Internetsicherheit

Risiko "Single Sign-on": Einloggen mit bestehendem Konto

Keine neue Regis­trie­rung, kein neues Pass­wort: Viele Seiten bieten das schnelle Anmelden mit einem Konto an, das man eh schon woan­ders hat. Doch das ist so proble­matisch wie komfor­tabel.

Auf vielen Seiten im Internet können sich Nutze­rinnen und Nutzer einfach mit dem Konto anmelden, das sie bei einem der großen Inter­net­kon­zerne ohnehin schon haben. Diese Komfort­funk­tion ist aber nicht unei­gen­nützig.

Die Konzerne könnten nach so einer Single Sign-on (SSO) genannten Anmel­dung über das bestehende Konto umfas­sende Daten darüber sammeln, was die Nutzerin oder der Nutzer auf der jewei­ligen Seite macht, warnt die Verbrau­cher­zen­trale Nord­rhein-West­falen.

Viele Daten werden gesam­melt

"Single Sign-on (SSO)" bezeichnet eine Anmeldemethode über ein bestehendes Konto "Single Sign-on (SSO)" bezeichnet eine Anmeldemethode über ein bestehendes Konto
Bild: dpa
Zudem erhielten die Konzerne oftmals Infor­mationen aus dem öffent­lichen Profil der Nutzerin oder des Nutzers. Das seien im Zweifel mehr Daten als für eine regu­läre Regis­trie­rung erfor­der­lich gewesen wären. Aus all diesen Infor­mationen könnten umfas­sende persön­liche Profile gebildet werden, etwa zu Werbe­zwe­cken.

Doch damit nicht genug. Sollte das Pass­wort zu dem Konto, das man für SSO-Anmel­dungen nutzt, in fremde Hände gelangen, hat man ein Problem. Dann haben Dritte nicht nur Zugang zu dem Konto bei dem jewei­ligen Inter­net­kon­zern, sondern auch zu allen Seiten, bei denen man die Anmel­dung per SSO über dieses Konto nutzt.

Wenn der Gene­ral­schlüssel abhanden kommt

Hinzu kommt, dass Angreifer gezielt auf die Jagd nach Konten gingen, die als Gene­ral­schlüssel genutzt werden. Ein Beispiel der Verbrau­cher­schüt­zerinnen: Anfang Oktober habe Face­book darüber infor­miert, dass Krimi­nelle mit Hilfe Hunderter Apps die Login-Daten von Face­book-Nutze­rinnen und -nutzern gestohlen hätten.

Die Apps hätten die vermeint­liche SSO-Option "Login mit Face­book" ange­zeigt. Die Opfer fütterten dann aber Phis­hing-Formu­lare, die die Anmel­dedaten direkt weiter­lei­teten, sodass die Krimi­nellen die betrof­fenen Face­book-Konten über­nehmen konnten.

Es kann auch sein, dass Inter­net­seiten oder Dienste, bei denen man sich per SSO anmeldet, quasi im Gegenzug teils weit­rei­chende Rechte inner­halb des SSO-Kontos einfor­dern. Im Zweifel bekommt man davon nichts mit, was beispiels­weise zu unge­wollten Likes oder Posts führen kann, erklären die Verbrau­cher­schützer. Solche Rechte werden aber bei der Einrich­tung eines SSO-Log-ins aufge­listet.

Rechte wegkli­cken oder gar nicht nutzen

Wenn man SSO trotzdem nutzen möchte, sei es hier wichtig, jeden Punkt zu lesen und die Häkchen bei den einzelnen Rechten wegzu­kli­cken. Ist das bei Rechten, die man nicht gewähren möchte, nicht möglich, bleibt einem nur, SSO für die jewei­lige Seite nicht zu nutzen und die Einrich­tung abzu­bre­chen.

Wer möglichst wenig persön­liche Daten weiter­geben möchte, sollte SSO nicht nutzen, rät die Verbrau­cher­zen­trale. Wer auf den Komfort nicht verzichten möchte, sollte das SSO-Konto beson­ders gut absi­chern. Dazu gehörten ein starkes Pass­wort, das für kein anderes Konto genutzt wird, und idea­ler­weise auch eine aktive Zwei-Faktor-Authen­tifi­zie­rung.

Mehr zum Thema Sicherheit