Wie war nochmal mein Benutzername? Mein neues Passwort „SonneMond123” wird vom Schuhversender meiner Wahl nicht akzeptiert, weil noch ein Sonderzeichen rein muss? Spätestens seit das Web vor vielen Jahren im Zweipunktnull angekommen ist, sind Loginmasken die Gatekeeper zu Timelines mit Katzenvideos, zu dem Outletshop für die unglaublich günstige Handtasche und zu den eigenen Emails. Rein darf man nur mit richtigem Benutzernamen und Passwort.
Wär doch cool, wenn das einfacher ginge? Das dachten sich vor 10 Jahren die damaligen Entwickler bei Twitter auch und haben sich einen schlauen Mechanismus namens OAuth überlegt. Mit kryptografischen Algorithmen und Prozessen ist es damit möglich, dass man sich mit einem einzigen Login bei zig Diensten gleichzeitig und wiederholbar anmelden kann, ohne dass die Dienste das geheime Passwort bekommen müssen. Auch wenn die ursprüngliche Idee von Twitter eine ganz andere Motivation hatte: Twitter wollte in seinen frühen Jahren möglichst viel fremde Software auf die eigene Plattform lassen. Und diese fremde Software musste funktionieren, ohne dass der Benutzer sein geheimes Passwort weitergibt.
Was also früher nur als Autorisierungs-Handshake zwischen Webservices gedacht war, hat inzwischen eine erfolgreiche Neuinkarnation gefunden: „Facebook Login”. Anstatt zum drölften Mal seine Email einzugeben, ein neues Passwort zu finden und all seine Adressdaten einzugeben, kann man sich mit einem Klick auf den blauen Knopf sowohl registrieren als auch anmelden. Der eigentliche Login läuft dann über Facebook, wo man ohnehin schon dauerhaft eingeloggt ist. Bequem? Sicherlich. Auch auf den zweiten Blick sinnvoll? Nicht wirklich.
One button to rule them all
Grundsätzlich ist das Prinzip, sich mit einem einzigen Login mehrmals ausweisen zu können, sehr komfortabel und einfach. Der Fachbegriff heißt Single Sign On (SSO) und macht vor allem im professionellen und hoffentlich bestens digitalisierten Umfeld Sinn. Wenn die Arbeit zehn verschiedene Softwares und Portale braucht, dann spart die fleißige Büroangestellte mit einem einzigen Login am Morgen deutlich Arbeitszeit. Zudem gewinnt die Sicherheit: Niemand kann sich zehn sichere Passwörter ohne Passwortmanager merken. Ein einziges starkes und sicheres Passwort für alle Systeme ist da deutlich besser. Wenn eine Firma für ihre Mitarbeiter also den eigenen „Maschinenbau Hutzelmair Login” bereitstellt, ist das gut für die Mitarbeiterzufriedenheit, die Effizienz und die Sicherheit der Benutzerkonten.
Bei Single Sign On in der eigenen Firma gibt es aber einen großen Unterschied zum blauen Facebook-Login: Die Infrastruktur, quasi die technische Ausweisstelle, bleibt unter der eigenen Kontrolle. Und der Dienst zeichnet nur das auf, was man auch möchte und unterliegt keiner Fremdverwaltung. Welche Benutzer- und Profildaten gespeichert werden, kann und muss man selbst bestimmen. Das deutsche und europäische Datenschutzgesetz ist da gottseidank sehr streng und verbietet viel.
Facebook hingegen macht sein Geschäft mit Benutzerdaten und das Anbieten des Facebook-Logins geschieht nicht aus reiner Nächstenliebe. Denn wer sich bei Dritten über Facebook anmeldet, der gibt Facebook unnötig private Informationen weiter. Im besten Fall handelt es sich dabei nur um Meta-Daten, also etwa Zeit des Logins und Name des Drittservice. Im schlechtesten Fall um extrem persönliche Daten. Wie das WSJ in seinem Artikel „You Give Apps Sensitive Personal Information. Then They Tell Facebook.” (hinter Paywall) aufgedeckt hat, belässt zum Beispiel die App „HR Monitor” es nicht beim Login. Direkt nach der Messung werden die Gesundheitsdaten zu Facebook übertragen. Eine andere App übermittelte, welche Immobilienanzeigen mit welchen Geokoordinaten ein Benutzer angeschaut hatte. Eine dritte übertrug die Infos, wann die weiblichen Nutzerinnen ihre Periode haben und ob sie planen, schwanger zu werden.
Wenn bei dieser katastrophalen Datensicherheit noch die wichtigste Information, nämlich welche eindeutig identifizierbare Person sich gerade vor dem iPhone oder Rechner befindet, direkt von Facebook bereitgestellt wird — dann ist einem intelligenten Vernetzen und Verknüpfen der Daten kein Stein mehr im Weg. Und genau das ist das Geschäftsmodell von Facebook.
Ergo: Niemand sollte den Facebook-Login für irgendwas verwenden. Es muss nicht, aber es kann zur unangenehmen Akkumulation von privaten Daten führen, die unter anderen Umständen nie in die Finger von Facebook gelangt wären. Dasselbe gilt freilich auch für den Twitter-Login, den Google-Login und den vor allem bei Entwicklern beliebten GitHub-Login. Diese drei haben aber keinen so skandalösen Track-Record an Datenveruntreuung wie das Zuckerberg-Imperium.
Der europäische Login-Button aus der Retorte
Die Idee vom Single Sign On komplett aufgeben muss man aber nicht. Grundsätzlich ist OpenID Connect ein freier Standard. In der Praxis ist es aber leider so, dass die einzelnen Services nicht ad-hoc kompatibel sind. Zudem muss der authentifizierende Dienst ein im Voraus geteiltes Geheimnis für den nutzenden Dienst bereitstellen. Das macht es schwierig, sich selbst einen OAuth2/OpenID Connect-Dienst irgendwo ins Netz stellen zu können.
Dieser Wirrwarr an Inkompatibiltät und das Fehlen von einem globalen Logout, wie das Paper „O Single Sign-Off, Where Art Thou? An Empirical Analysis of Single Sign-On Account Hijacking and Session Management on the Web” motiviert, kann nur eines bedeuten: Es muss andere Login-Anbieter neben Facebook geben. Und das aber genauso zugänglich, noch sicherer und einfach benutzbar.
Ein Anwärter das zu ändern ist netID. Als europäische SSO-Lösung geht ging die als Stiftung organisierte europäische Alternative zum Facebook-Login Ende letzen Jahres an den Start. Mit den Marken der United Internet AG (1&1, GMX, WEB.DE und zig weitere) und denen der ProSiebenSat.1-Gruppe stehen auch gleich Millionen von Accounts bereit, deren Besitzer den Login schon nutzen könnten.
Wie der Facebook- und Google-Login setzt netID auf den OpenID Connect Standard, macht aber einige fahrlässige Fehler der Facebook-Implementierung nicht — nach nicht geprüften Aussagen ihres CTOs Achim Schlosser. Die Zugriffstoken hätten nur eine kurze Lebenszeit von 15 Minuten. Facebooks Token sind unverhältnismäßig lange gültig, fast so als wäre eine Loginmaske dem Facebook-Nutzer nicht zumutbar. Zu lange, wie der Hack im Oktober 2018 eindrücklich demonstriert hatte. Facebook hatte zudem noch auf Teilen ihrer Plattform das Sicherheitsfeature HSTS nicht aktiviert, netID soll es durchgängig verwenden.
Da netIDs Geschäftsmodell im Gegensatz zu dem von Facebook weder mit den eigenen Urlaubsfotos noch mit dem Familienchat zu tun hat, ist die Gefahr für den Datenschutz eine deutlich geringere. Zudem ist der eigentliche Anbieter des Benutzeraccounts eine mehr oder minder inhomogene Menge von Marken und Portalen, die schon allein wegen der DSGVO gegenseitig keine Daten austauschen dürfen.
Ähnlich wie netID positioniert sich mit lautmalerischen Namen der Dienst Verimi. Im Gegensatz zu netID sind die Gründer, unter anderem Allianz und Daimler, eher in der old economy zu finden.
Was beide SSO-Lösungen made in Germany leider gemeinsam haben: Eine so prominente Brand wie Facebook sind sie nicht. Und paradoxerweise vertrauen Heerscharen von Benutzern der Marke Facebook und Google mehr als einem wie auch immer geartetem europäischen Login-Konsortium, das bieder, unsexy und ohne Lifestyle-Komponente aus der Retorte gehoben wurde. Dass es im Netz so gut wie keine technische Dokumentation dazu gibt, macht die Sache nicht besser. Retten kann das nur, wenn bestehende etablierte Brands dieses Defizit ausgleichen, indem sie die europäischen Anbieter entsprechend pushen. Und hier kann man vorsichtig positiv sein: Viele großen europäische Player wie Zalando oder ImmobilenScout24 wollen auf den Zug aufspringen.
Langfristig muss die Richtung klar sein: Deutsche und europäische Anbieter von Onlinediensten mit Benutzeraccount — und das sind praktisch alle — müssen die Vorgaben der DSGVO ernst nehmen und den unsäglichen Facebook-Login rauswerfen oder gar nicht erst einbauen. Benutzer sollten sich weigern, den Button zu verwenden. Und gemeinsam muss die europäische Digitalindustrie zu Potte kommen und eine komfortable, gut dokumentierte, funktionierende und für den Benutzer ansprechende alternative Loginlösung bereitstellen. Wenn Europa der internationale Vorreiter im Datenschutz sein will, müssen jetzt konkrete innovative Implementierungen folgen, die in allen Punkten besser sind als der Facebook-Login.