Pfeil- und Text-Symbol
14.02.2017
Kategorie: Mitteilung

Unsichere Bequemlichkeit: Single Sign-on-Dienste nutzen Kundendaten und Nutzerverhalten für ihre Zwecke aus


News_Single Sign on

Im Netz muss es stets schnell gehen. Schnell und einfach, das sind die liebsten Eigenschaften, die ein Internetdienst haben sollte. Deshalb erfreuen sich schon seit langer Zeit sogenannte „Single Sign-on-Dienste“ wachsender Beliebtheit: Mit einem Klick kann sich der Nutzer auf mehreren Websites oder Portalen anmelden. Kein langwieriges Anlegen von Benutzerkonten, kein ellenlanges Tippen, kein großer Zeitaufwand: „Aber dies geschieht auf Kosten der Sicherheit“, erklärt Sebastian Wacowski, IT-Sicherheitsexperte vom Institut für Internet-Sicherheit – if(is). „Die Anbieter dieser Dienste, beispielsweise Google oder Facebook, verfügen dabei meist relativ frei über die Daten ihrer Nutzer“, ergänzt Wacowski. So wird in ihren AGB oft nur schwammig abgebildet, welche Daten die Dienste wofür nutzen und an wen weitergegeben. Die Folge ist zum Beispiel unerwünschte Werbung, maßgenschneidert durch die Analyse des Nutzerverhaltens. Facebook und Google machen mit der Datenauswertung Geschäfte: Die Unternehmen wissen anschließend, welche Dienste noch genutzt werden und können dort dann Werbung platzieren.

Neben der Beeinflussung durch Werbung oder andere Angebote, ist es in erster Linie die Sicherheit des Verfahrens, die Wacowski vom if(is) mehr als kritisch ansieht: Gelingt es einem Hacker den Zugang zum Log-in-Dienst zu knacken, erhält er freien Zugriff zu allen Diensten, mit denen man den Single-Sign on verknüpft hat. „Damit macht man es unbefugten Dritten leider sehr leicht, sich Zugang zu sensiblen Daten zu verschaffen“, so Sebastian Wacowski. Deshalb empfiehlt der Mitarbeiter des Instituts für Internet-Sicherheit die Wahl von gesonderten Passwörtern für jeden genutzten Dienst: „Im Idealfall wird ein starkes Passwort gewählt, mit mindestens zwölf Zeichen, bestehend aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen. Außerdem sollte es kein real existierendes Wort sein. Für jeden Dienst sollte man ein anderes Passwort wählen. Das mag zwar umständlich erscheinen, ist aber in jedem Fall die sicherste Variante.“

Damit wir uns als Nutzer nicht jedes Passwort merken müssen, gibt es sogenannte Passwort-Manager: Sie speichern die Passwörter verschlüsselt und lokal ab. Dabei kann die Passwortlänge für die einzelnen Dienste unbegrenzt lang sein, da nicht mehr der Nutzer selbst die Passwörter eingeben muss, sondern dies von dem Passwort-Manager übernommen wird. Mithilfe eines sogenannten Master-Passworts, dass sich der Anwender tatsächlich merken muss, werden dann alle anderen gespeicherten Passwörter freigegeben. Die größte Sicherheit gibt es schließlich, wenn das Master-Passwort sicher generiert und regelmäßig geändert wird. Passwort-Manager gibt es sowohl kostenlos als auch kostenpflichtig zum Download im Internet. 


Zum Seitenanfang springen