"Single-Sign-On": Risiko bei Apps und Internetseiten

Stand:
"Login mit Facebook", "Login mit Google": Viele Internetshops, Plattformen und Apps bieten die Möglichkeit, sich zum Beispiel mit dem Social-Media-Account einzuloggen. Doch der Komfort kann auch Nachteile haben.
Ein PC-Monitor zeigt den Login-Bereich einer Internetseite mit Buttons für Facebook-Login, Google-Login und Anmeldung per E-Mail

Das Wichtigste in Kürze:

  • Wenn eine Internetseite oder App anbietet, dass Sie sich dort mit Benutzerkonten wie Facebook, Google oder Amazon (Amazon Payments) anmelden, machen Sie das nicht einfach so, "weil es bequem ist".
  • Informieren Sie sich z.B. in der Datenschutzerklärung darüber, welche Daten von Ihnen mit den Netzwerken ausgetauscht werden und wofür die Anbieter sie verwenden wollen.
  • Der Anbieter des Benutzerkontos erhält häufig Informationen darüber, wo Sie Ihren Login nutzen und was Sie auf den anderen Internetseiten machen.
On

Alltag im Internet: Sie surfen im Netz und finden ein Angebot, das Ihnen gefällt. Sie müssen sich aber hierfür erst mit ihren persönlichen Angaben registrieren. Als äußerst praktisch erscheint es, wenn der Seitenbetreiber Ihnen stattdessen die Möglichkeit bietet, sich mit einem anderen Konto einzuloggen. Das kann zum Beispiel Ihr Social-Media-Profil von Facebook oder Ihr Google- oder Amazon-Account sein – damit könnten Sie auch gleich bezahlen. Hierbei spricht man im weitesten Sinne auch von "Single-Sign-On": Das Benutzerkonto dient gleichsam als Generalschlüssel.

Die Vorteile liegen auf der Hand: Keine Registrierung, keine Angabe Ihrer Daten, kein lästiges Erstellen und Merken eines weiteren Passworts und kein weiterer Anbieter, dem Sie Ihre Kontodaten anvertrauen müssen. Doch der Komfort hat auch hohe Risiken.

So informierte Facebook im Oktober 2022 darüber, dass Kriminelle mit mehr als 400 Apps für Android und iOS die Login-Daten von Facebook-Mitgliedern gestohlen hätten. Sie zeigten die Möglichkeit "Login mit Facebook" an, über die man sich vermeintlich mit seinem Facebook-Account anmelden konnte. Allerdings waren es Phishing-Formulare, die die eingegebenen Anmeldedaten und Passwörter direkt an die Kriminellen geschickt haben. Die konnten damit die Facebook-Konten der Betroffenen übernehmen.

Wer den Schlüssel kennt, hat überall Zugriff

Auch die Nutzung des echten "Single-Sign-On"-Prinzips ist nicht ohne Risko. Wie bei einem Generalschlüssel für ein Haus, kann der Schaden beim Verlust eines "Single-Sign-On"-Account-Passworts besonders groß werden. Gerät Ihr Passwort für das eine Benutzerkonto in die falschen Hände, erhalten Dritte nicht nur Zugang zu Ihrem Benutzerkonto, sondern zu allen Seiten mit entsprechender Login-Möglichkeit. Das kann schnell passieren, z.B. auf Grund einer Phishing- oder Hackerattacke (siehe oben).

Ungleich höher ist das Risiko, wenn ein Anbieter Ihre Login-Daten nicht verschlüsselt speichert. Die Passwort-Diebe könnten dann auf Ihre Kosten im Internet einkaufen oder andere Straftaten begehen. Das ist vergleichbar damit, dass Sie generell auf allen Internetseiten den gleichen Benutzernamen und das gleiche Passwort verwenden würden.

Umso wichtiger ist es daher, dass Sie diese Benutzerkonten besonders gut absichern. Seien Sie hier vor allem achtsam bei der Wahl des guten Passworts und benutzen Sie ein einmaliges Passwort, was sie für kein anderes Benutzerkonto verwenden! Bestenfalls sichern Sie das Konto auch noch über eine so genannte Zwei-Faktor-Authentisierung ab. Der Login bzw. bestimmte Aktionen, wie die Bestätigung einer Zahlung, klappen dann neben dem Passwort erst durch einen zweiten Schritt – etwa die Eingabe einer PIN, die Ihnen per SMS oder spezieller App auf das Smartphone geschickt wird.

Bevor Sie für so ein Verfahren z.B. Ihre Handynummer angeben, sollten Sie sich darüber informieren, wie der Anbieter Ihre Nummer speichert und was er laut seiner Datenschutzerklärung außerdem damit macht.

Kommt es doch einmal zu einem Sicherheitsleck, handeln Sie besonders schnell:

  • Ändern Sie unverzüglich das Passwort des Accounts.
  • Prüfen Sie Ihren E-Mail-Account und Ihre Bankkonten auf mögliche ungewollte Zahlungsvorgänge.
  • Erstatten Sie ggf. auch Strafanzeige bei der Polizei oder Staatsanwaltschaft.

Anbieter können viele Daten von Ihnen sammeln

Unabhängig von der Sicherheit bietet ein solches "Generalschlüssel-Verfahren" weitere Risiken.

Durch das Einloggen mit einem solchen "Generalschlüssel"-Benutzerkonto könnten sämtliche Informationen über alles, was Sie auf anderen Seiten machen, beim Anbieter des Benutzerkontos zusammenlaufen. Möglicherweise erhält dieser dann umfassende Daten zu Ihren Vorlieben, Gewohnheiten und ihrem Einkaufsverhalten und kann diese Informationen für eine umfassende Profilbildung nutzen. Und nicht nur er: Forscher der Princeton-Universität haben beim Facebook-Login herausgefunden, dass neben dem eigentlichen Seitenbetreiber auch Drittanbieter auf die öffentlichen Infos des Facebook-Profils zugreifen können – ohne dass die Anwender das mitbekommen. Möglich sei das durch so genannte Scripts von Drittanbietern, die die entsprechende Internetseite enthält. Sie leiten die bei Facebook abgefragten Informationen an die Drittanbieter weiter.

Mit den Daten könnten Profile von Ihnen und Ihrem Verhalten über etliche Internetseiten hinweg erstellt werden. Werbung kann auf Ihre persönlichen Interessen zugeschnitten werden und Sie verpassen möglicherweise günstigere Angebote. Auch möglich ist eine individuelle Preisgestaltung: Kaufen Sie häufig teure Produkte ein, könnten Online-Shops die Preise speziell für Sie erhöhen. Je mehr Shops auf eine zentrale Datenbasis zugreifen können, desto häufiger könnten Sie am Ende draufzahlen.

Seien Sie sich daher über dieses Risiko im Klaren und informieren Sie sich im Zweifel vor der Nutzung eines solchen Accounts zum Einloggen bei anderen Internetangeboten über die genauen Datenschutzbedingungen der Anbieter.

Einfluss auf das Social-Media-Profil beachten

Eine weitere Gefahr besteht darin, dass auf dem eigenen Social-Media-Profil Dinge geschehen, von denen man nichts mitbekommt. Denn um den Login auf einer anderen Internetseite nutzen zu können, wird auf Facebook oder Google eine entsprechende Anwendung (App) freigeschaltet. Einige davon verlangen weitreichende Rechte, etwa im Namen des Nutzers unbemerkt Dinge zu liken oder zu posten. Die Rechte werden bei der Einrichtung des Logins aufgelistet.

Wichtig ist es dabei, jeden Punkt zu lesen und (falls möglich) einzelne Rechte durch Wegklicken kleiner Haken zu entfernen. Ist das bei Rechten, die man nicht erlauben will, nicht möglich, bleibt nur eines: Den Login für die entsprechende Seite nicht zu nutzen und die Einrichtung mit einem Klick auf "Abbrechen" zu beenden.

Welche Apps mit den Social-Media-Konten verbunden sind und welche Rechte Sie ihnen eingeräumt haben, können Sie in den Einstellungen herausfinden: dies sind die entsprechenden Links zu Facebook, Google und Twitter.

Grafische Darstellung der Möglichkeiten sich vor Cybercrime zu schützen

Sicher im Internet - Handy, Tablet und PC schützen

Cybercrime betrifft längst nicht mehr nur eine geringe Anzahl von Menschen. Wie Sie sich vor Datenklau, Viren und unsicheren Netzwerken schützen können, lesen Sie hier. 

Grillgut auf dem Grill

Abfallarme Kitafeste

Der Klassiker bei Sommerfesten: Grillen. Die Eltern bringen Salate und andere Leckereien mit. Das bietet die Möglichkeit neue Gerichte kennenzulernen und über Essen ins Gespräch mit den anderen Eltern zu kommen.
Oft wird zu viel gekocht und mitgebracht. Das führt zu Speiseresten, die hinterher im Müll landen. Daher finden Sie hier einige Tipps, sodass nach dem Fest keine Lebensmittel in die Mülltonne wandern müssen.
Foto von einer Hand, die eine Fernbedienung hält und auf einen Fernsehbildschirm richtet, auf dem ein Fußballspiel läuft

ARD und ZDF nur noch in HDTV empfangbar - Das können Sie jetzt tun

Ab 2025 wird die Ausstrahlung der öffentlich-rechtlichen Fernsehsender in Standardqualität eingestellt. Wir beantworten die wichtigsten Fragen und informieren, was Sie tun müssen, damit Ihr Fernsehbildschirm 2025 nicht schwarz wird.
Fernbedienung wird auf Fernseher gerichtet

Sammelklage wegen service-rundfunkbeitrag.de gegen SSS-Software Special Service GmbH

Die SSS-Software Special Service GmbH macht auf service-rundfunkbeitrag.de nicht ausreichend kenntlich, dass sie Geld für eigentlich kostenlosen Service verlangt. Der Verbraucherzentrale Bundesverband klagt vor dem OLG Koblenz und hat eine Sammelklage eingereicht. Betroffene können sich jetzt für die Klage beim Bundesamt für Justiz (BfJ) anmelden. Und im Erfolgsfall von der Klage profitieren.