"Single-Sign-On": Risiko bei Apps und Internetseiten

Stand:
"Login mit Facebook", "Login mit Google": Viele Internetshops, Plattformen und Apps bieten die Möglichkeit, sich zum Beispiel mit dem Social-Media-Account einzuloggen. Doch der Komfort kann auch Nachteile haben.
Ein PC-Monitor zeigt den Login-Bereich einer Internetseite mit Buttons für Facebook-Login, Google-Login und Anmeldung per E-Mail

Das Wichtigste in Kürze:

  • Wenn eine Internetseite oder App anbietet, dass Sie sich dort mit Benutzerkonten wie Facebook, Google oder Amazon (Amazon Payments) anmelden, machen Sie das nicht einfach so, "weil es bequem ist".
  • Informieren Sie sich z.B. in der Datenschutzerklärung darüber, welche Daten von Ihnen mit den Netzwerken ausgetauscht werden und wofür die Anbieter sie verwenden wollen.
  • Der Anbieter des Benutzerkontos erhält häufig Informationen darüber, wo Sie Ihren Login nutzen und was Sie auf den anderen Internetseiten machen.
On

Alltag im Internet: Sie surfen im Netz und finden ein Angebot, das Ihnen gefällt. Sie müssen sich aber hierfür erst mit ihren persönlichen Angaben registrieren. Als äußerst praktisch erscheint es, wenn der Seitenbetreiber Ihnen stattdessen die Möglichkeit bietet, sich mit einem anderen Konto einzuloggen. Das kann zum Beispiel Ihr Social-Media-Profil von Facebook oder Ihr Google- oder Amazon-Account sein – damit könnten Sie auch gleich bezahlen. Hierbei spricht man im weitesten Sinne auch von "Single-Sign-On": Das Benutzerkonto dient gleichsam als Generalschlüssel.

Die Vorteile liegen auf der Hand: Keine Registrierung, keine Angabe Ihrer Daten, kein lästiges Erstellen und Merken eines weiteren Passworts und kein weiterer Anbieter, dem Sie Ihre Kontodaten anvertrauen müssen. Doch der Komfort hat auch hohe Risiken.

So informierte Facebook im Oktober 2022 darüber, dass Kriminelle mit mehr als 400 Apps für Android und iOS die Login-Daten von Facebook-Mitgliedern gestohlen hätten. Sie zeigten die Möglichkeit "Login mit Facebook" an, über die man sich vermeintlich mit seinem Facebook-Account anmelden konnte. Allerdings waren es Phishing-Formulare, die die eingegebenen Anmeldedaten und Passwörter direkt an die Kriminellen geschickt haben. Die konnten damit die Facebook-Konten der Betroffenen übernehmen.

Wer den Schlüssel kennt, hat überall Zugriff

Auch die Nutzung des echten "Single-Sign-On"-Prinzips ist nicht ohne Risko. Wie bei einem Generalschlüssel für ein Haus, kann der Schaden beim Verlust eines "Single-Sign-On"-Account-Passworts besonders groß werden. Gerät Ihr Passwort für das eine Benutzerkonto in die falschen Hände, erhalten Dritte nicht nur Zugang zu Ihrem Benutzerkonto, sondern zu allen Seiten mit entsprechender Login-Möglichkeit. Das kann schnell passieren, z.B. auf Grund einer Phishing- oder Hackerattacke (siehe oben).

Ungleich höher ist das Risiko, wenn ein Anbieter Ihre Login-Daten nicht verschlüsselt speichert. Die Passwort-Diebe könnten dann auf Ihre Kosten im Internet einkaufen oder andere Straftaten begehen. Das ist vergleichbar damit, dass Sie generell auf allen Internetseiten den gleichen Benutzernamen und das gleiche Passwort verwenden würden.

Umso wichtiger ist es daher, dass Sie diese Benutzerkonten besonders gut absichern. Seien Sie hier vor allem achtsam bei der Wahl des guten Passworts und benutzen Sie ein einmaliges Passwort, was sie für kein anderes Benutzerkonto verwenden! Bestenfalls sichern Sie das Konto auch noch über eine so genannte Zwei-Faktor-Authentisierung ab. Der Login bzw. bestimmte Aktionen, wie die Bestätigung einer Zahlung, klappen dann neben dem Passwort erst durch einen zweiten Schritt – etwa die Eingabe einer PIN, die Ihnen per SMS oder spezieller App auf das Smartphone geschickt wird.

Bevor Sie für so ein Verfahren z.B. Ihre Handynummer angeben, sollten Sie sich darüber informieren, wie der Anbieter Ihre Nummer speichert und was er laut seiner Datenschutzerklärung außerdem damit macht.

Kommt es doch einmal zu einem Sicherheitsleck, handeln Sie besonders schnell:

  • Ändern Sie unverzüglich das Passwort des Accounts.
  • Prüfen Sie Ihren E-Mail-Account und Ihre Bankkonten auf mögliche ungewollte Zahlungsvorgänge.
  • Erstatten Sie ggf. auch Strafanzeige bei der Polizei oder Staatsanwaltschaft.

Anbieter können viele Daten von Ihnen sammeln

Unabhängig von der Sicherheit bietet ein solches "Generalschlüssel-Verfahren" weitere Risiken.

Durch das Einloggen mit einem solchen "Generalschlüssel"-Benutzerkonto könnten sämtliche Informationen über alles, was Sie auf anderen Seiten machen, beim Anbieter des Benutzerkontos zusammenlaufen. Möglicherweise erhält dieser dann umfassende Daten zu Ihren Vorlieben, Gewohnheiten und ihrem Einkaufsverhalten und kann diese Informationen für eine umfassende Profilbildung nutzen. Und nicht nur er: Forscher der Princeton-Universität haben beim Facebook-Login herausgefunden, dass neben dem eigentlichen Seitenbetreiber auch Drittanbieter auf die öffentlichen Infos des Facebook-Profils zugreifen können – ohne dass die Anwender das mitbekommen. Möglich sei das durch so genannte Scripts von Drittanbietern, die die entsprechende Internetseite enthält. Sie leiten die bei Facebook abgefragten Informationen an die Drittanbieter weiter.

Mit den Daten könnten Profile von Ihnen und Ihrem Verhalten über etliche Internetseiten hinweg erstellt werden. Werbung kann auf Ihre persönlichen Interessen zugeschnitten werden und Sie verpassen möglicherweise günstigere Angebote. Auch möglich ist eine individuelle Preisgestaltung: Kaufen Sie häufig teure Produkte ein, könnten Online-Shops die Preise speziell für Sie erhöhen. Je mehr Shops auf eine zentrale Datenbasis zugreifen können, desto häufiger könnten Sie am Ende draufzahlen.

Seien Sie sich daher über dieses Risiko im Klaren und informieren Sie sich im Zweifel vor der Nutzung eines solchen Accounts zum Einloggen bei anderen Internetangeboten über die genauen Datenschutzbedingungen der Anbieter.

Einfluss auf das Social-Media-Profil beachten

Eine weitere Gefahr besteht darin, dass auf dem eigenen Social-Media-Profil Dinge geschehen, von denen man nichts mitbekommt. Denn um den Login auf einer anderen Internetseite nutzen zu können, wird auf Facebook oder Google eine entsprechende Anwendung (App) freigeschaltet. Einige davon verlangen weitreichende Rechte, etwa im Namen des Nutzers unbemerkt Dinge zu liken oder zu posten. Die Rechte werden bei der Einrichtung des Logins aufgelistet.

Wichtig ist es dabei, jeden Punkt zu lesen und (falls möglich) einzelne Rechte durch Wegklicken kleiner Haken zu entfernen. Ist das bei Rechten, die man nicht erlauben will, nicht möglich, bleibt nur eines: Den Login für die entsprechende Seite nicht zu nutzen und die Einrichtung mit einem Klick auf "Abbrechen" zu beenden.

Welche Apps mit den Social-Media-Konten verbunden sind und welche Rechte Sie ihnen eingeräumt haben, können Sie in den Einstellungen herausfinden: dies sind die entsprechenden Links zu Facebook, Google und Twitter.

Grafische Darstellung der Möglichkeiten sich vor Cybercrime zu schützen

Sicher im Internet - Handy, Tablet und PC schützen

Cybercrime betrifft längst nicht mehr nur eine geringe Anzahl von Menschen. Wie Sie sich vor Datenklau, Viren und unsicheren Netzwerken schützen können, lesen Sie hier. 

Bundesgerichtshof

BGH-Urteil: Postbank kann Zustimmung nicht uneingeschränkt einholen

Banken können Ihre Zustimmung, etwa zu geänderten AGB und Preisen, nicht einfach unterstellen. Das entschied der Bundesgerichtshof. Geben Verbraucher:innen die geforderte ausdrückliche Zustimmung nicht ab, drohen Banken aber mit der Kündigung. Dürfen Banken kündigen - und was können Sie dagegen tun?

Mögliche Sammelklage gegen die CLAIM Rechtsanwalts GmbH: Verbraucheraufruf

Die Verbraucherzentrale Baden-Württemberg prüft derzeit die Voraussetzungen einer Sammelklage gegen die CLAIM Rechtsanwalts GmbH, Köln. Wir suchen daher Verbraucher:innen, die von diesem Unternehmen mit dem Vorwurf des Falschparkens konfrontiert wurden, daraufhin ein „Vergleichsangebot“ angenommen und Geld an die Kanzlei gezahlt haben.

Musterfeststellungsklage gegen GASAG AG

2. Dezember 2021: Kunden:innen der GASAG in der Grund- oder Ersatzversorgung mit Gas zahlten vor diesem Datum 6,68 Cent pro Kilowattstunde. All jene Verbraucher:innen, bei denen der Belieferungsbeginn zwischen dem 2. Dezember 2021 und dem 30. April 2022 lag, zahlten mehr als 18 Cent. Der Tarif für Bestandskund:innen blieb wesentlich günstiger.
Davon betroffen sind zehntausende Verbraucher:innen. Für sie kann sich der Preisunterschied schnell auf hunderte von Euro summieren und existenzbedrohend sein.
Der vzbv hält das „Zweiklassensystem“ der GASAG für unrechtmäßig und will mit der eingereichten Musterfeststellungsklage den Betroffenen helfen.