Prozent unserer 200 betreuten KMU fahren mit Microsoft Entra ID. Grund: Wer Microsoft 365 Business Premium ohnehin hat, hat Entra ID P1 (inklusive MFA, Conditional Access, Self-Service-Passwortreset) schon bezahlt. Für einen Wechsel auf Okta oder OneLogin braucht es einen konkreten Grund — heterogene App-Landschaft oder mehrere Mandanten.
SSO klingt nach IT-Spielerei, aber das ist der größte Produktivitätshebel, den wir in den letzten Jahren bei unseren Kunden in Hamburg gesehen haben. Wenn ein Mitarbeiter 15 Passwörter im Kopf haben soll, dann kann er seine eigentliche Arbeit nicht machen. Wir haben Kanzleien betreut, da hat der Seniorpartner jeden Morgen 20 Minuten gebraucht, um in alle Systeme zu kommen. Nach der SSO-Einführung: 30 Sekunden.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
SSO in 7 Schritten einführen
Wir haben SSO-Rollouts in vielen Größen begleitet — vom 15-Mitarbeiter-Architekturbüro bis zur 180-Mann-Spedition. Die Reihenfolge ist immer dieselbe, und wer sie umdreht, zahlt Lehrgeld.
- App-Inventur machen. Alle Business-Apps auflisten, pro App klären: SAML-, OIDC- oder Legacy-Anbindung? Web, Desktop, Cloud oder on-premise? Diese Liste ist die Basis für alles Weitere.
- Identity Provider festlegen. Für die meisten KMU: Microsoft Entra ID. Ohne M365-Lizenz dann Okta oder Google Workspace. Danach kein Wechsel mehr — sonst wird das Projekt doppelt so teuer.
- Multi-Faktor-Authentifizierung erzwingen. Bevor die erste App an SSO angebunden wird, muss MFA für alle Nutzer Pflicht sein. Nicht "später", sondern Tag 1. Ohne MFA schafft SSO mehr Risiko als Sicherheit.
- Pilot mit IT-Team und Geschäftsführung. Erst 3 bis 5 Personen umstellen, 2 Wochen laufen lassen. Was nicht funktioniert, fällt hier auf — bevor die Buchhaltung Sturm läuft.
- Rollout in Wellen. Abteilung für Abteilung, nicht alle gleichzeitig. Start mit IT-affinen Teams, danach Vertrieb, Buchhaltung, Produktion. Pro Welle 1 bis 2 Wochen Pause für Support.
- Monitoring aktivieren. Fehlgeschlagene Logins, fremde Geräte, Zugriffe aus Ausland. Entra ID Sign-In-Logs und Identity Protection liefern das out of the box — nur anschauen muss man es.
- Notfallplan dokumentieren. Break-Glass-Accounts anlegen, Offline-Prozesse für kritische Systeme, Eskalationspfad festlegen. Hoffentlich nie gebraucht, aber Pflicht.
SSO wird eingeführt, MFA kommt "im zweiten Schritt". In den dazwischenliegenden Wochen ist das Unternehmen massiv angreifbar: Ein einziges gestohlenes Passwort öffnet jetzt alle Systeme gleichzeitig. Reihenfolge nie umdrehen — erst MFA, dann SSO.
Risiken von SSO und wie Sie sie entschärfen
SSO ist kein Wunderwerkzeug. Es verschiebt Risiken, statt sie abzuschaffen — und wer das nicht weiß, baut sich elegant eine neue Sicherheitslücke. Die drei wichtigsten Risiken:
1. Single Point of Failure (SPOF). Fällt der Identity Provider aus, kommt niemand mehr in die angebundenen Apps. Microsoft garantiert für Entra ID 99,99 Prozent Verfügbarkeit laut SLA — rund 53 Minuten erlaubter Downtime pro Jahr. Außerordentliche Ausfälle wie der globale Azure-AD-Crash im Oktober 2020 kommen vor. Absicherung: Break-Glass-Accounts außerhalb von SSO, gecachte Tokens, Notfall-Prozesse für kritische Apps.
2. Session-Hijacking. Wer den SSO-Token stiehlt (z.B. via Browser-Malware), hat alle Rechte des Nutzers — ohne das Passwort zu kennen. Lösung: Token-Lebensdauer begrenzen (8 bis 12 Stunden statt 90 Tage), Conditional Access an Gerät koppeln, verdächtige Logins automatisch blockieren.
3. MFA-Bypass durch Phishing-as-a-Service. Kits wie Evilginx umgehen klassische MFA per Echtzeit-Proxy. Einzige robuste Gegenmaßnahme: Phishing-resistente MFA wie FIDO2/WebAuthn (Hardware-Keys, Passkeys). SMS-TAN reicht 2026 nicht mehr für Admin-Konten. Aktuelle Bedrohungslage im BSI-Lagebericht.
Wir hatten vorher fünfzehn verschiedene Systeme mit fünfzehn verschiedenen Passwörtern. Die Leute haben sich alles auf Zettel unter die Tastatur geklebt — trotz aller Schulungen. Mit SSO und MFA auf Hardware-Keys ist das Thema durch. Meine Mitarbeiter danken es mir jeden Tag.
SSO mit MFA und Conditional Access verbinden
SSO alleine ist ein Komfort-Feature. Erst in Kombination mit Multi-Faktor-Authentifizierung und Conditional Access wird daraus ein Sicherheitsgewinn. Laut Empfehlung des BSI für Cloud-Anwendungen sollte MFA für alle administrativen und externen Zugriffe obligatorisch sein.
Die drei Sicherheitsschichten im Zusammenspiel:
- Schicht 1 — SSO. Ein zentraler Anmeldepunkt, weniger Passwörter, bessere Übersicht. Reduziert die Angriffsfläche auf einen Punkt.
- Schicht 2 — MFA. Zusätzlicher Faktor über Passwort hinaus. Am besten FIDO2/WebAuthn (Hardware-Key oder Passkey), zweite Wahl Authenticator-App mit Zahlen-Matching, SMS-TAN nur als Fallback.
- Schicht 3 — Conditional Access. Regeln, unter welchen Bedingungen der Zugriff erlaubt ist: vertrauenswürdiges Gerät (Microsoft Intune compliant), Standort, Tageszeit, Risiko-Score. Verdächtiger Login aus Rumänien um 3 Uhr morgens? Blockiert, bevor das Passwort überhaupt geprüft wird.
Praxis-Setup für KMU: Entra ID P1 (in M365 Business Premium enthalten) + MFA erzwungen für alle Nutzer + Conditional Access Policy “Require Compliant Device + MFA” + Intune für das Device-Management. Das ist der aktuelle Stand der Technik — ohne Aufpreis, wenn M365 schon läuft. Details zur sauberen Cloud- und Microsoft-365-Architektur in Hamburg.
Was kostet SSO im KMU wirklich?
Die Lizenzpreise sind nur die halbe Wahrheit. Für eine saubere Gesamtkostenrechnung gehören Setup, Schulung und laufender Betrieb dazu.
| Posten | 30 Mitarbeiter | 80 Mitarbeiter | 150 Mitarbeiter |
|---|---|---|---|
| Entra ID P1 (standalone, falls nicht in M365) | ~180 €/Monat | ~480 €/Monat | ~900 €/Monat |
| Entra ID in M365 Business Premium | 0 € zusätzlich | 0 € zusätzlich | 0 € zusätzlich |
| Hardware-Keys (FIDO2, 1× pro Nutzer) | ~900 € einmal | ~2.400 € einmal | ~4.500 € einmal |
| Implementierung durch IT-Dienstleister | ~2.000–3.500 € | ~3.500–6.000 € | ~6.000–12.000 € |
| Schulung Mitarbeiter (Gruppen à 10) | ~600 € einmal | ~1.500 € einmal | ~3.000 € einmal |
| Laufender Betrieb (Teil der Managed IT) | enthalten | enthalten | enthalten |
Faustregel: Wer M365 Business Premium nutzt, zahlt für SSO+MFA+Conditional Access 0 Euro Lizenz-Aufpreis. Echte Kosten entstehen nur durch Implementierung und Hardware-Keys. Für einen 30-Mann-Betrieb sind das realistisch 3.500 bis 4.500 Euro einmalig — der Wegfall von Passwort-Reset-Tickets amortisiert das meist in 6 Monaten. Einen schnellen Überblick liefert unser IT-Kosten-Kalkulator inklusive Managed Security.
Sieben häufige Fehler bei der SSO-Einführung
Wir sehen immer wieder dieselben Muster — hier die sieben häufigsten Fehler aus echten Hamburger Projekten:
- 1. SSO ohne MFA. Kein Sicherheitsgewinn, sondern ein beschleunigter Sicherheitsverlust. Immer zusammen einführen.
- 2. Keine Break-Glass-Accounts. Fällt SSO aus, sitzt die ganze Firma. Mindestens 2 Notfall-Admins außerhalb von SSO vorhalten.
- 3. Alle Apps gleichzeitig umstellen. Erzeugt Support-Chaos. Wellen-Rollout über 3 bis 6 Wochen ist Pflicht.
- 4. Legacy-Apps vergessen. DATEV-Client, alte Warenwirtschaft, Excel-Makros mit hartcodierten Credentials — sie sprechen oft kein SAML. Vorher prüfen.
- 5. Session-Timeout auf 90 Tage. Bequem für Nutzer, Weihnachtsgeschenk für Angreifer. 8 bis 12 Stunden sind Best Practice.
- 6. Kein Offboarding-Prozess. Wenn ein Mitarbeiter geht, muss der SSO-Account in Stunden deaktiviert sein — sonst hat er weiter Zugriff auf alles.
- 7. Admins teilen sich einen Account. "admin@firma.de" für drei IT-Leute ist tabu. Jeder Admin braucht seinen eigenen Account — nachvollziehbar, audit-fähig, MFA-pflichtig.
Wer diese Fehler schon kennt, ist die halbe Miete. Eine tiefere Sicht auf typische Angriffswege auf Nutzerkonten bekommen Sie im Artikel über überraschende Hacker-Methoden — gute Ergänzung zum SSO-Thema.
Checkliste: Ist Ihr Unternehmen bereit für SSO?
- Microsoft 365 im Einsatz? Business Basic reicht nicht — für SSO mit MFA brauchen Sie mindestens Business Premium oder Entra ID P1 standalone.
- MFA bereits für alle Nutzer aktiv? Wenn nein: erst das einführen, dann SSO.
- App-Inventur gemacht? Alle Business-Apps aufgelistet, pro App geklärt: SAML, OIDC oder Legacy?
- Hardware-Keys oder Authenticator-App verteilt? Einen Key pro Nutzer, Backup-Methode definiert.
- Break-Glass-Accounts angelegt? Mindestens 2, außerhalb von SSO, in Safe dokumentiert.
- Conditional Access Policy entworfen? Mindestens "Require MFA + Compliant Device".
- Monitoring aufgesetzt? Entra ID Sign-In-Logs regelmäßig auswerten, Anomalien alarmieren.
- Offboarding-Prozess definiert? Klar geregelt, wer einen Account wie schnell deaktiviert.
Was Sie heute tun können
Wenn Sie jetzt gerade lesen und denken: “Bei uns sind Passwörter ein Problem” — drei konkrete Schritte für diese Woche:
- Eine ehrliche Bestandsaufnahme machen. Wie viele separate Logins haben Ihre Mitarbeiter aktuell? Welche Apps sind business-kritisch? Wo stehen die Passwörter (Zettel, Excel, Passwort-Manager)? Diese Fragen beantworten ist Schritt null.
- Prüfen, was Sie schon haben. Wer Microsoft 365 Business Premium nutzt, hat Entra ID P1 bereits bezahlt — inklusive MFA und Conditional Access. Viele Unternehmen haben die Lizenz und nutzen sie nicht. Admin Center öffnen, nachschauen.
- Einen 30-Minuten-Termin buchen. Wir machen pro Woche 4 bis 6 SSO-Erstgespräche — kostenlos, ohne Vertriebsdruck. Innerhalb von 15 bis 30 Minuten haben Sie eine Einschätzung, ob SSO für Ihr Unternehmen sinnvoll ist und was es realistisch kostet.
Passwort-Chaos beenden. SSO sauber einführen.
Wir planen und betreiben SSO für Hamburger KMU — mit MFA, Conditional Access und Break-Glass-Notfallplan. 15 Minuten kostenloses Erstgespräch, ohne Vertriebsdruck.
Kostenloses Erstgespräch buchen →Fazit
Single Sign-On ist einer der größten Hebel für Produktivität und Sicherheit gleichzeitig — wenn man es richtig macht. Die Technik ist ausgereift, die Anbieter-Landschaft stabil, die Best Practices klar dokumentiert. Was entscheidet, ist die Reihenfolge: erst MFA, dann SSO. Erst Inventur, dann Anbieterwahl. Erst Pilot, dann Rollout. Immer mit Break-Glass-Plan.
Wir haben dutzende dieser Projekte in Hamburg, Bremen und im norddeutschen Raum begleitet — vom Architekturbüro bis zur Spedition. Wenn Sie tiefer ins Thema Cybersecurity für den Mittelstand in Hamburg einsteigen oder einen Blick auf Managed Security werfen wollen, haben Sie die logischen Nachbar-Themen zu SSO direkt parat.
Von Passwort-Chaos zu Single Sign-On in 6 Wochen.
Als IT-Systemhaus in Hamburg planen wir Ihre SSO-Einführung mit Entra ID oder Okta, binden Ihre Apps an und übernehmen den laufenden Betrieb.
Kostenloses 15-Minuten-Erstgespräch →
