Aktuelles, Experten - geschrieben von dp am Montag, November 21, 2022 11:51 - noch keine Kommentare
Login via Single-Sign-On birgt Gefahren für Datensicherheit und -schutz
Vordergründigen Vorteilen von Single-Sign-On für Verbraucher stehen zahlreiche Bedrohungen gegenüber
[datensicherheit.de, 21.11.2022] Die Verbraucherzentrale NRW warnt in ihrer aktuellen Stellungnahme vor dem sogenannten Single-Sign-On, d.h. vor dem Login über Social-Media-Accounts: Viele Internetshops, Plattformen und Apps bieten die Möglichkeit, sich mit einem Social-Media-Account, Google- oder Amazon-Konto zu registrieren (s. „Weiter mit Facebook“, „Weiter mit Google“ etc.). Die vordergründigen Vorteile liegen auf der Hand: Keine neue Registrierung, keine zusätzliche Angabe von Daten, kein lästiges Erstellen und Merken eines weiteren Passworts. „Der Komfort birgt allerdings auch Risiken”, betont Ayten Öksüz, Datenschutzexpertin bei der Verbraucherzentrale NRW, und führt aus: „Wenn das Passwort für den eigenen Social-Media-Account in die falschen Hände gerät, erhalten Dritte Zugang zu allen Seiten, die mit diesem Account genutzt werden. Außerdem kann der Anbieter des Benutzerkontos umfassende Daten darüber sammeln, was die Personen auf anderen Internetseiten machen.”
Login per Single-Sign-On als Generalschlüssel
Viele Web-Shops, Plattformen und Apps erfordern für die Nutzung eine einmalige Registrierung, wofür in der Regel eine E-Mail-Adresse und ein Passwort benötigt werden. Manchmal müssen auch noch weitere persönliche Angaben gemacht werden. „Als äußerst praktisch erscheint es, wenn der Seitenbetreiber stattdessen oder zusätzlich die Möglichkeit bietet, sich mit einem anderen, bereits bestehenden Konto einzuloggen. Das kann zum Beispiel ein Social-Media-Account von Facebook oder ein Google- oder Amazon-Konto sein, womit auch gleich bezahlt werden kann“, so Öksüz. Hierbei spreche man im weitesten Sinne von Single-Sign-On: Das Benutzerkonto diene dann als eine Art Generalschlüssel für den Zugang zu anderen Diensten.
Missbrauch der Login-Option per Single-Sign-On
„Anfang Oktober informierte Facebook darüber, dass Kriminelle mit mehr als 400 Apps für ,Android’ und ,iOS’ die Login-Daten von ,facebook’-Mitgliedern gestohlen hätten“, berichtet Single-Sign-On. Diese hätten die Möglichkeit „Login mit Facebook“ angezeigt, über die man sich vermeintlich mit seinem „facebook“-Account habe anmelden können. „Allerdings waren es Phishing-Formulare, die die eingegebenen Anmeldedaten und Passwörter direkt an die Kriminellen geschickt haben.“ Die hätten damit die „facebook“-Konten der Betroffenen übernehmen können. Wie bei einem Generalschlüssel für ein Haus, könne der Schaden beim Verlust eines Single-Sign-On-Account-Passworts besonders groß werden. Kriminelle hätten dann leichtes Spiel. „Wenn sie das eine Passwort kennen, erhalten sie überall Zugriff“, warnt Öksüz.
Single-Sign-On auch aus Sicht des Datenschutzes bedenklich
Unabhängig von Fragen der Sicherheit sei die Anmeldung per Single-Sign-On auch aus Sicht des Datenschutzes bedenklich. So erhielten Anbieter des Single-Sign-On oftmals Informationen aus dem öffentlichen Profil der Kunden. Öksüz stellt klar: „Das sind im Zweifel mehr Daten als bei einer regulären Registrierung erforderlich gewesen wären.“ Gleichzeitig sammelten Facebook, Google usw. Daten über das Nutzerverhalten auf all jenen Webseiten, auf denen sich Nutzer mit ihrem Profil anmelden. Aus diesen Informationen könnten umfassende persönliche Profile gebildet werden, welche dann auch Werbezwecken dienten. Das Problem laut Öksüz: „Die zielgerichtete Werbung führt nicht automatisch zum besten und günstigsten Angebot.“
Single-Sign-On beeinflusst Social-Media-Profil
Eine weitere Gefahr bestehe darin, „dass auf dem eigenen Social-Media-Profil Dinge geschehen, von denen man nichts mitbekommt“. Denn um das Login auf einer anderen Internetseite nutzen zu können, werde auf „facebook“ oder „Google“ eine entsprechende App freigeschaltet. Einige davon verlangten weitreichende Rechte, etwa im Namen der Nutzer unbemerkt Dinge zu „liken“ oder zu posten. „Die Rechte werden bei der Einrichtung des Logins aufgelistet. Wichtig ist es dabei, jeden Punkt zu lesen und (falls möglich) einzelne Rechte durch Wegklicken kleiner Haken zu entfernen“, rät Öksüz. Ferner empfiehlt sie: „Ist das bei Rechten, die man nicht erlauben will, nicht möglich, bleibt nur eines: Den Login für die entsprechende Seite nicht zu nutzen und die Einrichtung mit einem Klick auf ,Abbrechen’ zu beenden.“
Login per Single-Sign-On nicht nutzen, um möglichst wenige persönliche Daten weiterzugeben
„Wer möglichst wenig persönliche Daten weitergeben möchte, sollte den Login per Single-Sign-On nicht nutzen“, unterstreicht Öksüz. Wer indes auf den Komfort nicht verzichten möchte, sollte das entsprechende Benutzerkonto besonders gut absichern: „Dazu gehört ein starkes Passwort, das für kein anderes Konto genutzt wird.“ Idealerweise sichere man seine Konten soweit möglich auch noch über eine Zwei-Faktor-Authentifizierung ab. Login bzw. bestimmte Aktionen, wie die Bestätigung einer Zahlung, klappten dann erst durch einen zweiten Schritt – etwa die Eingabe einer per SMS erhaltenen PIN oder über die Bestätigung über eine spezielle App auf dem Smartphone.
Weitere Informationen zum Thema:
verbraucherzentrale Nordrhein-Westfalen
Sicher im Internet – Handy, Tablet und PC schützen
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren