"Mit Google fortfahren" - eine herrlich bequeme Art, sich auf einer Website oder in einer App anzumelden und einzuloggen, zumal Sie wahrscheinlich bereits in Ihrem Google-Konto angemeldet sind. Sie brauchen nur auf die Schaltfläche zu tippen oder zu klicken und zuzulassen, dass einige Ihrer persönlichen Daten aus Ihrem Google-Konto für den Online-Dienst eines Drittanbieters freigegeben werden.

Da Bequemlichkeit heutzutage so oft im Vordergrund steht, können Sie sich auf vielen Websites mit Ihrem Facebook-, Google-, Microsoft-, LinkedIn-, Apple- oder einem anderen Konto bei einem großen Technologieunternehmen anmelden. In der Regel gibt es eine große Auswahl an Optionen für jeden Geschmack.

Figure 1. Example of SSO options for logging in or creating an account
Abbildung 1. Beispiel für SSO-Optionen zum Anmelden oder Erstellen eines Kontos
Figure 2. More SSO options
Abbildung 2. Weitere SSO-Optionen

Wenn Sie Ihr Google-Login mit einem anderen Dienst verknüpfen, ermächtigen Sie Google zur Weitergabe Ihrer persönlichen Daten, um den Zugang zu erleichtern und die Nutzung zu vereinfachen. Wie sicher kann das sein?

Um Ihnen dabei zu helfen, ein Gleichgewicht zwischen Sicherheit und Bequemlichkeit zu finden, haben wir die Vor- und Nachteile einer Authentifizierungsmethode namens Single Sign-On (SSO), allgemein auch als Social Login bekannt, für Ihre persönlichen Online-Konten zusammengestellt.

Ein Login für alle!

Das Wichtigste zuerst: Was genau ist SSO? Es handelt sich um ein Authentifizierungsverfahren, das es einer Organisation ermöglicht, mit Ihrer Zustimmung auf Ihre persönlichen Daten zuzugreifen, während Sie sich für ihre Dienste anmelden und einloggen können, anstatt sich über ein eigenständiges Formular registrieren zu müssen.

Es ist nicht verwunderlich, dass diese Praxis im gesamten Internet so verbreitet ist:

  • Einfache Registrierung und leichter Zugang. Anstatt mühsam ein weiteres Formular mit Ihrem Vor- und Nachnamen, Ihrer Telefonnummer oder E-Mail-Adresse auszufüllen, können Sie einfach auf Ihre bevorzugte SSO-Option klicken und diese (aber möglicherweise auch andere) Daten mit der neuen App oder Website teilen. [Wichtig zu wissen ist, dass Ihr Passwort niemals an die Website weitergegeben wird - stattdessen wird Ihre Identität über ein Authentifizierungstoken überprüft.]
  • Anziehung und Gewinnung von Nutzern. Online-Dienste wissen nur zu gut, dass die Wahrscheinlichkeit, sich anzumelden und einzuloggen, umso größer ist, desto bequemer der Anmeldevorgang ist.
  • Keine Passwortmüdigkeit mehr. Unterschiedliche Websites stellen unterschiedliche Anforderungen an das Passwort; außerdem sollten wir jedes Mal eine eindeutige Kombination aus Benutzernamen und Passwort verwenden. Dank dieser SSO-Implementierung können Sie mit einem sicheren Kennwort für nur eine der großen Internetplattformen auf Hunderte von anderen Websites zugreifen, wodurch sich die Anzahl der Kennwörter, die Sie erstellen und sich merken müssen, erheblich verringert.
  • Bessere Vorbeugung gegen selbstverschuldete Kontokompromittierungen (in einigen Fällen). Da unsere Passwortlisten zu umfangreich werden, um sie sich zu merken, behalten viele Menschen ihre Anmeldedaten auf Papier oder in einer Excel-Tabelle. Was aber, wenn jemand zufällig diese Passwortliste in die Hände bekommt? Wenn Sie sich nur das Passwort für Ihr Google-Konto merken und das Konto richtig absichern, müssen Sie nicht unbedingt eine schlecht geschützte Liste von Passwörtern erstellen, auf die Sie sich dann verlassen müssen (z. B. wenn Passwortmanager nicht Ihr Ding sind).

Sollten Sie also immer SSO verwenden?

Die Antwort ist eindeutig: Nein, denn es gibt auch einige Nachteile. Genauer gesagt, bietet SSO zwar einige erhebliche Vorteile für die Benutzer, aber es birgt auch Risiken, die sich möglicherweise erst zeigen, wenn es zu spät ist. Was sind einige der Auswirkungen?

  • Sie legen alle Eier in einen Korb. Wenn Ihre Facebook- oder Google-Anmeldedaten in die falschen Hände geraten, haben Cyberkriminelle nicht nur Zugriff auf dieses eine Konto, sondern auch auf alle anderen Websites, mit denen Sie es verknüpft haben. Das bringt uns zum nächsten Punkt...
  • Schützen Sie Ihr Hauptkonto, als ob Ihr Leben davon abhinge. Ein sicheres Passwort - vielleicht in Form einer Passphrase, die aus einem Satz besteht, der Groß- und Kleinbuchstaben und Zahlen mischt - kann der Schlüssel zum Schutz Ihrer Konten und persönlichen Daten sein. Wenn Sie aus irgendeinem Grund keinen Passwortmanager verwenden, sollten Sie vielleicht eine Passphrase in einem Format wählen, das es Ihnen ermöglicht, den Namen der Website hinzuzufügen, ohne dass die gesamte Zeichenfolge zu vorhersehbar ist.
  • Bedenken hinsichtlich des Datenschutzes. Wenn Sie Konten verknüpfen, erlauben Sie, dass Ihre persönlichen Daten an die Website weitergegeben werden - und da dies so einfach einzurichten ist, willigen Sie möglicherweise in die Übertragung von mehr Daten ein, als Ihnen vielleicht bewusst ist. Auch wenn Sie bei Facebook, Google, Microsoft oder Apple alle Ihre Verbindungen zu Drittanbietern überprüfen können, bedeutet der Widerruf des Zugriffs nicht, dass Sie auch die Zustimmung der Website zur Nutzung Ihrer Daten widerrufen. Wenn Sie nach dem "Löschen von Verbindungen" dieselbe Website erneut aufrufen und Ihr bevorzugtes soziales Login verwenden, werden Sie genauso eingelassen wie zuvor - so als hätten Sie den Zugriff nie widerrufen.

Figure 3. Revoking consent for Google to link your account with another website
Abbildung 3. Widerruf der Zustimmung, dass Google Ihr Konto mit einer anderen Website verknüpfen darf
  • Nutzerwerbung und -gewinnung (und die Auswirkungen auf Ihren digitalen Fußabdruck). Es stimmt, dass wir die effektive Nutzerakquise als einen der Vorteile von SSO für Apps und Websites aufgeführt haben, aber es kann ein zweischneidiges Schwert sein. Wenn Sie sich für Anwendungen oder Websites registrieren, die Sie nie wirklich gebraucht haben, wie lange wird es dauern, bis Sie sie wieder vergessen? Um dem entgegenzuwirken, sollten Sie den Überblick über alle Websites behalten, bei denen Sie sich angemeldet haben, und darüber, welche persönlichen Informationen über Sie dort gespeichert sind. So könnten beispielsweise Ihre Kreditkartendaten auf einer Website gespeichert sein, die Sie einmal benutzt und dann vergessen haben. Dies kann zwar unabhängig davon passieren, wie Sie sich anmelden, aber die reibungslose Art der "Express"-Methode kann dazu führen, dass Sie all die Anwendungen oder Websites vergessen, bei denen Sie sich einmal mit Ihrem Google- oder Facebook-Konto angemeldet haben.

Also, SSO oder nicht SSO?

In Verbindung mit anderen Sicherheits- und Datenschutzmaßnahmen können Social Logins eine große Zeitersparnis darstellen. Bei Websites, die persönliche Daten wie Ihren vollständigen Namen, Ihre Adresse, Bankdaten oder Kreditkartennummern speichern, ist es jedoch sicherer, ein eigenständiges Konto zu verwenden, das durch eine komplexe und eindeutige Passphrase und eine Zwei-Faktor-Authentifizierung (2FA) gesichert ist.

Kurz gesagt, erwägen Sie die Verwendung von SSO nur, wenn Sie:

  • die Zwei-Faktor-Authentifizierung (2FA) auf dem primären Konto aktivieren, da es dadurch für jeden schwieriger wird, sich online als Sie auszugeben,
  • der Plattform vertrauen, die Sie für den Zugriff auf die andere Website verwenden - Vertrauen ist jedoch so eine Sache, und Sie müssen noch andere Vorsichtsmaßnahmen treffen,
  • Zahlungsdienste wie PayPal oder eine virtuelle Kreditkarte als Zahlungsoption für jede Website nutzen, auf die Sie mit SSO zugreifen; so vermeiden Sie die Preisgabe Ihrer Bankdaten,
  • die Einstellungen Ihres primären Kontos nutzen, um den Überblick über alle Websites zu behalten, mit denen Sie es verknüpft haben.
Figure 4. Managing third-party apps and SSO authorizations on Google
Abbildung 4. Verwaltung von Drittanbieter-Apps und SSO-Berechtigungen bei Google

Gibt es einen anderen Weg?

Es kann eine Herausforderung sein, den einfachen Zugriff auf alle Ihre Online-Konten mit deren Sicherheit in Einklang zu bringen. Hier gibt es andere Möglichkeiten, dies zu erreichen als über soziale Logins:

Eine offensichtliche Alternative besteht darin, für jeden Dienst ein eigenes Konto einzurichten und einen Passwortmanager zu verwenden, der Ihnen das Erstellen, Verwalten und automatische Ausfüllen Ihrer Anmeldedaten abnimmt. Eine andere Möglichkeit ist die Verwendung einer Wegwerf-E-Mail-Adresse, insbesondere für Websites, die Ihnen nicht so wichtig sind oder die Sie nicht wieder benutzen wollen. Außerdem haben einige Regierungen eine eindeutige Bürger-ID entwickelt, mit der man online Zugang zu den Diensten einiger öffentlicher und privater Organisationen erhält.

Für welchen Ansatz Sie sich auch immer entscheiden, Sie werden Ihre Online-Präsenz ohne allzu viel Ärger (oder Hektik) genießen können, solange Sie sich an die allgemeinen Cyber-Hygiene-Praktiken halten, einschließlich der Vermeidung der Weitergabe Ihrer Anmeldedaten, der Verwendung von 2FA und des Bewusstseins über Ihren gesamten digitalen Fußabdruck.