|
09.12.2025
13:30 Uhr
|
Das Shared Signal Framework soll verdächtige Accountaktivitäten an alle verbundenen Dienste weiterleiten. Ein Muss für modernes Identity und Access Management.
Ist ein Account kompromittiert, war bisher jede verbundene Sicherheitsplattform auf sich allein gestellt, das Konto als verdächtig zu identifizieren und gegebenenfalls abzuschalten. Das soll sich nun ändern: Im September 2025 genehmigte die OpenID Foundation ihre Spezifikation des Shared Signal Frameworks (SSF), die den Echtzeitaustausch sicherheitsrelevanter Ereignisse zwischen vernetzten Systemen standardisiert. So lassen sich Signale und Events teilen – und fragmentierte Sicherheitsarchitekturen vereinheitlichen. Die Vision: ein "Security Event Mesh", das sich blitzschnell untereinander alarmiert, wenn ein einzelnes Sicherheitssystem anschlägt.
Konkrete Anwendungsfälle gibt es dabei genug: Ist ein Mitarbeiter beispielsweise in Salesforce, Google Workspace und Slack eingeloggt und wird dann kompromittiert, reicht eine erste Auffälligkeit, zum Beispiel in Okta, um daraufhin alle noch aktiven Sessions mit noch gültigen Credentials zu beenden. Denn SSF erleichtert vor allem den Widerruf von Zugängen für authentifizierte Benutzer.
SSF ist ein HTTP-basiertes Framework, das asynchrone Signale teilt – agnostisch gegenüber den verwendeten Authentifizierungs- und Autorisierungsschemata. Das Konzept basiert auf bestimmten JSON Web Tokens (JWT), den Security Event Tokens (SET). Wenn ein Identitätsanbieter (Identity Provider, IdP) ein Problem entdeckt, das Maßnahmen erfordert, generiert er solch ein SET. Das Token fungiert als sichere Nachricht, die beschreibt, was passiert ist, und enthält Details über die betroffenen Accounts von Menschen und Geräten, Mandanten in Multi-Tenant-Diensten oder auch Gruppen. Diese SETs verschickt der IdP dann an die Organisation.