"Single-Sign-On": Risiko bei Apps und Internetseiten

Stand:
"Login mit Facebook", "Login mit Google": Viele Internetshops, Plattformen und Apps bieten die Möglichkeit, sich zum Beispiel mit dem Social-Media-Account einzuloggen. Doch der Komfort kann auch Nachteile haben.
Ein PC-Monitor zeigt den Login-Bereich einer Internetseite mit Buttons für Facebook-Login, Google-Login und Anmeldung per E-Mail

Das Wichtigste in Kürze:

  • Wenn eine Internetseite oder App anbietet, dass Sie sich dort mit Benutzerkonten wie Facebook, Google oder Amazon (Amazon Payments) anmelden, machen Sie das nicht einfach so, "weil es bequem ist".
  • Informieren Sie sich z.B. in der Datenschutzerklärung darüber, welche Daten von Ihnen mit den Netzwerken ausgetauscht werden und wofür die Anbieter sie verwenden wollen.
  • Der Anbieter des Benutzerkontos erhält häufig Informationen darüber, wo Sie Ihren Login nutzen und was Sie auf den anderen Internetseiten machen.
On

Alltag im Internet: Sie surfen im Netz und finden ein Angebot, das Ihnen gefällt. Sie müssen sich aber hierfür erst mit ihren persönlichen Angaben registrieren. Als äußerst praktisch erscheint es, wenn der Seitenbetreiber Ihnen stattdessen die Möglichkeit bietet, sich mit einem anderen Konto einzuloggen. Das kann zum Beispiel Ihr Social-Media-Profil von Facebook oder Ihr Google- oder Amazon-Account sein – damit könnten Sie auch gleich bezahlen. Hierbei spricht man im weitesten Sinne auch von "Single-Sign-On": Das Benutzerkonto dient gleichsam als Generalschlüssel.

Die Vorteile liegen auf der Hand: Keine Registrierung, keine Angabe Ihrer Daten, kein lästiges Erstellen und Merken eines weiteren Passworts und kein weiterer Anbieter, dem Sie Ihre Kontodaten anvertrauen müssen. Doch der Komfort hat auch hohe Risiken.

So informierte Facebook im Oktober 2022 darüber, dass Kriminelle mit mehr als 400 Apps für Android und iOS die Login-Daten von Facebook-Mitgliedern gestohlen hätten. Sie zeigten die Möglichkeit "Login mit Facebook" an, über die man sich vermeintlich mit seinem Facebook-Account anmelden konnte. Allerdings waren es Phishing-Formulare, die die eingegebenen Anmeldedaten und Passwörter direkt an die Kriminellen geschickt haben. Die konnten damit die Facebook-Konten der Betroffenen übernehmen.

Wer den Schlüssel kennt, hat überall Zugriff

Auch die Nutzung des echten "Single-Sign-On"-Prinzips ist nicht ohne Risko. Wie bei einem Generalschlüssel für ein Haus, kann der Schaden beim Verlust eines "Single-Sign-On"-Account-Passworts besonders groß werden. Gerät Ihr Passwort für das eine Benutzerkonto in die falschen Hände, erhalten Dritte nicht nur Zugang zu Ihrem Benutzerkonto, sondern zu allen Seiten mit entsprechender Login-Möglichkeit. Das kann schnell passieren, z.B. auf Grund einer Phishing- oder Hackerattacke (siehe oben).

Ungleich höher ist das Risiko, wenn ein Anbieter Ihre Login-Daten nicht verschlüsselt speichert. Die Passwort-Diebe könnten dann auf Ihre Kosten im Internet einkaufen oder andere Straftaten begehen. Das ist vergleichbar damit, dass Sie generell auf allen Internetseiten den gleichen Benutzernamen und das gleiche Passwort verwenden würden.

Umso wichtiger ist es daher, dass Sie diese Benutzerkonten besonders gut absichern. Seien Sie hier vor allem achtsam bei der Wahl des guten Passworts und benutzen Sie ein einmaliges Passwort, was sie für kein anderes Benutzerkonto verwenden! Bestenfalls sichern Sie das Konto auch noch über eine so genannte Zwei-Faktor-Authentisierung ab. Der Login bzw. bestimmte Aktionen, wie die Bestätigung einer Zahlung, klappen dann neben dem Passwort erst durch einen zweiten Schritt – etwa die Eingabe einer PIN, die Ihnen per SMS oder spezieller App auf das Smartphone geschickt wird.

Bevor Sie für so ein Verfahren z.B. Ihre Handynummer angeben, sollten Sie sich darüber informieren, wie der Anbieter Ihre Nummer speichert und was er laut seiner Datenschutzerklärung außerdem damit macht.

Kommt es doch einmal zu einem Sicherheitsleck, handeln Sie besonders schnell:

  • Ändern Sie unverzüglich das Passwort des Accounts.
  • Prüfen Sie Ihren E-Mail-Account und Ihre Bankkonten auf mögliche ungewollte Zahlungsvorgänge.
  • Erstatten Sie ggf. auch Strafanzeige bei der Polizei oder Staatsanwaltschaft.

Anbieter können viele Daten von Ihnen sammeln

Unabhängig von der Sicherheit bietet ein solches "Generalschlüssel-Verfahren" weitere Risiken.

Durch das Einloggen mit einem solchen "Generalschlüssel"-Benutzerkonto könnten sämtliche Informationen über alles, was Sie auf anderen Seiten machen, beim Anbieter des Benutzerkontos zusammenlaufen. Möglicherweise erhält dieser dann umfassende Daten zu Ihren Vorlieben, Gewohnheiten und ihrem Einkaufsverhalten und kann diese Informationen für eine umfassende Profilbildung nutzen. Und nicht nur er: Forscher der Princeton-Universität haben beim Facebook-Login herausgefunden, dass neben dem eigentlichen Seitenbetreiber auch Drittanbieter auf die öffentlichen Infos des Facebook-Profils zugreifen können – ohne dass die Anwender das mitbekommen. Möglich sei das durch so genannte Scripts von Drittanbietern, die die entsprechende Internetseite enthält. Sie leiten die bei Facebook abgefragten Informationen an die Drittanbieter weiter.

Mit den Daten könnten Profile von Ihnen und Ihrem Verhalten über etliche Internetseiten hinweg erstellt werden. Werbung kann auf Ihre persönlichen Interessen zugeschnitten werden und Sie verpassen möglicherweise günstigere Angebote. Auch möglich ist eine individuelle Preisgestaltung: Kaufen Sie häufig teure Produkte ein, könnten Online-Shops die Preise speziell für Sie erhöhen. Je mehr Shops auf eine zentrale Datenbasis zugreifen können, desto häufiger könnten Sie am Ende draufzahlen.

Seien Sie sich daher über dieses Risiko im Klaren und informieren Sie sich im Zweifel vor der Nutzung eines solchen Accounts zum Einloggen bei anderen Internetangeboten über die genauen Datenschutzbedingungen der Anbieter.

Einfluss auf das Social-Media-Profil beachten

Eine weitere Gefahr besteht darin, dass auf dem eigenen Social-Media-Profil Dinge geschehen, von denen man nichts mitbekommt. Denn um den Login auf einer anderen Internetseite nutzen zu können, wird auf Facebook oder Google eine entsprechende Anwendung (App) freigeschaltet. Einige davon verlangen weitreichende Rechte, etwa im Namen des Nutzers unbemerkt Dinge zu liken oder zu posten. Die Rechte werden bei der Einrichtung des Logins aufgelistet.

Wichtig ist es dabei, jeden Punkt zu lesen und (falls möglich) einzelne Rechte durch Wegklicken kleiner Haken zu entfernen. Ist das bei Rechten, die man nicht erlauben will, nicht möglich, bleibt nur eines: Den Login für die entsprechende Seite nicht zu nutzen und die Einrichtung mit einem Klick auf "Abbrechen" zu beenden.

Welche Apps mit den Social-Media-Konten verbunden sind und welche Rechte Sie ihnen eingeräumt haben, können Sie in den Einstellungen herausfinden: dies sind die entsprechenden Links zu Facebook, Google und Twitter.

Facebook-Beitrag mit "Gefällt mir"-Angaben

Warum like ich was auf Facebook, ohne es zu merken?

Wenn Apps auf Facebook in deinem Namen aktiv werden: Wie du sie findest und abschaltest, liest du auf checked4you.de!

Grafische Darstellung der Möglichkeiten sich vor Cybercrime zu schützen

Sicher im Internet - Handy, Tablet und PC schützen

Cybercrime betrifft längst nicht mehr nur eine geringe Anzahl von Menschen. Wie Sie sich vor Datenklau, Viren und unsicheren Netzwerken schützen können, lesen Sie hier. 

Telefonberatung in Nordrhein-Westfalen

So erreichen Sie die Verbraucherzentrale Nordrhein-Westfalen

Unsere Beratungsstellen erreichen Sie per Telefon und E-Mail. Auch über eine zentrale Hotline, das zentrale Kontaktformular auf unserer Internetseite sowie bei Facebook, Instagram und Twitter können Sie uns kontaktieren.
Grafische Darstellung einer Frau, die ungeduldig auf ihre Armbanduhr schaut. Rechts daneben befindet sich das Logo von Cleverbuy, darunter eine Grafik von einem Smartphone, von der ein roter Pfeil auf einen Stapel Euroscheine führt. Rechts daneben befindet sich ein großes, rotes Ausrufezeichen, in dem "Warnung" steht.

Warnung vor Cleverbuy: Auszahlung lässt auf sich warten

"Clever Technik kaufen und verkaufen" heißt es auf der Website der Ankaufplattform Cleverbuy. Gar nicht clever ist die oft lange Zeit, die verstreicht, bis Nutzer:innen ihr Geld für Smartphone und Co. ausgezahlt bekommen. Der Verbraucherzentrale Bundesverband (vzbv) warnt daher vor dem Anbieter.
Besorgt dreinblickender Mann, der auf seine Kreditkarte schaut, während er mit seinem Mobiltelefon spricht.

Der vzbv stellt fest: Banken tun nicht genug gegen Kontobetrug

Opfer von Kontobetrug bleiben in vielen Fällen auf dem Schaden sitzen, denn: Banken werfen ihnen grobe Fahrlässigkeit vor. Aus Sicht des Verbraucherzentrale Bundesverbands (vzbv) müssten Banken jedoch mehr tun, um Verbraucher:innen zu schützen.