SSO ist kein Allheilmittel: Warum die meisten Organisationen es durch Passwort-Management ergänzen

Mit dem starken Wachstum von Cloud-Diensten entscheiden sich viele Unternehmen dafür, die Authentifizierung ihrer Mitarbeitenden mit Single Sign-On (SSO) zu verwalten. Doch SSO löst längst nicht alle Herausforderungen bei der Authentifizierung.

SSO hilft dabei, die Authentifizierung zwischen Anwendungen zu konsolidieren, vereinfacht die Benutzererfahrung, indem die Anzahl der Zugangsdaten und Passwörter reduziert wird, die sie sich merken müssen, und erhöht die Unternehmenssicherheit, indem starke Authentifizierung für mehr Anwendungen sichergestellt wird. Heute nutzen die meisten Unternehmen eines von zwei Assertion-Protokollen zur Implementierung von SSO: entweder Security Assertion Markup Language (SAML) oder OpenID Connect (OIDC).

In einer aktuellen Umfrage unter IT-Administratoren und Führungskräften hat Bitwarden festgestellt, dass die große Mehrheit der Organisationen SSO zur Absicherung ihrer Anwendungen nutzt, die meisten jedoch weiterhin viele Anwendungen haben, die von SSO nicht unterstützt werden. Diese Befragten merkten an, dass Legacy-Anwendungen SSO häufig nicht unterstützen und viele Anbieter von SaaS-Anwendungen SSO nur in ihren teuersten „Enterprise“-Abonnements bereitstellen. 

Infolgedessen sind viele Anwendungen nicht durch SSO abgedeckt. Dabei handelt es sich keineswegs um unbedeutende Anwendungen. Viele Befragte schätzen das Sicherheitsrisiko von Nicht-SSO-Anwendungen als erheblich ein, und ein Fünftel hat bereits Sicherheitsvorfälle im Zusammenhang mit diesen Anwendungen erlebt.

Kurz gesagt: Wie ein Befragter es ausdrückte, ist SSO kein „Allheilmittel“. Es muss durch eine weitere Lösung ergänzt werden, und ein Passwort-Manager bietet nach Ansicht vieler Befragter das Beste aus beiden Welten.

Wichtigste Ergebnisse

• 89 % der Organisationen nutzen SSO, aber die Mehrheit (57 %) hat bis zu 50 Anwendungen, die SSO noch nicht unterstützen.

• Mehr als die Hälfte (62 %) der Befragten gibt an, dass SSO allein nicht ausreicht, damit ihre Organisation eine sichere Authentifizierung erreicht.

• Shadow-IT-Anwendungen sind für Organisationen die größte Herausforderung bei der Absicherung der Authentifizierung für Nicht-SSO-Anwendungen; 65 % nennen diesen Punkt. 

• Die Befragten geben an, dass der Bitwarden Passwort-Manager wirksam dabei hilft, Anwendungen abzusichern, die von SSO nicht unterstützt werden: 85 % nennen höhere Sicherheit und 83 % ein geringeres Risiko durch Zugangsdaten als wichtigste Vorteile, 70 % verweisen auf optimierte Anmeldungen.

SSO hat seit Beginn der Cloud-Ära stark an Beliebtheit gewonnen. Es verbessert die Sicherheitslage von Organisationen und optimiert die Benutzererfahrung. Daher überrascht es nicht, dass 89 % der Befragten in unserer Studie angeben, dass ihre Organisationen SSO nutzen.

Ein Grund, warum SSO so viel bewirkt, ist die schiere Menge an Anwendungen, die Unternehmen unterstützen müssen. Zwei Drittel (66 %) der Organisationen verwalten mehr als 100 Anwendungen in der gesamten Organisation, und 27 % der Organisationen verwalten mehr als 300.

Viele dieser Anwendungen unterstützen jedoch keine Authentifizierung über SSO. Die Mehrheit der Organisationen in unserer Umfrage (57 % der Befragten) gibt an, bis zu 50 Anwendungen zu haben, die SSO noch nicht unterstützen, und 14 % haben mehr als 100 Anwendungen, die von SSO nicht unterstützt werden.

„SSO vereinfacht den Zugriff für unsere Benutzer, indem sie sich einmal authentifizieren und Zugriff auf mehrere Systeme erhalten“, sagte ein Befragter. „Es deckt jedoch nicht jede Anwendung ab, etwa Altsysteme, Drittanbieter-Tools oder Shadow IT.“

Microsoft Entra ID ist mit Abstand die beliebteste Wahl für die Implementierung von SSO: 40 % der Befragten nutzen es, um die Authentifizierung in ihrer Organisation abzusichern. Weitere 12 % nutzen Okta und 7 % Google Identity.

Unabhängig von der verwendeten Plattform und trotz seiner Einschränkungen bietet SSO erhebliche Vorteile. Eine Führungskraft formulierte es so: „Die Nutzung von SSO für alle unterstützten Anwendungen zentralisiert die Authentifizierung, vereinfacht das Lifecycle-Management und stärkt die Sicherheit.“

Da so viele Anwendungen weiterhin nicht von SSO unterstützt werden, überrascht es nicht, dass deutlich mehr als die Hälfte (62 %) der Befragten angibt, dass SSO allein für ihre Organisation nicht ausreicht, um eine sichere Authentifizierungslage zu erreichen.

Das Risiko von Nicht-SSO-Anwendungen ist real. Fast ein Fünftel der Befragten (18 %) gab an, dass ihre Organisation einen Sicherheitsvorfall im Zusammenhang mit einer Anwendung oder einem Konto erlebt hat, die bzw. das nicht durch SSO abgesichert war. Überraschenderweise wissen sogar etwas mehr (19 %) nicht einmal, ob sie einen Vorfall erlebt haben oder nicht – wahrscheinlich, weil viele dieser Nicht-SSO-Anwendungen „Shadow IT“ sind und außerhalb der Kontrolle und Aufsicht der IT-Teams liegen.

Daher verwenden die meisten Organisationen zusätzliche Methoden, um die Anwendungssicherheit zu gewährleisten. Passwortverwaltung und Lösungen für Multifaktor-Authentifizierung (MFA) sind die wichtigsten Techniken, mit denen Organisationen Anwendungen außerhalb von SSO absichern.

Ein Befragter fasste seinen Ansatz so zusammen: „Stellen Sie sicher, dass der SSO-Anbieter überall dort genutzt wird, wo es möglich ist, erzwingen Sie starke 2FA und nutzen Sie den Passwort-Manager als sichere Ergänzung für Konten, die nicht in SSO integriert werden können.“

Zusätzliche Sicherheitsebenen sowie proaktive Kommunikation und Schulungen sind ebenfalls entscheidend, damit Mitarbeitende Best Practices für die Authentifizierung verstehen.

„SSO ist kein Allheilmittel“, sagte ein Befragter. „Stellen Sie sicher, dass zusätzliche Kontrollen vorhanden sind, um Anwendungsdaten zu schützen.“



Weitere Methoden zur Absicherung von Anwendungen außerhalb von SSO oder Passwortverwaltung

66 % - 2FA oder MFA

35 % - Von Mitarbeitenden verwaltete E-Mail-Adresse und Passwort

21 % - SSO ohne SAML

18 % - Passkeys

16 % - Privileged Access Management

6 % - Anwendungsproxy

1 % - Sonstiges

Wenn Sie glauben, dass SSO alle „wichtigen“ Anwendungen abdeckt und dass diejenigen außerhalb dieser Abdeckung für die Sicherheit unwesentlich sind, sollten Sie das noch einmal überdenken.

Ein Viertel der Befragten bewertete Anwendungen, die nicht von SSO unterstützt werden, als „erhebliches Risiko“ oder „hohes Risiko“ für ihre Organisationen. Sie merkten an, dass viele davon Anwendungen mit großen geschäftlichen Auswirkungen waren, sensible Daten enthielten, durch schwache Passwörter leicht kompromittiert werden konnten und in einigen Fällen keine MFA-Unterstützung boten.

Weitere 35 % gaben an, dass diese Anwendungen mindestens ein „mittleres Risiko“ darstellten. Insgesamt waren also 55 % der Ansicht, dass Nicht-SSO-Anwendungen ein mittleres bis hohes Risiko für die Organisation darstellten. Niemand gab an, dass von Apps, die nicht durch SSO abgedeckt sind, überhaupt kein Risiko ausgeht.

„Nicht alle Anwendungen, die Sie möglicherweise als geschäftskritisch betrachten, unterstützen SSO von Haus aus“, sagte ein Befragter. „Das zu ändern, braucht Zeit. Meiner Erfahrung nach wählen Fachanwender Anwendungen meist nicht nach deren SSO-Funktionen aus. Wenn man ihnen dies aufzwingt, entsteht Shadow IT.“

Selbst großen Cloud-Anwendungen fehlt manchmal die SSO-Unterstützung, die Organisationen benötigen. Eine IT-Führungskraft formulierte es so: „Viele ‚ausgereifte‘ SaaS-Plattformen hinken bei SSO immer noch hinterher, und fast jede Organisation hat weiterhin Legacy-Authentifizierungsanforderungen, die ebenfalls gut gesteuert werden sollten.“

Dieses Risiko ist nicht nur theoretisch. Wie oben erwähnt, geben 18 % der Befragten an, dass ihre Organisationen aufgrund fehlender SSO-Unterstützung einen Sicherheitsvorfall erlebt haben.

„Selbst wenn Sie sehr gut darin sind, Ihre Apps an SSO anzubinden, werden Sie immer noch Apps haben, die sich nicht anbinden lassen, wie Legacy-Apps und externe Apps (die nicht von Ihrem Unternehmen verwaltet werden)“, sagte ein Befragter.

Das größte Problem für IT-Manager, die eine sichere Authentifizierungslage für ihre Organisation erreichen möchten, sind „Shadow IT“-Apps, die von Fachanwendern außerhalb der IT-Aufsicht und ohne IT-Unterstützung installiert werden.

65 % der Befragten nannten Shadow IT als größte Herausforderung beim Versuch, die Authentifizierung für Anwendungen abzusichern, die SSO nicht unterstützen.

Die zweitgrößte Herausforderung, von 43 % der Befragten genannt, war die Mitarbeit der Beschäftigten.

Um diese beiden Hindernisse zu überwinden, müssen die Vorteile von SSO und die Notwendigkeit (sowie der Komfort) eines Passwort-Managers für Anwendungen, die SSO nicht unterstützen, klar kommuniziert werden.

Ein Befragter merkte an: „SSO deckt nicht jede Anwendung ab, etwa Altsysteme, Drittanbieter-Tools oder Schatten-IT. Hier ergänzt ein Passwort-Manager SSO, indem er Zugangsdaten für Konten außerhalb des SSO-Ökosystems sicher speichert und verwaltet.“

Ein weiterer Befragter beschrieb die Funktionsweise eines Passwort-Managers als ergänzende Lösung, die zu umfassender Sicherheit beiträgt. „Betrachten Sie SSO als Ihre primäre Zugriffssteuerung für integrierte Anwendungen und den Passwort-Manager als obligatorisches Sicherheitsnetz für alles andere – insbesondere ältere Apps, geteilte Team-Geheimnisse und Schatten-IT –, um eine umfassende Defense-in-Depth-Strategie zu schaffen.“ 

Mit einem Passwort-Manager können Endbenutzer alle Zugangsdaten sichern, die sie für ihre tägliche Arbeit benötigen, einschließlich Nicht-SSO-Anwendungen, die dem IT-Team nicht bekannt sind (Schatten-IT).



Die größten Herausforderungen bei der Absicherung von Nicht-SSO-Apps

58 % - Anwendungstransparenz (Schatten-IT)

39 % - Mitarbeit der Beschäftigten

30 % - Zu viele Anwendungen

27 % - Budget

16 % - Zustimmung der Führungsebene

5 % - Sonstiges

Der Bitwarden Passwort-Manager ist eine leistungsstarke und komfortable Lösung, die SSO ergänzt und Sicherheit für alle Anwendungen gewährleistet – sowohl für solche, die von SSO abgedeckt werden, als auch für solche, die es nicht sind.

„Bitwarden unterstützt uns bei Konten, bei denen SSO aktiviert ist, und bietet eine zusätzliche 2FA-Option in Form eines Authenticators oder von Passkeys“, sagte ein Befragter.

Mehr als drei Viertel der Befragten (77 %) sagen, dass der Bitwarden Passwort-Manager „effektiv“ oder „sehr effektiv“ bei der Absicherung von Anwendungen ist, die nicht von SSO unterstützt werden.

85 Prozent gaben an, dass der Bitwarden Passwort-Manager bei der Nutzung zusammen mit SSO die Sicherheit ihrer Organisationen erhöht, während 83 % sagen, dass er das Risiko durch Zugangsdaten in ihren Organisationen reduziert hat.

Es ist zudem eine komfortable Lösung, die Benutzern das Leben erleichtert. 70 Prozent der Befragten sagen, dass ihre Benutzer nach der Einführung des Bitwarden Passwort-Managers von optimierten Anmeldungen profitieren.

„Es gibt einige Dinge, die SSO einfach nicht abdeckt“, sagte einer. „Die Verwendung von Bitwarden mit einem Organisationskonto ermöglicht es Benutzern, Zugangsdaten sicher zu teilen und in einigen Fällen sogar MFA zu konfigurieren“

Eine weitere befragte Person schwärmte, dass sie Bitwarden auch für ihre persönlichen Passwörter nutzt. „Das Beste aus beiden Welten! Ich verwende Bitwarden sowohl für meine persönlichen als auch für meine beruflichen Passwörter und ermutige meine Benutzer, dasselbe zu tun.“

Bitwarden befragte vom 28. Oktober 2025 bis zum 6. Januar 2026 93 Unternehmenskunden, darunter 74 IT-Administratoren, 11 Führungskräfte und 6 Abteilungsleiter.

Um mehr darüber zu erfahren, wie Bitwarden dazu beitragen kann, die Authentifizierung bei Nicht-SSO-Anwendungen zu sichern, starten Sie eine kostenlose 7-tägige Business-Testversion noch heute.