Deutschland
Datensicherheit

Einloggen mit Facebook oder Google-Konto: Vorsicht bei "Single-Sign-On" - diese Gefahren lauern

Einloggen mit Facebook oder dem Google-Konto im Internet: Single-Sign-On ist bequem, aber es lauern Gefahren. Wer seine Daten schützen will, sollte sich die Nutzung dreimal überlegen.
27 Prozent der Internet-User vertrauen einem Single-Sign-on-Dienst.
27 Prozent der Internet-User vertrauen einem Single-Sign-on-Dienst. Foto: iPhone, App, Handy, Smartphone, Facebook Symbolfoto: MichaelJBerlin/Adobe Stock (290210505)
  • Wie funktioniert der Single-Sign-On?
  • Die Sicherheitslücke bei Facebook
  • Ein Viertel der Internet-User nutzen inzwischen SSO
  • So schützen User ihre Daten

Single-Sign-On (SSO) gilt als bequemer Weg für den Zugriff auf eine Vielzahl von Accounts. Plattformen wie Facebook-Login, Login mit Apple, Google, LinkedIn oder netID bieten diesen Service. Aber dieser ist alles andere als uneigennützig.

Wie funktioniert der Single-Sign-On?

Single-Sign-on, oder kurz SSO, ist nicht allen Internetnutzern vertraut, obwohl fast alle User*innen damit schon einmal konfrontiert worden sind. Der Hintergrund: Bei vielen Online-Shops, Plattformen und Apps musst du dich für die Nutzung registrieren. Dafür notwendig ist deine E-Mail-Adresse und ein Passwort. Einige Anbieter verlangen darüber hinaus weitere Daten: Adresse, Geschlecht etc. 

Gerade bei den Passwörtern stellen sich Fragen: Nutze ich immer dasselbe oder muss ich für jeden Anbieter ein neues generieren? Sehr praktisch ist es deshalb, wenn der Seitenbetreiber die Möglichkeit bietet (meistens zusätzlich zu einer neuen Registrierung), dich mit einem anderen, bereits bestehenden Konto einzuloggen. SSO ist eine Strategie der Authentifizierung, die es User*innen ermöglicht, auf mehrere Webseiten zuzugreifen und dafür nur einmal Anmeldedaten einzugeben.

Die bekanntesten SSO-Anbieter sind Facebook-Login, Login mit Apple, Google, LinkedIn, Amazon, Apple und netID. Eine passende Analogie, die die Verbraucherzentrale (VZ) NRW ins Spiel gebracht hat, vergleicht das Benutzerkonto mit einem Generalschlüssel, der dir den Zugang zu allen möglichen Diensten und Websites verschafft.

Die Sicherheitslücke bei Facebook

Die Vorteile liegen auf der Hand: keine neue Registrierung, keine zusätzliche Angabe von Daten, kein lästiges Erstellen und Merken eines weiteren Passworts. Du ahnst aber schon, was für ein Problem mit diesem Service verbunden ist: Missbrauch und mangelnder Datenschutz. Ayten Öksüz, Datenschutzexpertin bei der VZ, beschreibt das so: "Wenn das Passwort für den eigenen Social Media Account in die falschen Hände gerät, erhalten Dritte Zugang zu allen Seiten, die mit diesem Account genutzt werden. Außerdem kann der Anbieter des Benutzerkontos umfassende Daten darüber sammeln, was die Personen auf anderen Internetseiten machen."

So haben Sicherheitsforscher schon Anfang des Jahres eine Schwachstelle im SSO-System von Facebook entdeckt. Diese ermöglicht es Angreifer*innen, Accounts auf Webseiten Dritter zu kapern. Hacker brauchen dich nur dazu bringen, auf eine manipulierte URL zu klicken. Dies sorgt dann dafür, dass alle Seiten, bei denen du dich mit Facebooks SSO registriert hat, mit einem Facebook-Account verbunden sind, der unter der Kontrolle der Angreifer steht. Diese erhalten so einen direkten Zugang zu persönlichen Informationen, privaten Nachrichten und andere Daten, die bei verschiedensten Seiten hinterlegt sind. 

Über diese Sicherheitslücke berichtet ebenfalls die VZ. Anfang Oktober hätte Facebook darüber informiert, dass Kriminelle mit mehr als 400 Apps für Android und iOS die Login-Daten von Facebook-Mitgliedern gestohlen hätten. Die Masche: User bekämen die Möglichkeit zum "Login mit Facebook" angezeigt, über die man sich vermeintlich mit seinem Facebook-Account anmelden konnte. In Wirklichkeit waren es Phishing-Formulare, die die eingegebenen Anmeldedaten und Passwörter direkt an die Kriminellen weiterleiteten. Die Hacker haben dann leichtes Spiel. Wenn sie das eine Passwort kennen, erhalten sie überall Zugriff.

Ein Viertel der Internet-User nutzen inzwischen SSO

web.de hat in einer Umfrage unter Netz-Usern festgestellt, dass es viele Ängste bei der Sicherheit gibt. Die Mehrheit der Deutschen befürchtet Identitätsdiebstahl. Größte Sorge: Kriminelle könnten Einkäufe (72 Prozent) und Vertragsabschlüsse (63 Prozent) im eigenen Namen durchführen. Viele sorgen sich, dass Fremde die gestohlene Identität nutzen, um neue Konten zu eröffnen (37 Prozent) oder Freunde und Bekannte um Geld zu betrügen (27 Prozent). 

Diese Alpträume schrecken rund ein Viertel (27 Prozent) aber nicht davon ab, einem SSO-Dienst zu vertrauen. Eine besondere Rolle bei der Auswahl spielt allerdings die Herkunft des SSO-Anbieters: 48 Prozent der Befragten wollen einem Unternehmen aus Europa die eigenen Daten eher anvertrauen als einem Anbieter aus den USA oder China.

Bei sicheren Passwörtern haben viele User Nachholbedarf: 57 Prozent der Befragten verwenden ein und dasselbe Passwort für mehrere (52 Prozent) oder sogar alle (5 Prozent) Online-Accounts. Damit missachten sie die wichtigste Regel für sichere Passwörter. Gelingt es ein mehrfach genutztes Kennwort zu knacken, sind automatisch alle anderen Accounts offen wie ein Scheunentor.

So schützen User ihre Daten

Ayten Öksüz, Datenschutzexpertin der VZ, warnt vor Datensammel-Aktionen, die im Hintergrund ablaufen. So könnten auf dem eigenen Social-Media-Profil Dinge geschehen, von denen man nichts mitbekommt. Eine spezielle App der Anbieter macht es möglich: Um den Login auf einer anderen Internetseite nutzen zu können, wird diese auf Facebook oder Google freigeschaltet. Dem hast du aber zugestimmt, und zwar durch eine Reihe von Häkchen.

Die Zugangspunkte sind bei der Einrichtung des Logins aufgelistet. Wichtig ist dabei, dass du jeden Punkt liest und (falls möglich) einzelne Rechte durch Wegklicken entfernst. Ist das bei Punkten, die du nicht erlauben willst, nicht möglich, bleibt nur eines: den Login für die entsprechende Seite nicht zu nutzen und die Einrichtung mit einem Klick auf "Abbrechen" zu beenden.

Wer auf den Komfort von SSO nicht verzichten will, sollte das Benutzerkonto gut absichern. Dazu gehört ein starkes Passwort, das du für kein anderes Konto verwendest. Nutze ebenso die Zwei-Faktor-Authentifizierung. Das Login klappt damit nur durch zwei erfolgreiche Schritte: Du musst das richtige Passwort und eine PIN angeben, die du per SMS erhältst oder den Schritt über eine spezielle App auf dem Smartphone bestätigen. 

Fazit

Die komfortable Anmeldefunktion SSO auf Webseiten ist ein Sicherheitsrisiko. Wer sein persönliches Profil nicht für Werbezwecke zur Verfügung stellen will, sollte diesen Komfort nicht nutzen.