18. Mai 2022 Social Login: Wie sicher sind Daten beim Login mit dem Social-Media-Account?

Wer die Wahl zwischen dem Ausfüllen eines Registrierungsformulars und dem Klick auf einen Button hat, entscheidet sich häufig für den einfacheren Weg über Drittanbieter wie soziale Netzwerke. Diese Anmeldeoption hat aber nicht ausschließlich Vorteile.

„Mit Facebook anmelden“ prangt als blau unterlegter Button beinahe auf jeder Registrierungsplattform im Internet – direkt unter der Möglichkeit, wie üblich Name, E-Mail-Adresse und andere notwendige Informationen in ein Formular einzutragen. Kaum eine Website kommt heutzutage ohne die alternative Login-Option über eines der zahlreichen sozialen Netzwerke und dort bereits bestehende Accounts aus. Für Nutzerinnen und Nutzer bedeutet sie eine Erleichterung der Anmeldung, für Unternehmen reduziert sich die Absprungrate beim Registrierungsvorgang. Außerdem „beschränkt sich der Aufwand für Unternehmen im Allgemeinen auf das Einfügen von einigen Codezeilen in der eigenen (Web-)Anwendung“, erklären Manuel Koschuch und Tobias Buchberger vom Kompetenzzentrum für IT-Security an der FH Campus Wien.

Im Interview erklären die beiden Experten, wie der Social Login funktioniert, worauf Nutzerinnen und Nutzer dabei achten müssen, und was passiert, wenn die Zugangsdaten der Nutzerin oder des Nutzers in die Hände von Cyberkriminellen geraten.

Was ist unter Social Login zu verstehen? Wie funktioniert diese Technologie?
Manuel Koschuch: Die dahinterliegende Grundidee wird auch als Single Sign-on (SSO) bezeichnet: Anstatt für jeden einzelnen Dienst neue Zugangsdaten (Benutzername und Passwort) anzulegen, beauftragt eine Userin oder ein User eine dritte Partei (wie Facebook, Microsoft oder Google) – den sogenannten Identity Provider – damit, gegenüber dem neuen Dienst die eigene Identität zu bestätigen. Der Ablauf ist dabei im Wesentlichen so, dass man dem neuen Dienst mitteilt: „Frag doch bei Facebook, wer ich bin“, sich eventuell noch einmal bei Facebook mit seinem Passwort authentifiziert und gegebenenfalls auswählt, welche persönlichen Informationen der neue Dienst von Facebook erhalten soll. Facebook gibt dann diese Daten mitsamt der Bestätigung der eigenen Identität weiter.

Wie steht es hier um den Datenschutz beziehungsweise die Einhaltung der DSGVO auch im Hinblick auf die Datenverarbeitung durch US-amerikanische Konzerne?
Tobias Buchberger: Das Modell setzt voraus, dass man bereits einen Account bei einem dieser Dienste hat. Damit ändert sich hier grundsätzlich nichts an bereits existierenden DSGVO-Problematiken. Viele der Identity Provider sind US-Konzerne und unterliegen damit dem CLOUD Act. Mit diesem Gesetz könnten US-Strafverfolgungsbehörden diese Unternehmen dazu verpflichten, ihnen Userdaten zur Verfügung zu stellen, unabhängig davon, wo diese gespeichert sind.

Worauf müssen Nutzerinnen und Nutzer bei dieser Art von Anwendung achten?
Koschuch: Im Wesentlichen auf dieselben Punkte, die bei Logins im Internet immer zu beachten sind: Führt der Anmeldelink wirklich zu Facebook, Google oder Apple? Ist es eine verschlüsselte HTTPs-Verbindung (grünes Schloss in der Browserleiste)? Falls ausgewählt werden kann, dass gewisse Daten an den neuen Dienst übertragen werden, sollte man sich fragen, ob man das wirklich will. Können eventuell einzelne Daten abgewählt werden? So ist beispielsweise nachvollziehbar, dass ein Dienst die E-Mail-Adresse einer Nutzerin oder eines Nutzers haben möchte. Die Weitergabe der gesamten Facebook-Freundesliste sollte man sich hingegen eher überlegen.

Bekommen Hackerinnen oder Hacker die Zugangsdaten eines solchen Social Login in die Hände, führt das in der Theorie zu größerem Schaden, da nun nicht nur Zugriff auf einen Dienst oder eine Website gegeben ist, sondern auf unterschiedliche Dienste, bei denen der betreffende Social Login verwendet wurde. Das Risiko lässt sich mittels Mehrfaktorauthentifizierung minimieren, indem beim Identity Provider – zusätzlich zur Anmeldung mit Passwort – ein Code eingegeben werden muss, der zuvor per SMS gesendet wurde. In der Praxis besteht das Problem jedoch auch ohne Social Login, da leider immer noch oft dieselbe E-Mail-Adresse beziehungsweise derselbe Username in Kombination mit demselben Passwort für unterschiedliche Dienste eingesetzt – und keine Mehrfaktorauthentifizierung genutzt – wird.

Wenn ein Identity Provider seinen Betrieb einstellt (zum Beispiel wegen eines Konkurses) oder aufgrund eines technischen Gebrechens nicht mehr funktioniert, können alle davon abhängigen Dienste auch nicht mehr verwendet werden. Das ist nicht nur ein theoretisches Problem. Microsoft Office 365 ist beispielsweise schon stunden- beziehungsweise tagelang ausgefallen. Ein Diensteanbieter oder eine Website könnte außerdem anfangs die Registrierung via Social Login ermöglichen, diese Funktion aber im Nachhinein entfernen. Auch in diesem Fall würden Userinnen und User den Zugriff auf die Website oder den Dienst verlieren.

Wie sicher sind die eigenen Daten bei einem Login mit dem Profil eines sozialen Netzwerks? Welche Gefahren bestehen etwa durch Hackerinnen und Hacker oder Cyberkriminelle?
Buchberger: Die für den Datenaustausch verwendeten Protokolle sind grundsätzlich sicher. Der neue Dienst erhält nie ein Passwort, das er verlieren oder verkaufen könnte. Die Nutzerinnen und Nutzer müssen sich damit auch keine neuen Zugangsdaten merken. Sämtliche von Identity Providern unterstützten Security-Features wie Mehrfaktorauthentifizierung können direkt für den Login beim neuen Dienst genutzt werden. Dienste wie Google oder Facebook haben üblicherweise auch mehr Ressourcen für IT-Security als etwa Müllers Online-Sockenshop. Userinnen und User kreieren also durch die Verwendung von solchen Logins einen sogenannten Single Point of Failure (das eigene Facebook-Passwort) und vermeiden das weite Streuen von Anmeldedaten im Netz.

Trotzdem kommt es auch vor, dass Schwachstellen gefunden werden. So war es zum Beispiel möglich, bei „Sign in with Apple“ nur mit Kenntnis der E-Mail-Adresse einer Benutzerin oder eines Benutzers den persönlichen Account auf einer beliebigen Website zu übernehmen.

Nutzerinnen und Nutzern muss auf jeden Fall klar sein, dass der als Identity Provider verwendete Dienst Informationen darüber erhält, welche Websites von ihnen besucht wurden, und diese Informationen in die eigene Profilbildung einfließen lassen wird.

Welche Vor- beziehungsweise Nachteile entstehen durch die Verwendung des Social Login sowohl auf Unternehmens- als auch auf Nutzerinnen- und Nutzerseite?
Koschuch: Unternehmen können ihren Nutzerinnen und Nutzern eine niederschwellige Anmeldung ermöglichen. Dabei müssen sie sich nicht selbst um die sichere Verwahrung von Zugangsdaten beziehungsweise die Zurverfügungstellung moderner Anmeldemechanismen kümmern. Außerdem können sie die Daten des Identity Providers mit der eigenen Website verknüpfen, um ihren Nutzerinnen und Nutzern personalisierte Inhalte anzubieten. Das alleinige Setzen auf Social Logins kann auch abschreckend wirken: Hat eine Userin oder ein User etwa keinen Facebook- oder Google-Account, so kann auch der neue Dienst nicht genutzt werden.

Userinnen und User profitieren von einer komfortablen und grundsätzlich sicheren Anmeldemöglichkeit, dafür erhöhen sie aber die persönliche Abhängigkeit vom jeweiligen Identity Provider. Ein zusätzlicher, nicht immer offensichtlicher Nachteil ist auch, dass Identity Provider das Nutzungsverhalten über die Grenzen der eigenen Dienste hinaus nachverfolgen und monetarisieren können.