Viele Internetshops, Plattformen und Apps bieten die Möglichkeit, sich mit einem Social-Media-Account, Google- oder Amazon-Konto zu registrieren. Die Vorteile liegen auf der Hand: Keine neue Registrierung, keine zusätzliche Angabe von Daten, kein lästiges Erstellen und Merken eines weiteren Passworts. „Der Komfort birgt allerdings auch Risiken”, sagt Ayten Öksüz, Datenschutzexpertin bei der Verbraucherzentrale NRW.
„Wenn das Passwort für den eigenen Social Media Account in die falschen Hände gerät, erhalten Dritte Zugang zu allen Seiten, die mit diesem Account genutzt werden. Außerdem kann der Anbieter des Benutzerkontos umfassende Daten darüber sammeln, was die Personen auf anderen Internetseiten machen.”
Expertin Ayten Öksüz erklärt die Gefahren des Single-Sign-On und gibt Tipps, wie Verbraucher:innen ihre Daten schützen können.
- So funktioniert der Single-Sign-On
Viele Online-Shops, Plattformen und Apps erfordern für die Nutzung eine einmalige Registrierung. Dafür werden in der Regel eine E-Mail-Adresse und ein Passwort benötigt. Manchmal müssen auch weitere persönliche Angaben gemacht werden. Als äußerst praktisch erscheint es, wenn der Seitenbetreiber stattdessen oder zusätzlich die Möglichkeit bietet, sich mit einem anderen, bereits bestehenden Konto einzuloggen. Das kann zum Beispiel ein Social Media Account von Facebook oder ein Google- oder Amazon-Konto sein, womit auch gleich bezahlt werden kann. Hierbei spricht man im weitesten Sinne von Single-Sign-On: Das Benutzerkonto dient dann als Generalschlüssel für den Zugang zu anderen Diensten. - So nutzen Kriminelle die Login-Option
Anfang Oktober informierte Facebook darüber, dass Kriminelle mit mehr als 400 Apps für Android und iOS die Login-Daten von Facebook-Mitgliedern gestohlen hätten. Sie zeigten die Möglichkeit „Login mit Facebook“ an, über die man sich vermeintlich mit seinem Facebook-Account anmelden konnte. Allerdings waren es Phishing-Formulare, die die eingegebenen Anmeldedaten und Passwörter direkt an die Kriminellen geschickt haben. Die konnten damit die Facebook-Konten der Betroffenen übernehmen. Wie bei einem Generalschlüssel für ein Haus, kann der Schaden beim Verlust eines Single-Sign-On-Account-Passworts besonders groß werden. Kriminelle haben dann leichtes Spiel. Wenn sie das eine Passwort kennen, erhalten sie überall Zugriff. - So sammeln Anbieter umfassend Nutzerdaten
Unabhängig von Fragen der Sicherheit, ist die Anmeldung per Single-Sign-On auch aus Sicht des Datenschutzes bedenklich. So erhalten Anbieter des Single-Sign-On oftmals Informationen aus dem öffentlichen Profil der Kund:innen. Das sind im Zweifel mehr Daten als bei einer regulären Registrierung erforderlich gewesen wären. Gleichzeitig sammeln Facebook, Google und Co. Daten über das Nutzerverhalten auf all jenen Seiten, auf denen sich Nutzer:innen mit ihrem Profil anmelden. Aus diesen Informationen können umfassende persönliche Profile gebildet werden, die auch Werbezwecken dienen. Das Problem: Die zielgerichtete Werbung führt nicht automatisch zum besten und günstigsten Angebot. - So beeinflusst Single-Sign-On das Social-Media-Profil
Eine weitere Gefahr besteht darin, dass auf dem eigenen Social-Media-Profil Dinge geschehen, von denen man nichts mitbekommt. Denn um den Login auf einer anderen Internetseite nutzen zu können, wird auf Facebook oder Google eine entsprechende App freigeschaltet. Einige davon verlangen weitreichende Rechte, etwa im Namen der Nutzer:innen unbemerkt Dinge zu liken oder zu posten. Die Rechte werden bei der Einrichtung des Logins aufgelistet. Wichtig ist es dabei, jeden Punkt zu lesen und (falls möglich) einzelne Rechte durch Wegklicken kleiner Haken zu entfernen. Ist das bei Rechten, die man nicht erlauben will, nicht möglich, bleibt nur eines: Den Login für die entsprechende Seite nicht zu nutzen und die Einrichtung mit einem Klick auf „Abbrechen“ zu beenden. - So schützen Verbraucher:innen ihre Daten
Wer möglichst wenig persönliche Daten weitergeben möchte, sollte den Login per Single-Sign-On nicht nutzen. Wer auf den Komfort hingegen nicht verzichten will, sollte das entsprechende Benutzerkonto besonders gut absichern. Dazu gehört ein starkes Passwort, das für kein anderes Konto genutzt wird. Bestenfalls sichert man seine Konten soweit möglich auch noch über eine Zwei-Faktor-Authentifizierung ab. Der Login bzw. bestimmte Aktionen, wie die Bestätigung einer Zahlung, klappen dann erst durch einen zweiten Schritt – etwa die Eingabe einer PIN, die man per SMS erhält oder über die Bestätigung über eine spezielle App auf dem Smartphone.
www.verbraucherzentrale.nrw