· Rexoma Team · IT-Sicherheit  · 6 min read

Single Sign-On für KMU: Zentrales Login sicher einrichten

Mitarbeiter jonglieren täglich mit einem Dutzend Passwörtern – und genau das ist ein Sicherheitsproblem. Single Sign-On löst dieses Problem und macht Ihr Unternehmensnetz deutlich sicherer.

Mitarbeiter jonglieren täglich mit einem Dutzend Passwörtern – und genau das ist ein Sicherheitsproblem. Single Sign-On löst dieses Problem und macht Ihr Unternehmensnetz deutlich sicherer.

In den meisten kleinen Unternehmen sieht der Arbeitsalltag so aus: Mitarbeiter merken sich Passwörter für Microsoft 365, das ERP-System, das CRM, die Zeiterfassung und drei weitere Cloud-Dienste – und landen früher oder später bei Post-its am Monitor oder bei „Passwort123!” für alle Accounts. Das ist kein Vorwurf, sondern ein strukturelles Problem. Single Sign-On (SSO) löst genau dieses Problem: eine einzige sichere Anmeldung, die Zugang zu allen freigegebenen Systemen gewährt.

Was ist Single Sign-On und warum brauchen KMU das?

Single Sign-On ist ein Authentifizierungsverfahren, bei dem sich ein Benutzer einmalig gegenüber einem zentralen Identity Provider (IdP) ausweist – und damit automatisch Zugang zu allen verbundenen Anwendungen erhält. Kein erneutes Anmelden, kein zweites Passwort.

Das klingt zunächst nach einem Komfortthema, ist aber vor allem ein Sicherheitsthema:

  • Weniger Passwörter = weniger Angriffsfläche. Jedes separate Passwort ist ein potenzieller Schwachpunkt.
  • Zentrales Offboarding. Wenn ein Mitarbeiter das Unternehmen verlässt, reicht das Deaktivieren eines einzigen Kontos – kein mühsames Durchklicken von zwölf Diensten.
  • Bessere MFA-Durchsetzung. Multi-Faktor-Authentifizierung lässt sich zentral für alle Dienste auf einmal erzwingen.
  • Audit-Logs an einer Stelle. Wer hat wann auf welchen Dienst zugegriffen? Mit SSO lässt sich das zentral auswerten.

Dass das Thema brennend aktuell ist, zeigen aktuelle Sicherheitsmeldungen: Anfang 2026 wurden in Zoho ManageEngine und vergleichbaren SSO-Lösungen kritische Lücken entdeckt, die Kontenübernahmen ohne Passwort ermöglichten. Der Umkehrschluss: Nicht SSO an sich ist das Risiko – sondern schlecht konfiguriertes oder ungepatchtes SSO.

Die wichtigsten Konzepte kurz erklärt

Identity Provider (IdP)

Der IdP ist das Herzstück des Systems. Er speichert und verwaltet Benutzeridentitäten und stellt nach erfolgreicher Authentifizierung ein Token aus. Bekannte IdPs für KMU:

  • Microsoft Entra ID (ehemals Azure AD) – ideal wenn bereits Microsoft 365 im Einsatz ist
  • Keycloak – Open-Source-Lösung für den eigenen Server, besonders interessant für datenschutzbewusste Unternehmen in Sachsen
  • Authentik – moderne Open-Source-Alternative zu Keycloak, einfacher zu administrieren
  • Okta – Cloud-Dienst, sehr benutzerfreundlich, aber kostenpflichtig

SAML, OIDC und OAuth – was steckt dahinter?

Hinter SSO stecken offene Standards. Die wichtigsten:

  • SAML 2.0 – älterer Standard, weit verbreitet in Unternehmensanwendungen und SaaS-Diensten
  • OpenID Connect (OIDC) – moderner Standard, basiert auf OAuth 2.0, besonders für Web-Apps und mobile Anwendungen
  • OAuth 2.0 – streng genommen kein Authentifizierungsprotokoll, sondern ein Autorisierungsframework

Für die meisten KMU ist der Unterschied praktisch irrelevant – wichtig ist, dass der gewählte IdP beide Standards unterstützt, um möglichst viele Dienste anzubinden.

SCIM: Benutzerverwaltung automatisieren

SCIM (System for Cross-domain Identity Management) ist ein Protokoll, das die automatische Synchronisation von Benutzern zwischen IdP und angebundenen Diensten ermöglicht. Neuer Mitarbeiter im IdP anlegen → automatisch in allen Systemen vorhanden. Konto deaktivieren → überall gesperrt. Das ist deutlich weniger fehleranfällig als manuelle Verwaltung.

SSO für KMU: Schritt-für-Schritt einrichten

Schritt 1: Bestandsaufnahme der genutzten Dienste

Bevor Sie irgendeine Software installieren, listen Sie alle Dienste auf, die Ihre Mitarbeiter täglich nutzen. Typisch für ostdeutsche KMU:

  • Microsoft 365 / Outlook / Teams
  • ERP-System (DATEV, SAP Business One, Lexware, etc.)
  • CRM (HubSpot, Salesforce, Pipedrive)
  • Cloud-Speicher (SharePoint, Nextcloud)
  • Projektmanagement (Jira, Asana, Notion)
  • Zeiterfassung
  • VPN / Remote-Zugang

Prüfen Sie für jeden Dienst: Unterstützt er SAML oder OIDC? Die meisten modernen SaaS-Lösungen tun das – manchmal aber nur in teureren Tarifen.

Schritt 2: Den richtigen IdP wählen

Für Microsoft-lastige Umgebungen ist Microsoft Entra ID die naheliegendste Wahl – es ist in Microsoft 365 Business Premium bereits enthalten und lässt sich mit nahezu allen SaaS-Diensten verbinden.

Für Unternehmen, die Wert auf Datensouveränität legen oder bereits Linux-Server betreiben, ist Keycloak oder Authentik auf einem eigenen Server in Dresden eine datenschutzrechtlich sauberere Option. Die DSGVO-Anforderungen an die Verarbeitung personenbezogener Daten (auch von Mitarbeitern) sprechen oft für On-Premises-Lösungen.

Schritt 3: MFA von Anfang an einplanen

Single Sign-On ohne Multi-Faktor-Authentifizierung ist wie ein einziges Schloss für alle Türen – mit einem einzigen Schlüssel, den jemand leicht stehlen kann. MFA ist beim SSO-Rollout kein optionales Extra, sondern Pflicht.

Empfohlene MFA-Methoden für KMU:

  • TOTP-Apps (Google Authenticator, Aegis, Microsoft Authenticator)
  • Hardware-Token (YubiKey) für privilegierte Accounts
  • Passkeys / FIDO2 als zukunftssichere Option

Schritt 4: Dienste schrittweise anbinden

Beginnen Sie nicht damit, alles auf einmal umzustellen. Starten Sie mit einem unkritischen Dienst, etwa der Projektverwaltung oder dem Cloud-Speicher, und testen Sie den Login-Flow gründlich. Erst dann kommen kritischere Systeme wie das ERP oder das VPN.

Schritt 5: Offboarding-Prozess definieren

Legen Sie schriftlich fest, wer beim Ausscheiden eines Mitarbeiters den IdP-Account deaktiviert, innerhalb welcher Frist und wer das dokumentiert. Das klingt banal, ist aber eine häufig übersehene DSGVO-Anforderung: der Lösch- und Sperrpflicht für Mitarbeiterdaten nach Beendigung des Arbeitsverhältnisses.

Typische Fehler beim SSO-Rollout

Keinen Notfall-Admin-Account anlegen. Wenn der IdP ausfällt oder falsch konfiguriert ist, müssen Sie noch irgendwie in Ihre Systeme kommen. Legen Sie mindestens einen lokalen Admin-Account für kritische Dienste an, der nicht über SSO läuft.

SSO-Software nicht aktuell halten. Keycloak, Authentik und ähnliche Lösungen müssen regelmäßig aktualisiert werden. Die ManageEngine-Lücke Anfang 2026 zeigt: ungepatchte IdPs sind ein hochattraktives Ziel für Angreifer.

Zu breite Rollen vergeben. SSO macht es einfach, Zugriff zu gewähren – aber damit steigt die Versuchung, allen alles freizuschalten. Rollen und Berechtigungen sollten nach dem Least-Privilege-Prinzip vergeben werden: jeder Mitarbeiter nur die Rechte, die er für seine Tätigkeit braucht.

Audit-Logs ignorieren. Ihr IdP protokolliert jeden Login-Versuch. Diese Logs auszuwerten – oder zumindest Alarme für verdächtige Aktivitäten einzurichten (viele fehlgeschlagene Logins, Login aus unbekanntem Land) – ist ein wichtiger Teil des Sicherheitskonzepts.

SSO und DSGVO: Was Dresdner Unternehmen beachten sollten

Single Sign-On verarbeitet personenbezogene Daten: Benutzernamen, E-Mail-Adressen, Login-Zeiten, genutzte Dienste. Wer einen Cloud-IdP wie Okta oder Microsoft Entra nutzt, muss prüfen:

  • Wo werden die Daten gespeichert (EU oder USA)?
  • Gibt es einen Auftragsverarbeitungsvertrag (AVV)?
  • Entspricht die Datenspeicherung den Anforderungen der DSGVO?

Microsoft Entra bietet seit 2023 die Option, Daten ausschließlich in der EU zu speichern (EU Data Boundary). Für maximale Kontrolle bleibt ein selbst gehosteter Keycloak oder Authentik-Server die sauberste Lösung.

Sie möchten SSO in Ihrem Unternehmen einführen?

Rexoma IT unterstützt KMU in Dresden und Sachsen beim Aufbau sicherer Identity-Management-Infrastrukturen – von der Bestandsaufnahme Ihrer Dienste über die Auswahl und Einrichtung des passenden IdP bis zur Integration mit Ihrer bestehenden IT. Wir richten Keycloak und Authentik auf Ihren eigenen Servern ein oder helfen Ihnen, Microsoft Entra ID optimal zu nutzen. Sprechen Sie uns an: Ein erster Beratungstermin ist kostenlos.


FAQ: Single Sign-On für KMU

Für wie viele Mitarbeiter lohnt sich SSO? Ab etwa 10 Mitarbeitern, die täglich mehrere Systeme nutzen, zahlt sich SSO aus – durch weniger Helpdesk-Aufwand für Passwort-Resets und durch mehr Sicherheit. Bei 5 Mitarbeitern und zwei genutzten Diensten ist der Aufwand oft größer als der Nutzen.

Kann SSO gehackt werden? Jedes System kann gehackt werden. Das Risiko bei SSO besteht darin, dass ein kompromittierter Account Zugang zu vielen Diensten gibt. Deshalb ist MFA beim SSO unverzichtbar. Gut konfiguriertes SSO mit MFA ist deutlich sicherer als Passwort-Chaos ohne MFA.

Funktioniert SSO auch für On-Premises-Anwendungen? Ja. Viele lokale Anwendungen unterstützen SAML oder LDAP/Kerberos. Keycloak beispielsweise kann als Brücke zwischen modernen OIDC-Standards und älterem LDAP fungieren.

Was kostet SSO für ein KMU? Open-Source-Lösungen wie Keycloak oder Authentik sind kostenfrei – Sie zahlen nur für den Server und den Administrationsaufwand. Microsoft Entra ID ist in Microsoft 365 Business Premium enthalten (ca. 20 € pro Nutzer/Monat). Cloud-Dienste wie Okta beginnen je nach Nutzeranzahl und Features bei einigen Euro pro Nutzer und Monat.

Was passiert, wenn der IdP ausfällt? Ohne den IdP können sich Nutzer nicht mehr per SSO anmelden. Deshalb sind Hochverfügbarkeit (mehrere IdP-Instanzen) und Notfall-Zugänge (lokale Admin-Accounts für kritische Systeme) wichtig. Auf einem gut konfigurierten System ist ein IdP-Ausfall selten – aber man sollte darauf vorbereitet sein.

Back to Blog

Related Posts

View All Posts »