Risiko "Single Sign-on": Einloggen mit bestehendem Konto
Auf vielen Seiten im Internet können sich Nutzerinnen und Nutzer einfach mit dem Konto anmelden, das sie bei einem der großen Internetkonzerne ohnehin schon haben. Diese Komfortfunktion ist aber nicht uneigennützig.
Die Konzerne könnten nach so einer Single Sign-on (SSO) genannten Anmeldung über das bestehende Konto umfassende Daten darüber sammeln, was die Nutzerin oder der Nutzer auf der jeweiligen Seite macht, warnt die Verbraucherzentrale Nordrhein-Westfalen.
Viele Daten werden gesammelt
"Single Sign-on (SSO)" bezeichnet eine Anmeldemethode über ein bestehendes Konto
Bild: dpa
Zudem erhielten die Konzerne oftmals Informationen aus dem
öffentlichen Profil der Nutzerin oder des Nutzers. Das seien im
Zweifel mehr Daten als für eine reguläre Registrierung erforderlich
gewesen wären. Aus all diesen Informationen könnten umfassende
persönliche Profile gebildet werden, etwa zu Werbezwecken.
Doch damit nicht genug. Sollte das Passwort zu dem Konto, das man für SSO-Anmeldungen nutzt, in fremde Hände gelangen, hat man ein Problem. Dann haben Dritte nicht nur Zugang zu dem Konto bei dem jeweiligen Internetkonzern, sondern auch zu allen Seiten, bei denen man die Anmeldung per SSO über dieses Konto nutzt.
Wenn der Generalschlüssel abhanden kommt
Hinzu kommt, dass Angreifer gezielt auf die Jagd nach Konten gingen, die als Generalschlüssel genutzt werden. Ein Beispiel der Verbraucherschützerinnen: Anfang Oktober habe Facebook darüber informiert, dass Kriminelle mit Hilfe Hunderter Apps die Login-Daten von Facebook-Nutzerinnen und -nutzern gestohlen hätten.
Die Apps hätten die vermeintliche SSO-Option "Login mit Facebook" angezeigt. Die Opfer fütterten dann aber Phishing-Formulare, die die Anmeldedaten direkt weiterleiteten, sodass die Kriminellen die betroffenen Facebook-Konten übernehmen konnten.
Es kann auch sein, dass Internetseiten oder Dienste, bei denen man sich per SSO anmeldet, quasi im Gegenzug teils weitreichende Rechte innerhalb des SSO-Kontos einfordern. Im Zweifel bekommt man davon nichts mit, was beispielsweise zu ungewollten Likes oder Posts führen kann, erklären die Verbraucherschützer. Solche Rechte werden aber bei der Einrichtung eines SSO-Log-ins aufgelistet.
Rechte wegklicken oder gar nicht nutzen
Wenn man SSO trotzdem nutzen möchte, sei es hier wichtig, jeden Punkt zu lesen und die Häkchen bei den einzelnen Rechten wegzuklicken. Ist das bei Rechten, die man nicht gewähren möchte, nicht möglich, bleibt einem nur, SSO für die jeweilige Seite nicht zu nutzen und die Einrichtung abzubrechen.
Wer möglichst wenig persönliche Daten weitergeben möchte, sollte SSO nicht nutzen, rät die Verbraucherzentrale. Wer auf den Komfort nicht verzichten möchte, sollte das SSO-Konto besonders gut absichern. Dazu gehörten ein starkes Passwort, das für kein anderes Konto genutzt wird, und idealerweise auch eine aktive Zwei-Faktor-Authentifizierung.