8. April 2013 - Social Sign-ins

Werden soziale Netzwerke jetzt zu Identitätshütern?

Nach Facebook Connect kommt mit Google+ Sign-in ein weiterer Anmeldedienst, der auf einem sozialen Netzwerk beruht. Soziale Netzwerke werden damit zum Tor zu weiteren Webseiten und Online-Diensten. Was bedeutet das für den Datenschutz?

werden-soziale-netzwerke-jetzt-zu-identitatshutern.jpeg
Ein Passwort für alle Websites? Das Social Sign-in-Verfahren macht es möglich. (Bild: Thinkstock)

Anmelden mit Google oder Facebook

Kaum jemand ist wirklich begeistert davon, sich zehn oder mehr verschiedene Passwörter zu merken für die zahlreichen Online-Dienste, die man regelmäßig nutzt. Wie schön wäre es da, sich mit nur einem Passwort bei allen Diensten gleichzeitig anmelden zu können! Sofern die Webseiten der Wahl es unterstützen, ist dies technisch kein Problem.

Sogenannte Single-Sign-on-Verfahren gibt es viele, darunter auch Anmeldeverfahren sozialer Netzwerke wie Facebook Connect. Einmal bei Facebook angemeldet, kann man die angeschlossenen Webseiten ohne Login nutzen. Seit kurzem gibt es jetzt auch die Möglichkeit, sich bei teilnehmenden Webseiten über Google+ anzumelden, und zwar mit Google+ Sign-in.

Social Sign-ins: Praktisch oder riskant?

Die Idee hinter den Social Sign-ins wie Facebook Connect oder Google+ Sign-in ist bestechend: Die „erste Amtshandlung“ vieler Internetnutzer am Morgen ist das Anmelden bei Facebook oder einem anderen sozialen Netzwerk, um die neusten Statusnachrichten ihrer Kontakte zu lesen. Was liegt da näher, als diese Anmeldung auch als Login für weitere Webseiten zu nutzen, die dann später zum Zuge kommen? Tatsächlich ist dies eine praktische Erleichterung im Internetalltag, allerdings nicht ohne mögliche Folgen.

Sicherheit kann sich verbessern oder verschlechtern

Eine wesentliche Kritik an Verfahren zur Einmal-Anmeldung ist die Gefahr, dass der Diebstahl dieses einen Passworts Unbefugten den Zugang zu mehreren Diensten ermöglicht. Zudem ist häufig sogar das Master-Passwort nicht komplex genug gewählt.

Bei Google+ Sign-in hingegen lässt sich eine Zwei-Faktor-Anmeldung realisieren, bei der das Passwort allein nicht reicht. Zusätzlich ist ein Einmal-Passwort, das zum Beispiel per SMS geschickt wird, erforderlich. Das ist mehr, als viele Webseiten für sich genommen verlangen würden.

Nutzer kann bei Google+ Sign-in Datenweitergabe kontrollieren

Auch die Sorge, dass der Webseitenbetreiber bei der Anmeldung via Google alle Profildaten aus Google+ erhält, lässt sich zerstreuen. Denn der Nutzer kann einsehen und kontrollieren, welche Daten an die Webseite, bei der er sich anmelden möchte, übermittelt werden.

Da stellt sich doch die Frage, ob solche Sign-ins über soziale Netzwerke nicht ein Fortschritt für den Datenschutz darstellen:

  • Die Zwei-Faktor-Anmeldung vermeidet einfache Passwörter, und
  • die Nutzer werden sich ihre Passwörter dank der Einmal-Anmeldung wohl nicht notieren.

Aber Vorsicht vor den möglichen Auswertungen

Einen zentralen Punkt sollte man aber aus Datenschutzsicht nicht vergessen: Der Betreiber eines Anmeldedienstes ist ein Datenknotenpunkt. Bei ihm laufen letztlich alle Anmeldungen zusammen. Theoretisch könnte er also sehr umfassende Auswertungen über die Nutzeraktivitäten erstellen.

Wenn dann noch Facebook oder Google die Anmeldungen und damit die digitale Identität verwalten, wird die Menge der insgesamt anfallenden Nutzerdaten noch deutlicher: Die Anbieter könnten das soziale Online-Profil mit all seinen Informationen in Verbindung bringen mit den Aktivitäten außerhalb des jeweiligen sozialen Netzwerks, über die sie durch die zusätzlichen Anmeldungen, die sie abgewickeln, Kenntnis erhalten.

Sorgen Sie für Aufklärung

Da die Zahl der Webseiten, die Social Sign-ins akzeptieren werden, zweifellos hoch sein wird, sollten Sie die Internetnutzer im Unternehmen sensibilisieren, was der Komfort einer Anmeldung mit Facebook oder Google letztlich möglich machen könnte.

Um personenbezogene oder personenbeziehbare Nutzerprofile auszuschließen, sollten Registrierungen für Anmeldedienste möglichst datensparsam sein. Bei sozialen Netzwerken ist dies sicherlich nicht der Fall, ganz im Gegenteil. Nutzen Sie am besten die aktuelle Mitarbeiterinformation zur Aufklärung der Nutzer.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln