| 20:12 Uhr

Single-Sign-On birgt Risiken
Bequemlichkeit hat ihren Preis

Viele Webseiten bieten die Anmeldung über andere Dienste an, Verbraucherschützer raten eher davon ab.
Viele Webseiten bieten die Anmeldung über andere Dienste an, Verbraucherschützer raten eher davon ab. FOTO: dpa-tmn / Sebastian Gollnow
Düsseldorf. Wer sich mit seinem Facebook- oder Google-Konto auf anderen Seiten anmeldet, zahlt oft mit persönlichen Daten. Von Annabelle Theobald

Die Verbraucherzentrale Nordrhein-Westfalen warnt davor, für Benutzerkonten, mit denen man sich bei anderen Diensten anmeldet, einfache, oder mehrfach verwendete Passwörter zu wählen. Bei einem Angriff auf ein solches Konto, das wie eine Art „Generalschlüssel“ benutzt werden kann, erhielten Dritte auch Zugang zu allen anderen damit verbundenen Konten. Sich mit einem Facebook-, Twitter- oder Amazon-Konto für weitere Dienste zu registrieren, wird auch Single-­Sign-On genannt. Die Funktion ist verlockend, weil man die Zeit für eine neuerliche Registrierung sparen kann und sich kein zusätzliches Passwort merken muss. Die Verbraucherzentrale rät dazu, bei so genutzten Konten besonders darauf zu achten, dass das Passwort sicher ist und es nur für dieses eine Konto zu verwenden.


Das Bundesamt für Sicherheit und Informationstechnik (BSI) gibt auf seinem Bürgerportal Tipps für ein gutes Passwort. Dieses sollte mindestens acht Zeichen lang sein, länger ist dabei immer besser. Namen von Familienmitgliedern, Freunden und Haustieren sollten nicht gewählt werden, grundsätzlich müssen laut BSI Vokabeln benutzt werden, die in keinem Wörterbuch vorkommen. Sonderzeichen und Ziffern sollten möglichst in die Passwörter eingebaut werden und nicht am Anfang oder Ende stehen. Es kann helfen, sich einen ganzen Satz oder Buchtitel zu merken und die Anfangsbuchstaben der Wörter zu wählen. Behält man hier Groß- und Kleinschreibung bei und trennt die Buchstaben durch Zahlen oder Sonderzeichen, erhält man ein gutes Passwort, das man sich auch merken kann. Wer Konten von Facebook, Google oder anderen Anbietern zum Anmelden bei anderen Diensten nutze, solle sein Passwort zudem regelmäßig ändern, so das BSI.

Eine zusätzliche Absicherung durch eine sogenannte Zwei-Faktor-Authentifizierung ist laut Verbraucherzentrale noch besser. Bei dieser Technik bedarf es neben der Eingabe des Passworts noch eines weiteren Schritts in einem Anmelde- oder Zahlprozess. Meist ist die Eingabe einer PIN erforderlich, die per SMS auf das Smartphone gesendet wird oder von einer eigens dafür installierten App generiert werden kann. Das zweistufige Verfahren macht es Angreifern sehr viel schwerer, an Daten zu gelangen.



Viele Dienste, darunter Amazon, Facebook, Dropbox, Paypal, Twitter und Whatsapp bieten die Möglichkeit der zweistufigen Authentifizierung in ihren Sicherheitseinstellungen an. Laut Fachmagazin Heise, nutzt Facebook die für die zweistufige Anmeldung erforderliche Telefonnummer allerdings nicht nur zum eigentlichen Zweck, sondern auch, um gezielt Werbekunden anzusprechen. Mit speziellen Authentifikations-Apps, die PINs für den Nutzer generieren können, kann man dieses Problem umgehen. Diese können in den Facebook-Einstellungen für die Zwei-Faktor-Authentifizierung aktiviert werden, wodurch die Eingabe einer Telefonnummer umgangen werden kann.

Beim Anmelden mit bestehenden Benutzerkonten gibt es laut Verbraucherzentrale noch mehr zu beachten. Eine Anmeldung mit einem solchen Konto führe dazu, dass zwischen den beiden Diensten Informationen ausgetauscht würden. Das bedeutet, dass etwa soziale Netzwerke Zugriff auf Daten bekommen, die bei der Nutzung der Dienste eines anderen Anbieters generiert werden. So können beispielsweise Informationen über das Kaufverhalten, Vorlieben und Gewohnheiten des Nutzers weitergegeben werden. Bei der Anmeldung mit einem Facebook-Konto können außerdem weitere Seitenbetreiber Zugriff auf Daten vom Facebook-Profil erhalten, ohne dass Nutzer davon etwas merken.

Die Verbraucherzentrale empfiehlt, genauestens darauf zu achten, welche Rechte man Apps und Internetseiten einräumt, auf denen man sich mithilfe des Single-Sign-On-Verfahrens anmeldet. Um die Anmeldedaten von Facebook, Google und anderen Diensten nutzen zu können, werde auf diesen Seiten ein entsprechendes Programm freigeschaltet. Einige dieser Programme verlangten von den Nutzern weitreichende Berechtigungen, darunter beispielsweise die Möglichkeit, unbemerkt Dinge mit „Gefällt-mir“ zu versehen oder etwas auf den sozialen Netzwerken zu veröffentlichen.

Die Verbraucherzentrale rät, solche Berechtigungsanfragen genauestens zu lesen. Wenn Dienste dem Nutzer nicht die Möglichkeit böten, solche Rechte auch vorzuenthalten oder einzuschränken, solle man die Möglichkeit der Anmeldung über andere Benutzerkonten besser nicht nutzen und den Vorgang abbrechen.