Anmelden leicht gemacht: Social Sign-in & Single Sign-on
Zentrale Identitäten gegen Passwort-Schwächen
Kaum jemand ist begeistert davon, sich für die zahlreichen Online-Dienste zehn oder mehr verschiedene Passwörter zu merken. Das führt dazu, dass die Nutzer entweder
- zu einfache Passwörter wählen,
- immer das gleiche Passwort nutzen oder sogar
- beides tun: Immer das gleiche, einfache Passwort nutzen.
Wie schön wäre es, sich mit nur einem (sicheren!) Passwort bei allen Diensten gleichzeitig anzumelden! Sofern die Online-Dienste der Wahl das unterstützen, ist das technisch kein Problem. Sogenannte Single-Sign-on-Verfahren (SSO) gibt es viele. Darunter Anmeldeverfahren sozialer Netzwerke wie Facebook, Google und Twitter (Social Sign-in genannt).
Einmal beim sozialen Netzwerk angemeldet, lässt sich der angeschlossene Online-Dienste ohne erneutes Login nutzen.
Social Sign-ins: Praktisch oder riskant?
Die Idee hinter den Social Sign-ins wie bei Facebook Login ist bestechend: Die „erste Amtshandlung“ vieler Internetnutzer am Morgen ist das Anmelden bei Facebook oder einem anderen sozialen Netzwerk, um die neusten Statusnachrichten ihrer Kontakte zu lesen.
Was liegt näher, als diese Anmeldung als Login für weitere Webseiten zu nutzen, die später zum Zuge kommen?
Tatsächlich ist das eine praktische Erleichterung im Internetalltag. Sie hat allerdings Folgen: Die sozialen Netzwerke werden zu „Identitätshütern“. Sie bündeln alle Zugangsdaten der Nutzer für die angeschlossenen Online-Dienste.
Datenschützer stufen solche Daten-Konzentrationen bei sozialen Netzwerken in aller Regel als kritisch ein.
Single-Sign-on(SSO-)Lösungen jenseits sozialer Netzwerke
Es gibt eine ganze Reihe anderer Möglichkeiten, eine zentrale digitale Identität und die Vorteile einer Einmal-Anmeldung (SSO) zu nutzen:
IAM
Zum einen bieten viele Lösungen aus dem Bereich Identity and Access Management (IAM) eigene Single-Sign-on-Funktionen, meist Enterprise SSO genannt.
Wer als digitale Identität in einer solchen IAM-Lösung verwaltet wird, kann oft eine Einmal-Anmeldung für mehrere Online- (und Netzwerk-)Dienste, Cloud-Apps und mobile Apps nutzen.
Voraussetzung ist, dass die IAM-Lösung genau den Online-Dienst oder die Anwendung unterstützt (wichtig sind hier Standards wie SAML, Schnittstellen, Konnektoren).
Cloud
Auch Cloud-Provider bieten ihren Nutzern SSO-Funktionen für Cloud-Apps, die bei ihnen angesiedelt sind.
Personalausweis
Zentrale digitale Identitäten bietet zudem die Online-Ausweisfunktion des Personalausweises. Voraussetzung ist auch hier: Es gibt eine Anbindung an den Online-Dienst, an dem man sich anmelden will.
Initiativen in Deutschland
Ebenso gibt es verschiedene Initiativen in Deutschland, um gemeinsame digitale Identitäten über mehrere Online-Dienste hinweg zu etablieren.
- So haben die Mediengruppe RTL Deutschland GmbH, die ProSiebenSat.1 Media SE sowie die United Internet AG mit WEB.DE und GMX eine Log-in-Allianz initiiert. Seit November 2018 ist die „European Net-ID-Foundation“ am Start.
- Auch Allianz, Axel Springer, Daimler, Deutsche Bank mit Postbank sowie Core und Here haben eine gemeinsame Registrierungs-, Identitäts- und Daten-Plattform geschaffen: Verimi.
Grundsätzlich gilt: Die Vorteile von SSO-Diensten hängen davon ab, welche Partner angeschlossen sind. Viele SSO-Initiativen finden nicht genug Unterstützung. So bleiben sie Insellösungen.
SSO: Auswirkungen auf Datenschutz und Datensicherheit
Ein wesentlicher Kritikpunkt an Verfahren zur Einmal-Anmeldung ist die Gefahr, dass Unbefugte, die dieses eine Passwort stehlen, Zugang zu mehreren Diensten erhalten.
Zudem ist häufig das Master-Passwort nicht komplex genug gewählt. Wichtig ist deshalb, dass sich beim SSO-Verfahren eine Zwei-Faktor-Anmeldung realisieren lässt. Hier reicht das Passwort allein nicht. Sondern es ist zusätzlich etwa ein Einmal-Passwort, das der Nutzer per SMS erhält, erforderlich.
Da stellt sich die Frage, ob Single-Sign-on-Lösungen nicht einen Fortschritt für den Datenschutz darstellen:
- Die Zwei-Faktor-Anmeldung vermeidet einfache Passwörter.
- Die Nutzer notieren sich ihre Passwörter dank der Einmal-Anmeldung eher nicht.
Ein zentraler Punkt aus Datenschutzsicht ist allerdings: Der Betreiber eines Anmeldedienstes ist ein Datenknotenpunkt. Bei ihm laufen alle Anmeldungen zusammen. Theoretisch könnte er also umfassende Auswertungen über die Nutzeraktivitäten erstellen.
Tipps für SSO-Nutzer
Nutzen Sie die folgenden Punkte, um die Kollegen über die Vor- und Nachteile von SSO aufzuklären:
- Für jeden Online-Dienst, jede geschützte Webseite und jede Applikation in der Cloud, die Sie nutzen, brauchen Sie ein eigenes, starkes Passwort. Bei der Vielzahl der erforderlichen Anmeldungen im Internet ist dies für niemanden einfach und angenehm.
- Deshalb sind spezielle Anmeldedienste (Single Sign-on, SSO) beliebt. Sie bieten die Möglichkeit, mit nur einer Anmeldung alle angeschlossenen Webseiten, Dienste und Apps ohne weiteres Login zu nutzen.
- Beachten Sie bei der Registrierung für einen solchen Anmeldedienst, ob dieser betrieblich zugelassen ist.
- Machen Sie sich zudem mit der Datenschutzerklärung des Anmeldedienstes vertraut. Schließlich laufen zahlreiche Anmeldungen und Nutzeraktivitäten über diesen einen Dienst.
- Gehen Sie bei der Registrierung für einen Anmeldedienst besonders datensparsam vor. Andernfalls kann der Anbieter des Dienstes theoretisch personenbezogene oder personenbeziehbare Nutzerprofile über die Anmeldeaktivitäten erstellen.
- Bei unsicheren SSO-Diensten könnten Unbefugte versuchen, Ihre Online-Profile mit den Anmeldeaktivitäten in Verbindung zu bringen. Das Ergebnis wären sehr umfassende Einblicke in Ihre persönlichen Internet-Aktivitäten. Oder Ihr zentraler Zugang könnte gehackt werden. Und damit die Zugänge zu allen angeschlossenen Webseiten, Diensten und Apps, die Sie nutzen. Bitte bedenken Sie dies bei der Wahl eines zentralen Anmeldedienstes im Internet.