Single Sign-on

Auf vielen Seiten im Inter­net kön­nen sich Nut­ze­rin­nen und Nut­zer ein­fach mit dem Konto an­mel­den, das sie bei einem der gro­ßen In­ter­net­kon­zer­ne ohne­hin schon haben. Diese Kom­fort­funk­tion ist aber nicht un­eigen­nüt­zig. Die Kon­zer­ne könn­ten nach so einer Single Sign-on (SSO) ge­nann­ten An­mel­dung über das be­ste­hen­de Konto um­fas­sen­de Daten darüber sam­meln, was die Nut­ze­rin oder der Nut­zer auf der je­wei­li­gen Seite macht, warnt die Ver­brau­cher­zen­tra­le Nord­rhein-Westfalen.

Zudem er­hiel­ten die Kon­zer­ne oft­mals In­for­ma­tio­nen aus dem öffent­lichen Profil der Nut­ze­rin oder des Nut­zers. Das seien im Zwei­fel mehr Daten als für eine re­gu­lä­re Re­gis­trie­rung er­for­der­lich ge­we­sen wären. Aus all die­sen In­for­ma­tio­nen könn­ten um­fas­sen­de per­sön­liche Profile ge­bil­det wer­den, etwa zu Werbe­zwecken.

Doch damit nicht genug. Sollte das Pass­wort zu dem Konto, das man für SSO-An­mel­dun­gen nutzt, in frem­de Hände ge­lan­gen, hat man ein Pro­blem. Dann haben Drit­te nicht nur Zu­gang zu dem Konto bei dem je­wei­li­gen In­ter­net­kon­zern, son­dern auch zu allen Sei­ten, bei denen man die An­mel­dung per SSO über die­ses Konto nutzt.

Hinzu kommt, dass An­grei­fer ge­zielt auf die Jagd nach Kon­ten gin­gen, die als Ge­ne­ral­schlüs­sel ge­nutzt werden. Ein Bei­spiel der Ver­brau­cher­schüt­ze­rin­nen: An­fang Ok­to­ber habe Face­book darüber in­for­miert, dass Kri­mi­nel­le mit Hilfe Hun­der­ter Apps die Login-Daten von Face­book-Nut­ze­rin­nen und -nut­zern ge­stoh­len hätten. Die Apps hät­ten die ver­meint­liche SSO-Option „Login mit Facebook“ an­ge­zeigt. Die Opfer füt­ter­ten dann aber Phishing-For­mu­lare, die die An­mel­de­da­ten di­rekt wei­ter­lei­te­ten, so dass die Kri­mi­nel­len die be­trof­fe­nen Face­book-Kon­ten über­nehmen konnten.

Es kann auch pas­sie­ren, dass Inter­net­sei­ten oder Diens­te, bei denen man sich per SSO an­mel­det, quasi im Gegen­zug teils weit­rei­chen­de Rech­te inner­halb des SSO-Kontos ein­for­dern. Im Zwei­fel be­kommt man davon nichts mit, was bei­spiels­weise zu un­ge­woll­ten Likes oder Posts füh­ren kann, er­klä­ren die Ver­brau­cher­schüt­zer. Sol­che Rech­te wer­den aber bei der Ein­rich­tung eines SSO-Log-ins auf­ge­listet.

Wenn man SSO trotz­dem nut­zen möch­te, sei es hier wich­tig, jeden Punkt zu lesen und die Häk­chen bei den ein­zel­nen Rech­ten weg­zu­klicken. Ist das bei Rech­ten, die man nicht ge­wäh­ren möch­te, nicht mög­lich, bleibt einem nur, SSO für die je­wei­li­ge Seite nicht zu nut­zen und die Ein­rich­tung ab­zu­bre­chen. Wer mög­lichst wenig per­sön­liche Daten wei­ter­ge­ben möch­te, soll­te SSO nicht nutzen, rät die Ver­brau­cher­zen­tra­le. Wer auf den Kom­fort nicht ver­zich­ten möch­te, soll­te das SSO-Konto be­son­ders gut ab­sichern. Dazu ge­hör­ten ein star­kes Pass­wort, das für kein an­de­res Konto ge­nutzt wird, und idea­ler­wei­se auch eine aktive Zwei-Faktor-Authen­ti­fi­zierung.