Login via Single-Sign-On birgt Gefahren für Datensicherheit und -schutz

Vordergründigen Vorteilen von Single-Sign-On für Verbraucher stehen zahlreiche Bedrohungen gegenüber

[datensicherheit.de, 21.11.2022] Die Verbraucherzentrale NRW warnt in ihrer aktuellen Stellungnahme vor dem sogenannten Single-Sign-On, d.h. vor dem Login über Social-Media-Accounts: Viele Internetshops, Plattformen und Apps bieten die Möglichkeit, sich mit einem Social-Media-Account, Google- oder Amazon-Konto zu registrieren (s. „Weiter mit Facebook“, „Weiter mit Google“ etc.). Die vordergründigen Vorteile liegen auf der Hand: Keine neue Registrierung, keine zusätzliche Angabe von Daten, kein lästiges Erstellen und Merken eines weiteren Passworts. „Der Komfort birgt allerdings auch Risiken”, betont Ayten Öksüz, Datenschutzexpertin bei der Verbraucherzentrale NRW, und führt aus: „Wenn das Passwort für den eigenen Social-Media-Account in die falschen Hände gerät, erhalten Dritte Zugang zu allen Seiten, die mit diesem Account genutzt werden. Außerdem kann der Anbieter des Benutzerkontos umfassende Daten darüber sammeln, was die Personen auf anderen Internetseiten machen.”

Login per Single-Sign-On als Generalschlüssel

Viele Web-Shops, Plattformen und Apps erfordern für die Nutzung eine einmalige Registrierung, wofür in der Regel eine E-Mail-Adresse und ein Passwort benötigt werden. Manchmal müssen auch noch weitere persönliche Angaben gemacht werden. „Als äußerst praktisch erscheint es, wenn der Seitenbetreiber stattdessen oder zusätzlich die Möglichkeit bietet, sich mit einem anderen, bereits bestehenden Konto einzuloggen. Das kann zum Beispiel ein Social-Media-Account von Facebook oder ein Google- oder Amazon-Konto sein, womit auch gleich bezahlt werden kann“, so Öksüz. Hierbei spreche man im weitesten Sinne von Single-Sign-On: Das Benutzerkonto diene dann als eine Art Generalschlüssel für den Zugang zu anderen Diensten.

Missbrauch der Login-Option per Single-Sign-On

„Anfang Oktober informierte Facebook darüber, dass Kriminelle mit mehr als 400 Apps für ,Android’ und ,iOS’ die Login-Daten von ,facebook’-Mitgliedern gestohlen hätten“, berichtet Single-Sign-On. Diese hätten die Möglichkeit „Login mit Facebook“ angezeigt, über die man sich vermeintlich mit seinem „facebook“-Account habe anmelden können. „Allerdings waren es Phishing-Formulare, die die eingegebenen Anmeldedaten und Passwörter direkt an die Kriminellen geschickt haben.“ Die hätten damit die „facebook“-Konten der Betroffenen übernehmen können. Wie bei einem Generalschlüssel für ein Haus, könne der Schaden beim Verlust eines Single-Sign-On-Account-Passworts besonders groß werden. Kriminelle hätten dann leichtes Spiel. „Wenn sie das eine Passwort kennen, erhalten sie überall Zugriff“, warnt Öksüz.

Single-Sign-On auch aus Sicht des Datenschutzes bedenklich

Unabhängig von Fragen der Sicherheit sei die Anmeldung per Single-Sign-On auch aus Sicht des Datenschutzes bedenklich. So erhielten Anbieter des Single-Sign-On oftmals Informationen aus dem öffentlichen Profil der Kunden. Öksüz stellt klar: „Das sind im Zweifel mehr Daten als bei einer regulären Registrierung erforderlich gewesen wären.“ Gleichzeitig sammelten Facebook, Google usw. Daten über das Nutzerverhalten auf all jenen Webseiten, auf denen sich Nutzer mit ihrem Profil anmelden. Aus diesen Informationen könnten umfassende persönliche Profile gebildet werden, welche dann auch Werbezwecken dienten. Das Problem laut Öksüz: „Die zielgerichtete Werbung führt nicht automatisch zum besten und günstigsten Angebot.“

Single-Sign-On beeinflusst Social-Media-Profil

Eine weitere Gefahr bestehe darin, „dass auf dem eigenen Social-Media-Profil Dinge geschehen, von denen man nichts mitbekommt“. Denn um das Login auf einer anderen Internetseite nutzen zu können, werde auf „facebook“ oder „Google“ eine entsprechende App freigeschaltet. Einige davon verlangten weitreichende Rechte, etwa im Namen der Nutzer unbemerkt Dinge zu „liken“ oder zu posten. „Die Rechte werden bei der Einrichtung des Logins aufgelistet. Wichtig ist es dabei, jeden Punkt zu lesen und (falls möglich) einzelne Rechte durch Wegklicken kleiner Haken zu entfernen“, rät Öksüz. Ferner empfiehlt sie: „Ist das bei Rechten, die man nicht erlauben will, nicht möglich, bleibt nur eines: Den Login für die entsprechende Seite nicht zu nutzen und die Einrichtung mit einem Klick auf ,Abbrechen’ zu beenden.“

Login per Single-Sign-On nicht nutzen, um möglichst wenige persönliche Daten weiterzugeben

„Wer möglichst wenig persönliche Daten weitergeben möchte, sollte den Login per Single-Sign-On nicht nutzen“, unterstreicht Öksüz. Wer indes auf den Komfort nicht verzichten möchte, sollte das entsprechende Benutzerkonto besonders gut absichern: „Dazu gehört ein starkes Passwort, das für kein anderes Konto genutzt wird.“ Idealerweise sichere man seine Konten soweit möglich auch noch über eine Zwei-Faktor-Authentifizierung ab. Login bzw. bestimmte Aktionen, wie die Bestätigung einer Zahlung, klappten dann erst durch einen zweiten Schritt – etwa die Eingabe einer per SMS erhaltenen PIN oder über die Bestätigung über eine spezielle App auf dem Smartphone.

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen
Sicher im Internet – Handy, Tablet und PC schützen