Identitätssicherheit über SSO und PAM hinaus erweitern

The reality of modern security stacks

Die meisten IT- und Sicherheitsteams haben eine solide Grundlage geschaffen: einen zentralen Identitätsanbieter (IdP) zur Durchsetzung von Single Sign-On (SSO) und Multifaktor-Authentifizierung (MFA), Endpunktschutz zur Sicherung von Geräten und in vielen Fällen Privileged Access Management (PAM) zur Regelung des erweiterten Zugriffs. Diese Kontrollen bilden eine entscheidende Grundlage für moderne Sicherheitsprogramme, indem sie die Angriffsfläche verringern, die Authentifizierung stärken und hochgradig gefährdete Super-Admin-Konten schützen. Im Allgemeinen funktionieren sie wie vorgesehen.

Die Herausforderung besteht darin, dass sich die Umgebung dieser Tools verändert hat. Die moderne Arbeitswelt hat mehr Apps, mehr Identitäten und mehr Anmeldungsmöglichkeiten, als herkömmliche Identitätskontrollen abdecken konnten.

Die heutige Realität sieht folgendermaßen aus:

• SaaS- und KI-Ausbreitung: Teams übernehmen Tools schneller, als die IT sie bewerten, genehmigen und einführen kann. Schatten-IT wird zur Normalität, und der „offizielle“ Stack ist selten der vollständige Stack.

• Mehr Identitätstypen: Der Zugriff geschieht nicht länger nur von „Mitarbeiter zu App“. Dazu gehören Auftragnehmer, gemeinsam genutzte Konten, Servicekonten, Automatisierung und KI-Agenten, die einen geregelten Zugriff auf Zugangsdaten und Daten benötigen. Auch in ausgereiften Umgebungen bleiben Zugangsdaten einer der am häufigsten ausgenutzten Angriffspfade.

• Mehr Zugriffswege: Nutzer melden sich von privaten Browsern, nicht verwalteten Geräten, nicht verwalteten Apps und Build-Pipelines aus an. Dadurch entstehen mehr Bereiche, in denen Anmeldedaten gespeichert werden, verloren gehen und wiederverwendet werden können.

Das verursacht die Access-Trust-Lücke: Vielleicht verfügst du über starke Kontrollen für die Apps und Nutzer, die du sehen kannst, aber die moderne Arbeit hat eine lange Reihe von Identitäten, Apps und Zugangsdaten eingeführt, die außerhalb dieser Kontrollen liegen. Die Leute erledigen ihre Arbeit weiterhin, aber sie tun es durch Umgehungen, die Risiken erhöhen und das Vertrauen in die Prüfung verringern.

The gap: What traditional tools don’t fully cover

SSO, IAM und PAM sind unerlässlich, aber jedes ist für spezifische Zugriffsmodelle konzipiert. Das Problem ist nicht, dass diese Werkzeuge versagen. Es liegt daran, dass sie nicht dafür ausgelegt waren, jedes Anmeldeinformations- und Zugriffsszenario in einer SaaS-orientierten, KI-gestützten Organisation zu steuern.

Wo die Lücken am häufigsten auftreten:

• SSO-Abdeckung endet bei der Föderation. Viele Apps werden aufgrund von Zeit und Komplexität, fehlender SAML/OIDC-Unterstützung, Geschäftsteams, die Tools direkt kaufen oder konkurrierenden Prioritäten nie föderiert. Wenn eine App nicht in SSO ist, wird trotzdem eine sichere Methode benötigt, um den Zugriff darauf zu verwalten.

• IAM kann Konten sehen, aber nicht das Verhalten der Zugangsdaten. IAM kann dir zwar anzeigen, wer Zugriff hat, aber dich häufig nicht darüber informieren, ob die Zugangsdaten schwach sind, wiederverwendet werden, in Browsern gespeichert sind oder informell innerhalb eines Teams weitergegeben werden.

• PAM ist oft zu schwer für den täglichen Zugriff. PAM ist am besten für Hochrisikosysteme und privilegierte Sitzungen geeignet. Aber viele tägliche Zugriffsanforderungen eignen sich nicht für dieses Modell, was besonders für SaaS-Adminkonten, gemeinsam genutzten Anbieter-Anmeldungen und Situationen gilt, in denen „jemand jetzt sofort Zugriff benötigt“. Wenn sich die Nutzung von Tools kompliziert und schwierig anfühlt, werden sie umgangen.

Das Ergebnis ist ein bekanntes Muster: Eine Organisation kann über „gute“ Identitätskontrollen verfügen und dennoch nicht verwaltete Zugangsdaten in Browsern, Spreadsheets, Chat-Verläufen und gemeinsam genutzten Posteingängen haben. Dort sammeln sich Risiken an und dort verursachen Audits und Vorfalluntersuchungen Kopfzerbrechen.

Where 1Password Enterprise Password Manager (EPM) fits

1Password Enterprise Password Manager (EPM) ist die Sicherheitsschicht für Zugangsdaten, von der die Identitätssicherheit auf die Zugriffspfade erweitert wird, die dein IdP und dein PAM nicht vollständig abdecken können.

Im Gegensatz zu verbraucherorientierten Passwortmanagern oder leichtgewichtigen Vault-Tools arbeitet EPM als eine geregelte Erweiterung der Identitätsarchitektur. Es setzt zentralisierte Richtlinien durch, integriert sich über SSO und SCIM in den IdP-Lebenszyklus, stellt revisionsfähige Telemetrie für das SIEM bereit und unterstützt sowohl menschliche als auch maschinelle Zugangsdaten. Dadurch verlagert sich das Zugangsdaten-Management von der Anwenderfreundlichkeit zur Unternehmenskontrolle. Es schließt die Zugangsdaten-Lücken, die diese Tools hinterlassen, ohne Teams zur Neustrukturierung ihrer Identitätsarchitektur zu zwingen.

EPM trägt zur Sicherung folgender Aspekte bei:

• Die vielen Apps außerhalb von SSO: EPM schützt Anmeldungen bei Apps, die heute nicht verbunden sind, nicht verbunden werden können oder niemals für die Föderation priorisiert werden.

• Gemeinsamer und teambasierter Zugriff: EPM ermöglicht die sichere Weitergabe von Zugangsdaten, während gleichzeitig Verantwortlichkeit und Überprüfbarkeit beibehalten werden.

• Nicht-menschliche und maschinelle Zugangsdaten: EPM sichert API-Schlüssel, Servicekonten, Token, CI-CD-Geheimnisse, Automatisierung-Workflows und KI-Agenten. Es bietet Sicherheitsteams zentralisierte Richtlinien und Überprüfbarkeit, ohne die Entwickler zu komplexen, Ticket-basierten PAM-Workflows zu zwingen.

• Zugriff für Entwickler und DevOps: EPM vereinfacht den sicheren Zugriff auf Infrastruktur, Cloud-Konsolen, Datenbanken und interne Tools, die von Technikteams verwendet werden. Anstatt schwergewichtige Workflows für den privilegierten Zugriff einzuführen, wird das geregelte Zugangsdatenmanagement in die Tools und Prozesse eingebunden, die Entwickler bereits verwenden, um Reibung zu verringern und gleichzeitig die Unternehmenskontrolle aufrechtzuerhalten.

• Skalierte Zugangsdaten-Governance: EPM ersetzt die ad hoc-Speicherung und das Weitergeben von Zugangsdaten durch zentrale Kontrollen, einheitliche Richtlinien und messbare Sicherheitspraktiken.

Einfach ausgedrückt: Das IdP regelt Identitäten und den föderierten Zugriff. PAM regelt die privilegierten Sitzungen mit dem höchsten Risiko. EPM regelt die Zugangsdaten dazwischen: in täglichen Workflows, SaaS-Apps und moderner Automatisierung, die herkömmliche Tools nicht vollständig erreichen.

What makes EPM different from browser-based or consumer password managers?

Im Gegensatz zu verbraucherorientierten Passwortmanagern oder einfachen Tools für Team-Vaults fungiert 1Password Enterprise Password Manager als eine kontrollierte Erweiterung der Identitätsarchitektur.

EPM lässt sich in dein IdP zur Durchsetzung von SSO und MFA integrieren, passt sich durch automatisierte Bereitstellung und den Entzug von Zugriffsberechtigungen an die Lebenszyklusprozesse an und wendet zentralisierte Richtlinien für die Erstellung, Speicherung und Weitergabe von Zugangsdaten an. Es bietet benannte Verantwortlichkeit für gemeinsamen Zugriff, detaillierte Prüfpfade und Ereignissichtbarkeit, die sich in das SIEM und Workflows für den Sicherheitsbetrieb integrieren lassen.

Über die menschlichen Anmeldungen hinaus unterstützt EPM außerdem API-Schlüssel, Token und andere nicht menschliche Zugangsdaten. Mit anderen Worten: die Governance wird auf Automatisierung, CI/CD-Pipelines und neue KI-gestützte Workflows erweitert.

Das Ergebnis ist nicht nur die Speicherung von Passwörtern, sondern auch eine unternehmensgerechte Governance von Zugangsdaten, die geringste Berechtigungen, Revisionssicherheit und Zero Trust unterstützt.

How 1Password works with your existing stack (SSO, PAM, SIEM, developer and cloud tools, etc.)

EPM wurde als eine ergänzende Schicht zur Anpassung an moderne Sicherheit-Stacks entwickelt. Es unterstützt Teams bei der Erweiterung der Abdeckung und der Reduzierung von Zugangsdatenrisiken und maximiert gleichzeitig den Wert der bereits vorhandenen Tools.

Mit SSO und deinem IdP

• EPM sichert den Zugriff auf Apps, die sich außerhalb von SSO befinden, daher ist „nicht in SSO“ nicht gleichbedeutend mit „nicht geregelt“.

• Es verringert den Druck, Föderationsprojekte zu beschleunigen, nur um das Passwortrisiko zu beseitigen.

• Es bietet ein einheitliches Zugriffserlebnis in föderierten und nicht föderierten Anwendungen, was Umgehungslösungen reduziert.

Mit IAM und Lebenszyklus-Prozessen

• EPM unterstützt die Onboarding- und Offboarding-Prozesse für Apps weiter, die nicht im IdP vorhanden sind.

• Es senkt das Risiko von „verwaistem Zugriff“, wenn gemeinsam genutzte Zugangsdaten einen Rollenwechsel oder das Offboarding überdauern.

• Es hilft, Zugriffs-Workflows zu operationalisieren, ohne zusätzlichen manuellen Aufwand zu verursachen.

Mit PAM

• EPM ergänzt PAM durch die Abdeckung täglicher Zugangsszenarien, wenn PAM oft zu schwer oder zu komplex ist.

• Es schützt gemeinsame Admin- und Entwickler-Zugangsdaten, Anbieterkonten und betriebliche Anmeldungen, die weiterhin Kontrolle und Nachvollziehbarkeit erfordern.

• Es trägt dazu bei, die Ausbreitung von privilegierten Zugangsdaten zu reduzieren, da PAM auf die Systeme mit dem höchsten Risiko fokussiert bleibt und gleichzeitig die gesamte Gefährdung verringert wird.

Mit SIEM und Sicherheitsoperationen

• EPM fügt eine Sichtbarkeit mit dem Fokus auf Zugangsdaten hinzu, die vielen Stacks fehlt.

• Es bietet revisionssicheres Reporting und Verantwortlichkeit für gemeinsamen Zugriff.

• Es bietet einen besseren Untersuchungskontext bei Vorfällen mit kompromittierten Zugangsdaten oder verdächtigen Zugriffsmustern.

Mit Entwickler- und Cloud-Tools

• EPM unterstützt moderne Build- und Cloud-Umgebungen, in denen Zugangsdaten nicht nur von Menschen verwendet werden.

• Es unterstützt die Sicherung von Geheimnissen, Token und Infrastruktur-Zugangsdaten, die CI/CD und Automatisierung antreiben.

• Es reduziert die Verbreitung von Zugangsdaten in Repositorys, Skripten, Tickets und weitergegebenen Dokumenten.

• Es unterstützt die Vorbereitung auf Workflows von KI-Agenten, die einen geregelten Zugriff auf Zugangsdaten und Daten voraussetzen.

Why this matters for organizations

Zugangsdatenlücken sind nicht nur ein technisches Problem. Sie verursachen tatsächliche Geschäftsrisiken, operative Belastung und Befürchtungen hinsichtlich Audits. EPM unterstützt Organisationen bei der Verbesserung von Sicherheitsergebnissen und verbessert gleichzeitig die Arbeitsweise.

Sicherheitsergebnisse

• Verringerte Gefährdung durch Angriffe, die auf Zugangsdaten basieren, da die Erstellung, Speicherung, Weitergabe und Verwendung von Zugangsdaten gestärkt werden.

• Weniger nicht verwaltete Zugangsdaten, die sich in Browsern und informellen Kanälen befinden.

• Stärkere Verantwortlichkeit und Nachvollziehbarkeit für den gemeinsamem Zugriff.

• Bessere Bereitschaft für die Ära der KI, in der Token, Automatisierung und Maschinenidentitäten das Identität-Perimeter erweitern.

Geschäftsergebnisse

• Schnellerer Zugriff ohne riskante Umgehungen, die Teams später ausbremsen.

• Weniger IT-Belastung durch Passwortzurücksetzungen, Zugriffsanfragen und das Chaos gemeinsamer Anmeldungen.

• Einheitlichere Governance der langen Reihe der Apps, auch wenn die SSO-Abdeckung unvollständig ist.

• Mehr Vertrauen in Audits – ohne zusätzliche Tools oder zusätzliches Personal.

EPM verschiebt den Fokus von der Frage „Fügen wir ein weiteres Tool hinzu?“ zu „Erweitern wir die Abdeckung auf die Lücken, die unsere aktuellen Tools nicht adressieren?“

When teams typically add EPM

Teams führen EPM meistens dann ein, wenn sie ein wiederkehrendes Muster erkennen: Sie haben in Identität- und Zugangskontrollen investiert, aber das Risiko von Zugangsdaten tritt weiterhin außerhalb dieser Kontrollen auf.

„Wir haben SSO, aber nicht alles ist abgedeckt“

• Viele Apps sind nicht föderiert und werden es vielleicht auch niemals sein.

• EPM sichert den Zugriff auf nicht-SSO-Apps, so endet die Identitätssicherheit nicht an der IdP-Grenze.

• Es ermöglicht Teams die Abdeckung sofort zu verbessern und gleichzeitig ihre SSO-Roadmap weiterzuentwickeln.

„Passwörter werden immer noch in Browsern gespeichert“

• Die Speicherung im Browserspeicher ist praktisch, aber das ist keine Governance.

• EPM ersetzt die unkontrollierte Verbreitung von browserbasierten Zugangsdaten durch zentralisierte Speicherung, Kontrolle und Richtliniendurchsetzung.

• Es standardisiert sicheres Verhalten auf allen Geräten und in allen Browsern und reduziert Wiederverwendung und versehentliche Datenlecks.

„Wir teilen Zugangsdaten, die wir nicht teilen sollten“

• Gemeinsame Zugangsdaten sind üblich, besonders für SaaS-Admin-Konten, Anbieterportale und Team-Tools.

• EPM ermöglicht sicheres Teilen mit den richtigen Zugriffskontrollen und Nachvollziehbarkeit.

• Es ersetzt risikoreiche Methoden wie Tabellenkalkulationen, Chatnachrichten und gemeinsam genutzte Postfächer.

„PAM ist für den täglichen Gebrauch zu schwer“

• PAM ist leistungsstark, aber viele tägliche Zugriffsanforderungen passen nicht in ein Modell für privilegierte Sitzungen mit hoher Reibung.

• EPM bietet eine leichte, anwenderfreundliche Methode, um tägliche privilegierte Zugangsdaten zu sichern.

• Es reduziert die Wahrscheinlichkeit, dass Teams Kontrollen umgehen, nur damit die Arbeit weitergeht.

„Wir haben keinen Einblick in Sicherheitspraktiken für Zugangsdaten“

• Wenn man schwache, wiederverwendete oder gemeinsame Zugangsdaten nicht sehen kann, kann man das Risiko nicht reduzieren.

• Mit EPM werden die Sicherheitspraktiken für Zugangsdaten sichtbar und regelbar. So können Teams Verbesserungen im Laufe der Zeit messen.

• Dies wird häufig zu einem entscheidenden Faktor für die interne Abstimmung, da es das Zugangsdatenrisiko in konkrete, umsetzbare Erkenntnisse übersetzt.

Organisationen haben viel in Identität, SSO und privilegierten Zugang investiert. Angreifer nutzen jedoch weiterhin Zugangsdaten aus, die sich außerhalb dieser Kontrollen befinden. Die Frage ist nicht länger, ob man Identitätstools implementiert hat, sondern ob diese die moderne Arbeitswelt vollständig widerspiegeln. 1Password Enterprise Password Manager erweitert die Governance auf die lange Reihe der Apps, gemeinsamen Zugriffen und Automatisierung, die herkömmliche Tools nicht vollständig erreichen können. Es senkt das Risiko, stärkt das Vertrauen bei Audits und ermöglicht es Teams, schneller voranzukommen, ohne dabei die Kontrolle zu verlieren.