Ein Passwort hier, ein Passwort da – für unzählige Online-Shops, fürs E-Mail-Fach, fürs Homebanking: Die Liste kann beliebig verlängert werden. Sich die alle zu merken, fällt oft schwer. Einen Ausweg kann Single-Sign-on bieten. Gemeint ist damit ein anderes Benutzerkonto, das als Universalzugang auch für andere Web-Angebote genutzt wird. Ob das empfehlenswert ist und was man sonst noch wissen sollte, das hat aktiv Ayten Öksüz gefragt. Sie ist Referentin für Datenschutz und Datensicherheit bei der Verbraucherzentrale Nordrhein-Westfalen in Düsseldorf.
SSO: Single-Sign-on ist mit einem Generalschlüssel vergleichbar
Beim Single-Sign-on (SSO) verwendet man ein bereits bestehendes Nutzerkonto – beispielsweise von Facebook, Google, Apple oder Amazon –, um sich damit auch bei anderen Internet-Anbietern anzumelden, bei denen eine Registrierung verlangt wird. Anstatt sich dort wieder erneut anzumelden – also mit einem eigenen Benutzernamen und eigenem Passwort – wird ein bestehender Account verwendet. „Dieser dient dann sozusagen als Generalschlüssel“, erklärt Öksüz.
Das ist einerseits erst mal bequem, andererseits kann man so auch vermeiden, einem weiteren Anbieter persönliche Daten wie Geburtsdatum oder Adresse mitzuteilen. Doch ganz so einfach ist die Sache nicht, denn es gibt auch Risiken, so die Datenschutz-Expertin.
Wer das bequeme Verfahren nutzt, sollte sein E-Mail-Konto besonders gut schützen
Gerät das Universalpasswort in die falschen Hände, könnten sich Betrüger damit auf allen Webseiten anmelden, bei denen sich Betroffene mithilfe des Single-Sign-on registriert haben, und beispielsweise Bestellungen auf fremde Kosten vornehmen. Die Betrüger probieren dazu schlicht bei gängigen Seiten aus, ob die erbeuteten Zugangsdaten dort ebenfalls funktionieren.
Meistens passiert das als Erstes bei E-Mail-Providern. Gelingt das, kann dort der Schaden besonders groß sein, dann die Betrüger haben damit auch Zugriff auf alle möglichen privaten Inhalte oder könnten im fremden Namen E-Mails verschicken. Das E-Mail-Konto sollte deshalb immer besonders gut geschützt sein, rät Expertin Öksüz.
An die Zugangsdaten kommen Betrüger beispielsweise durch Phishing-Attacken. Wie man sich vor ihnen mit einigen einfachen Verhaltensregeln schützen kann, lesen Sie auch auf aktiv-online.de. Eine weitere Möglichkeit der Kriminellen, an private Daten zu gekommen, sind Hacker-Angriffe auf Online-Konten oder Anbieter-Server. Daher muss der Account, der zum SSO verwendet wird, besonders sicher sein: „Dazu gehört unbedingt ein starkes Passwort mit vielen unterschiedlichen Zeichen, das schwer zu knacken ist“, empfiehlt die Expertin.
Zudem sollte dieses Passwort ausschließlich bei dem Account genutzt werden, der zum Single-Sign-on verwendet wird, und nicht auch bei anderen Online-Accounts. Außerdem sollte geprüft werden, wie der Anbieter die Log-in-Daten speichert – sind sie unverschlüsselt, ist das Risiko deutlich höher.
Zwei-Faktor-Authentifizierung bringt zusätzliche Sicherheit
Einen weiteren Schutz bietet die Zwei-Faktor-Authentifizierung. „Sie sollte immer genutzt werden, wenn das möglich ist.“ Dabei wird bei bestimmten Vorgängen ein zweiter Faktor für die Authentifizierung verlangt, wie man es zum Beispiel vom Online-Banking kennt.
Konkret läuft das dann so ab: Der Nutzer muss neben seinem Passwort eine PIN eingeben, die per SMS oder App aufs Mobiltelefon geschickt wird, und damit die Transaktion bestätigen. Aber auch hier sollte zunächst überprüft werden, wie die Smartphone-Nummer, die man dafür angibt, gespeichert und weiterverwendet wird, damit sie nicht an Dritte geraten und missbraucht werden kann, und sei es nur für nervige Werbeanrufe.
Das hört sich zwar kompliziert an, hat aber einen wesentlichen Vorteil: Versuchen Kriminelle ein Konto durch das Ergaunern von Passwörtern zu hacken oder haben sie sich sogar bereits Zugriff auf einen Online-Account verschafft, kann durch die Zwei-Faktor-Authentifizierung das Schlimmste zunächst verhindert werden.
Die Expertin erklärt genauer: „Bekommt man beispielsweise unerwartet eine Freigabe-PIN zugesandt, weiß man genau, dass gerade der eigene Account von jemand anderem verwendet wird.“ Dann heißt es, schnell zu reagieren: „Man sollte unverzüglich das Passwort des betroffenen Accounts und weiterer Accounts ändern und – falls etwa das Homebanking betroffen ist – die Bank informieren sowie gegebenenfalls bei der Polizei Strafanzeige erstatten“, rät die Expertin.
Nicht gefährlich, aber nervig: SSO-Anbieter sammeln Nutzerdaten
Vielleicht weniger bedrohlich, aber trotzdem ärgerlich ist es, dass Anbieter wie Facebook und Google durch Single-Sign-on Daten über ihre Kunden sammeln können. Beispielsweise wird etwa übermittelt, welche anderen Webseiten besucht oder welche Dienste mit dem entsprechenden Single-Sign-on-Zugang genutzt werden. Daraus können wiederum Schlüsse hinsichtlich Vorlieben und Einkaufsverhalten gezogen werden. Dies alles lässt sich zu Profilen verdichten, sodass die Nutzer personalisierte Werbung zugespielt bekommen und womöglich nichts von günstigeren Offerten erfahren.
Vorstellbar sei auch eine individuelle Preisgestaltung seitens der Anbieter, ergänzt Öksüz. Interessiert sich jemand, der regelmäßig eher hochpreisig einkauft, für ein bestimmtes Produkt, könnte der Preis für ihn dann höher ausfallen als bei jemandem, der für gewöhnlich weniger Geld ausgibt. Angaben dazu, welche Daten der Anbieter erhebt und was er mit ihnen macht, zum Beispiel, ob er sie an andere Unternehmen weitergibt, finden sich in der Regel ebenfalls in der Datenschutzerklärung. „Darüber sollte man sich im Vorfeld informieren und überlegen, ob einem das recht ist“, rät die Expertin.
Die Nutzung von SSO räumt Social-Media-Plattformen häufig weitreichende Rechte ein
Auch auf das Social-Media-Profil sollte man achten, wenn etwa der Facebook- oder Google-Account zum SSO genutzt werden. „Denn um den Log-in als Single-Sign-on nutzen zu können, wird bei Facebook oder Google eine entsprechende Anwendung freigeschaltet“, erklärt Öksüz: Damit kann das Recht einhergehen, im Namen des Nutzers andere Beiträge zu liken oder sogar selbst Posts zu veröffentlichen – von diesem unbemerkt.
Diese Rechte werden beim Log-in auf anderen Internetseiten aufgelistet und können dort häufig weggeklickt werden. Falls das nicht möglich ist, rät die Expertin, bei dieser Website auf das Single-Sign-on zu verzichten.
Die Alternative: Passwortmanager statt Single-Sign-on
Wer es sich mit den vielen verschiedenen Log-in-Daten trotzdem ein bisschen einfacher machen möchte, kann statt Single-Sign-on einen Passwortmanager nutzen. „Dies ist ein Programm, mit dem man Passwörter und Benutzernamen für seine Online-Accounts verwalten kann“, erklärt Öksüz. Der Passwortmanager speichert dazu die Zugangsdaten der Online-Accounts in der Regel verschlüsselt ab.
Wichtig hierbei: Der Zugang zum Passwortmanager sollte wiederum selbst unbedingt durch ein starkes Masterpasswort gesichert werden, damit die in ihm gespeicherten Passwörter vor Zugriffen unbefugter Dritter geschützt sind. Im Idealfall sollte zusätzlich noch die Zwei-Faktor-Authentifizierung eingerichtet werden.
Ist ein Passwortmanager installiert, öffnet dieser sich automatisch, wenn bei einer Webseite die Zugangsdaten verlangt werden, und der Nutzer muss dann nur noch das Masterpasswort eingeben. Ein solches Programm kann aber noch mehr: So warnt es etwa bei Phishing-Attacken, bei denen man auf eine falsche Internet-Seite gelockt wird, auf der man seine Daten eingeben soll. Dazu vergleicht es die hinterlegte Webadresse mit der aufgerufenen Seite und signalisiert eine eventuelle Abweichung.
Auch der Passwortmanager hat Nachteile
Vergisst der Nutzer allerdings das Masterpasswort, hat er meist auch keinen Zugriff mehr auf die dort gespeicherten Zugangsdaten und muss alle im Passwortmanager hinterlegten Online-Konten einzeln wiederherstellen. Und: Wird der Passwortmanager selbst gehackt, haben die Betrüger damit gleich Zugriff auf sämtliche hinterlegten Zugangsdaten.
Wer einen Passwortmanager nutzen will, kann dafür etwa den in den meisten gängigen Internet-Browsern integrierten nutzen. Öksüz rät aber eher dazu, ein separates Programm zu verwenden, da die Browser Sicherheitslücken enthalten können, die einen Zugriff auf die dort gespeicherten Passwörter begünstigen. „In jedem Fall sollten Nutzer immer darauf achten, Updates durchzuführen, um die jeweils aktuelle Version der Programme installiert zu haben.“
Und speichert der Passwortmanager die sensiblen Daten in einer Cloud, wäre auch hier wieder ein Blick in die Datenschutzerklärung ratsam. Dazu gehört auch, zu prüfen, wo sich die Serverstandorte befinden, da dies bei einem Rechtsstreit aufgrund eines Datenschutzverstoßes relevant sein kann.
Waltraud Pochert hat bei aktiv vor allem Verbraucherthemen aus dem Bereich der privaten Finanzen sowie Recht und Steuern im Blick. Nach dem Studium der Volkswirtschaftslehre in Köln startete sie ihre berufliche Laufbahn bei einem großen Wirtschaftsmagazin, bevor sie als freie Journalistin tätig wurde. In ihrer Freizeit ist sie gern sportlich unterwegs, vor allem mit dem Fahrrad.
Alle Beiträge der Autorin