Der Bildschirm eines Smartphones, auf dem Bezahl-Buttons von Facebook und Google zu sehen sind © NDR Foto: Elke Janning

Einloggen mit Facebook & Co.: So riskant ist Single-Sign-On

Stand: 14.12.2022 12:42 Uhr

Wer sich beim Online-Shopping mit seinem Benutzer-Account von Facebook, Google oder Amazon anmeldet, spart sich die Registrierung. Das Verfahren ist bequem, doch der Komfort birgt Risiken.

Wer sich erstmalig auf einer Website einloggen und etwas kaufen will, muss beim Registrieren persönliche Daten wie Name und Adresse angeben. Um dem Nutzer die Eingabe zu ersparen, bieten immer mehr Online-Shops oder App-Anbieter die Möglichkeit, sich mit einem bereits vorhandenen Social-Media-Account oder einem Google- und Amazon-Konto einzuloggen. Damit erlaubt der User dem Anbieter, persönliche Daten an die neue Website zu übermitteln. Personenbezogene Daten vom Kauf werden dann beispielsweise mit denen in den sozialen Medien gebündelt.

Generalschlüssel für viele Websites

Dass sich User auf verschiedenen Websites mit den Anmeldedaten eines vorhandenen Benutzerkontos einloggen können, wird als "Single-Sign-On" bezeichnet, was "Einmalanmeldung" heißt. Der Login über soziale Netzwerke auf anderen Websites heißt auch "Social Login". Das Benutzerkonto mit einem Passwort wird zum Generalschlüssel für alle Websites, für die dieser Login genutzt wird. Für Unternehmen ist das Single-Sign-On-Verfahren attraktiv, weil die schnelle, bequeme Anmeldeoption zu mehr Verkäufen führt. Denn ein langer Anmeldeprozess inklusive Eingabe der persönlichen Daten führt oftmals dazu, dass User den Kauf überdenken und sich doch noch dagegen entscheiden.

Kriminelle haben Zugriff auf alle vernetzten Konten

Hände halten ein Smartphone vor einem Laptop. Auf den Bildschirmen befinden sich abstrakte Codes. © photocase.de Foto: przemekklos
Um Passwörter herauszufinden, nutzen Hacker effiziente Programme, die innerhalb kürzester Zeit zahlreiche Wort- und Zahlenkombinationen durchspielen.

Vergleichbar ist das Single-Sign-On-Verfahren mit der Nutzung eines Haustürschlüssels, der Zugang zu allen Räumen im Haus verschafft. Gerät das Single-Sign-On-Passwort in die falschen Hände, kann der Schaden groß sein, warnt die Verbraucherzentrale: Kriminelle haben dann Zugang zum Social Media Account und zu allen Seiten, die mit der Methode genutzt werden. Sie können dann zum Beispiel im Namen des Betroffenen auf allen vernetzten Websites einkaufen.

Besonders, wenn ein Website-Betreiber die Daten seiner Nutzer unverschlüsselt speichert, können sich Hacker leicht Zugang verschaffen. Im Oktober 2022 vermeldete Facebook, dass zahlreiche Mitglieder über einen falschen "Login mit Facebook"-Button gelenkt wurden. Dahinter verbargen sich Phishing-Formulare, die Anmeldedaten und Passwörter abfingen und direkt an die Täter weiterleiteten. So konnten die Kriminellen die Facebook-Konten der Betroffenen übernehmen und erhielten damit theoretisch auch Zugriff auf über Single-Sign-On vernetzte Websites.

Anbieter sammeln und nutzen persönliche Daten von Verbrauchern

Welche Daten beim Single-Sign-On an die neue Website übermittelt werden, steht mitunter in den Datenschutzerklärungen, die User aufmerksam lesen sollten. Häufig werden Daten an Drittländer außerhalb der EU übermittelt, in denen der Datenschutz womöglich keine große Rolle spielt. Zudem werden meist nicht nur Name und Adresse weitergegeben, sondern auch weitreichende, persönliche Daten vom Social Media Account. Das können zum Beispiel Vorlieben aus vergebenen Likes sein, Interessen aus Kommentaren oder Orte, die gern besucht werden - je nachdem wie freigebig der User im Netz mit seinen persönlichen Daten umgeht.

Unternehmen können so Daten über ihre Käufer sammeln und sie für ihre Zwecke nutzen. Möglich ist zum Beispiel, Preise an das individuelle Kaufverhalten des Users anzupassen. Zahlt ein User in anderen Shops zum Beispiel überdurchschnittlich hohe Preise, können Anbieter mit Einsicht in diese Daten die eigenen Preise bei der Ausspielung für diesen User entsprechend hoch ansetzen. Je mehr Shops auf eine zentrale Datenbasis zugreifen können, desto häufiger könnten Verbraucher am Ende draufzahlen, so die Verbraucherzentrale.

Sicheres Passwort erstellen

Wer sich für den Login über einen Social Media-Account entscheidet, sollte für diesen Account ein möglichst sicheres Passwort wählen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zur Nutzung einer Zwei-Faktor-Authentifizierung, bei der für den Login zusätzlich eine Bestätigung nötig ist, etwa durch die Eingabe einer PIN, die per SMS oder spezieller App auf das Smartphone geschickt wird. Tipps für sichere Passwörter:

  • Je länger ein Passwort, desto besser (das BSI empfiehlt mindestens 8 Zeichen)
  • Je kürzer ein Passwort, desto komplexer sollte es sein
  • Möglichst Klein- und Großbuchstaben, Ziffern und Sonderzeichen nutzen, die kein Wort ergeben
  • Keine Namen, Geburtsdaten oder Wörter nutzen, die im Wörterbuch zu finden sind
  • Ziffern oder Sonderzeichen am Anfang oder Ende eines simplen Passworts bieten keinen ausreichenden Schutz
  • Keine gängigen Varianten (123456 oder Passwort als Passwort) oder Tastaturmuster (qwert oder asdfgh) nutzen
  • Für jede Website ein anderes Passwort verwenden
  • Passwortmanager nutzen, um komplexe Passwörter zu verwalten (ggf. kann man sich Passwörter handschriftlich notieren und sicher aufbewahren)

Weitere Informationen
Auf mehreren Würfeln, die nebeneinander liegen, steht das Wort "Passwort". © Imago

Online-Zugänge wirkungsvoll sichern

Um Datendiebe im Internet auszubremsen, sollte man möglichst komplexe Passwörter verwenden. Tipps für sicheres Anmelden. mehr

Was tun, wenn das Passwort gehackt wurde?

Wenn ein Passwort gehackt wurde, sollten Betroffene schnell reagieren und alle Passwörter verändern, die mit dem gehackten Passwort genutzt werden. Das Einrichten einer Zwei-Faktor-Authentifizierung kann verhindern, dass Cyberkriminelle nach einer Passwort-Änderung erneut Zugang zum Account bekommen. Der E-Mail-Eingang und der Zahlungsverkehr auf dem Bankkonto sollten beobachtet werden. Gegebenenfalls ist das Bankkonto zu sperren und Strafanzeige zu stellen.

Unternehmen posten und liken im Namen von Usern

Wer Single-Sign-On nutzt, sollte sich genau informieren, welche Daten an den Website-Betreiber weitergegeben werden und was dieser damit macht. Laut Verbraucherzentrale stimmen User bei einigen Social Logins sogar zu, dass in ihrem Namen gepostet und geliked wird. Dass ein Unternehmen diese Rechte hat, wird bei der Einrichtung eines Accounts zwar angegeben, doch häufig nicht gelesen. User bekommen dann meist nichts von den Posts und Likes im eigenen Namen mit.

Wer es sich leicht machen möchte und deshalb die Buttons "Weiter mit ..." von Google, Xing oder Facebook nutzt, zahlt mit seinen Daten und schlimmstenfalls mit Geld von seinem gehackten Bankkonto. Verbraucher sollten sich daher gut überlegen, ob sie Single-Sign-On nutzen.

Weitere Informationen
Ein Vorhängeschloss vor einer Computertastatur © colourbox Foto: Tomasz Zajda Virrage Images Inc

Mit Zwei-Faktor-Authentifizierung Online-Konten schützen

Wer seine Accounts einfach vor Angriffen schützen möchte, sollte das 2FA-Verfahren nutzen. Wie funktioniert es? mehr

Eine Bankkarte hängt an einem Angelhaken über einer Cumputertastatur. © picture alliance / Zoonar Foto: magann

Phishing beim Online-Banking: So funktioniert die Betrugsmasche

Mit falschen E-Mails ergaunern Betrüger Passwörter und Nummern von Bankkonten. Anschließend buchen sie Geld ab oder um. mehr

Eine Hand hält ein Smartphone, auf dem das Logo des Zahlungssystems Paypal zu sehen ist. © picture alliance, Michael Bihlmayer Foto: Michael Bihlmayer

Paypal: Das sollten Verbraucher beim Online-Bezahlen beachten

Immer mehr Menschen erledigen ihre Einkäufe im Internet. Welche Vor- und Nachteile hat das Bezahlen per Paypal? mehr

Dieses Thema im Programm:

Markt | 30.08.2021 | 20:15 Uhr

Schlagwörter zu diesem Artikel

Technik

Recht

Mehr Verbrauchertipps

Cannabis in einem Plastiktütchen und auf einer Holzfläche. © Colourbox Foto: Nils Weymann

Cannabis: Was bedeutet die Teil-Legalisierung in Deutschland?

Besitz und Erwerb von Cannabis werden ab 1. April teilweise legal. Was ist künftig erlaubt? Was bleibt verboten? mehr