Cloud Konten Risiken

Für Office 365 und Microsoft 365 benötigen Sie zwingend ein Konto im AzureAD. Dafür bezahlen Sie aber auch mit einer passenden Lizenz und es gibt einen Vertrag zwischen ihnen und Microsoft. Anders ist das mit Facebook, Twitter, Google, Microsoft (vormals Passport) und vielen anderen Identity Providern. Ich nutze diese nur sehr vorsichtig, wenn es gibt da ein nicht zu unterschätzendes Risiko.

Eine Anmeldung viele Webseiten

Mit einem "geschäftlichen Konto" bei Office 365 können sie sich nicht nur bei ihrem Tenant anmelden, sondern auch als Gast in anderen Tenants und sogar bei anderen Firmen, die AzureAD ihr "Vertrauen" ausgesprochen haben. Das gleiche Prinzip gibt es auch für Privatanwender, die sowieso schon ein Konto bei einem der großen Anbieter haben. Es ist quasi gar nicht mehr möglich, ohne eines der folgenden Konten zu arbeiten.

Anbieter Anmerkungen

 

Google Account

Wer ein Android-Telefon mit dem Google Playstore einrichten will, muss ein Google Konto nutzen. Auch beim Zugriff auf Gmail, Google-Classroom kommen Sie ohne Google Account nicht weiter und beim Zugriff auf YouTube werden Sie immer zur "Anmeldung" aufgefordert.

 

AppleID

Auch für die Einrichtung eines IPhone oder IPad ist ein Apple-Konto erforderlich. Die AppleID dienst zur Verwaltung des Geräts aber auch für die Installation von Apps und den Kauf weiterer digitaler Medien.

 

Microsoft Konto

Zwar stellt Microsoft gerade keine "Windows Phones" mehr her aber für die Einrichtung eines Windows 10 Clients im privaten Umfeld kommen Sie auch nicht mehr an einem Microsoft Konto vorbei. Es hilft aktuell (Jan 2021) nur der Trick den PC keine Netzwerkverbindung zu geben, damit eine Einrichtung mit einem lokalen Konto möglich ist.

 

Für die Anbieter ist so ein Konto natürlich wertvoll, da der Anwender damit "identifizierbar" ist und sogar eine Abrechnung von Zusatzleistungen einfach möglich wird. Auch bieten natürlich alle drei Anbieter ihre "Identity"-Systeme kostenfrei für andere Webseiten und Nutzer an. Eigentlich profitieren alle drei Parteien.

  • Sie als Anwender
    Weil sie sich nur noch ein Konto merken müssen und sogar per "SingleSignOn" überall automatisch angemeldet werden können und sich nicht unterschiedliche Kennworte merken müssen.
  • Der Service-Anbieter
    Er muss sich nicht mehr selbst mit der Ersteinrichtung, Profilverwaltung, Kennwortrücksetzung der Nutzer auseinandersetzen, sondern vertraut einfach der Information, die Google, Appel oder Microsoft ihm überlassen.
  • Der Identity-Provider
    Je mehr Dienste Sie nutzen, desto schwerer wird es von dem Konto wieder los zu kommen. Und alle drei bieten ihnen auch kostenfrei schon einen Speicherplatz (OneDrive, GoogleDrive, iCloud) und ein "kostenfreies" Postfach an.

Diese Chance lassen sich die anderen großen Dienste nicht entgehen und bieten auch entsprechende Konten an, z.B. Facebook, Twitter aber auch Alibaba, Yandex etc. spielen hier mit. Auch die Open Source-Welt hat ihre Provider wie OpenID (https://openid.net/) und vielleicht "Ubuntu One".

Es gibt sogar Überlegungen in Deutschland einen eigenen Identity-Provider aufzubauen, um von den bösen US-Firmen unabhängig zu sein. Oder sagen wir es diplomatischer: Es gibt gleich mehrere Anbieter, die ihr System als "führend" vermarkten wollen.

Ich bin gar nicht sicher, ob ich ein staatliches ID-System gut heißen sollte oder eine ID, die durch Banken oder Kreditkartenfirmen bereitgestellt wird. Damit wäre die Identität zwar nachgewiesen aber unter Verzicht auf jeglicher Vertraulichkeit.

So kommen Sie dann auf immer mehr Webseiten, die eine Anmeldung mit diesen Konten erlauben. Hier z.B. https://edx.org

Wobei EDX hier auch noch die Anlage und Nutzung eines unabhängigen Kontos zulässt.

Nach Sonnenschein kommt...

Die Nutzung dieser zentralen hat natürlich seine Vorteile aber es gibt auch Risiken. Denken Sie einmal über die folgenden Punkte nach:

Szenario

Ursache

Konto gekapert

Alle guten ID-Provider bieten ihnen Multi-Faktor-Authentifizierung an aber es kann dennoch passieren, dass der Zugriff ihres Kontos in fremde Hände gelangt. Selbst mit MFA erhalten Sie nach der Anmeldung ein Cookie oder Token und das kann eine Malware abgreifen. Das ist nicht nur Theorie sondern passiert regelmäßig und lohne sich besonders z.B. für Paypal. Homebanking ist da sicherer, wenn Sie jede Transaktion selbst noch einmal mit einem Key bestätigen müssen.

E-Mail beim gleichen Provider

Wenn Sie dann auch das Postfach noch direkt bei dem Provider nutzen und dieses Postfach als "Rücksetzziel" bei anderen Diensten nutzen, dann hat der Angreifer schon fast den Jackpot gewonnen. Er kann sich mit ihrer Mailadresse bei den anderen Diensten anmelden und per "Kennwort vergessen" einen Link zusenden lassen und kapert dann auch noch diese Postfächer.

Solche Rücksetzdienste sind für die Anbieter einfach und billig aber für sie als Nutzer höchst gefährlich. Wenn ein Dienst noch ein paar "Geheimfragen", z.B. Name der Schule abfragt, dann sollten Sie hier nie die echten Daten nutzen, die ein Angreifer in ihrem Facebook-Profil sofort finden kann.

Konto gesperrt

Ein weitere Fall ist die Sperrung des Kontos. Es ist keineswegs unrealistisch, dass der Anbieter wie Google, Microsoft, Apple, Facebook etc. ihr Konto "pausieren". Das passiert schnell, wenn eine KI etwas "ungewöhnliche Anmeldeaktivitäten" erkannt haben will.

Es kann aber auch passieren, dass Sie auf ihrem persönlichen Postfach beim gleichen Anbieter oder dem Netzwerkspeicher (OneDrive, iCloud, GDrive) Informationen abgelegt haben, die laut Anbieter gegen das Gesetz verstoßen. Die Anbieter stellen ihnen diese Speicher ja nicht ganz uneigennützig bereit, sondern lesen natürlich automatisiert mit, um sie besser kennen zu lernen und damit bessere Werbung und individuelle Angebote unterbreiten zu können. Allerdings versuchen die Anbieter "natürlich" dort auch kriminelle Vorgänge zu erkennen. Die KI kann aber nicht zwischen dem privaten Baby-Bild in der Badewanne oder am Strand und einem Pädophilen-Netzwerk unterscheiden. Auch Abbildungen von Waffen, Informationen über Abtreibungen u.a. werden je nach Land anders bewertet.

Das Ergebnis ist dabei aber, dass Sie das Konto zur Anmeldung erst einmal nicht mehr nutzen können. Das bedeutet aber auch, dass Sie bei all den anderen Diensten erst einmal ausgeschlossen sind.

Das kann ihnen aber auch in Deutschland mit einem deutschen Provider passieren, der eigenmächtig einen gekauften und bezahlten Service einstellt (Siehe auch MSXFAQ Offline Apr/Mai 2020)

Tod, Erben und Nachlass

Menschen sterben und damit stellt sich die Frage des Zugangs für die Erben. Es gibt hier schon verschiedene Urteile aber was machen Sie bei einem Anbieter in den USA, der einfach nicht reagiert. Für Facebook gibt es mittlerweile sogar BGH-Urteile aber was ist mit den anderen

Digitale Inhalte

An dem Konto hängt aber nicht nur Identität sondern auch auch das ein oder andere gekaufte Produkt, Video, Musik oder Spiel. Das gilt insbesondere für Google, Apple und Microsoft aber auch ein Steam-Account ist hier interessant. Vor allem "erspielte Güter" in einer virtuellen Welt könne ja auch gehandelt werden und haben einen Wert.

"Perfekter Werbecookie"

Die Anmeldung an Google und Co speichert in ihrem Browser die Information und natürlich wird diese auch bei Werbenetzwerken gerne weiter verwendet. Gerade Google als Vertreiber von Chrome und dem Geschäftsmodell "Werbung" als fast alleinige Einnahme ist hier kritische zu betrachten.

Gläserner Mensch

Je mehr Webseiten und Dienste sie mit ihren "Cloud Konten" nutzen, desto mehr geben Sie über ihre Nutzung preis. Bei jeder Anmeldung an einem Service muss ihre Browser sich ja bei OAUTH-Service des Identity-Providers melden und ein Zugangstoken für diese Zielseite besorgen. Im Klartext. Google und Co sehen genau folgende Daten:

  • Zeitpunkt
    Wann fordern Sie die Anmeldung an
  • Wo im Netzwerk befinden Sie sich
    z.B. IP-Adresse mit Provider, Geo-Region
  • Welchen Client nutzen sie?
    Browser, Betriebssystem und selbst Proxy, VPN und Tor sind kein Schutz, wenn Sie sich freiwillig ja "anmelden"
  • Welche Webseite möchten Sie erreichen
    Denn der Identity Provider muss ja ihnen ein Ticket für diesen Service mit den "Berechtigungen" ausstellen

Das alles zusammen erlaubt eine sehr lückenlose und detaillierte Überwachung und wenn ihre Familienmitglieder zufällig die gleiche IP-Adresse nutzen und sich auch irgendwo "anmelden", dann können auch diese Daten zusammengeführt werden.

Vielleicht wird nun deutlich, das ein Konto für alle Dienste nicht nur ein Vorteil ist und warum Banken gerade keine Anmeldung mit diesen Identity-Providern anbieten, sondern lieber selbst die Kontenverwaltung machen.

Vorsorge

Trotz all dieser Kritikpunkte und Risiken nutze ich natürlich irgendwie alle Konten. Ein Android-Tablet Google Account, ein IPhone ohne AppID und das Microsoft Konto für Office 365 Home lassen sich nicht vermeiden. Das bedeutet aber nicht, dass ich von nun an auf allen anderen Diensten, die ein Anmelden per "Google, Apple, Microsoft" anbieten auch zwingend diese Anmeldeinformationen nutze.

Ich pflege eine große Liste mit Zugangsdaten zu den verschiedenen Diensten, auch wenn dies aktuell aufwändig ist. Aber so bleibe ich etwas unabhängiger. Solange einer der "Identity-Provider" das Konto "sperren" kann, möchte ich nicht "offline" sein. Vor allem möchte ich nicht den Zugriff auf meine mit dem Konto verknüpften Informationen, Daten, Produkte und Lizenzen verlieren.

Das lässt sich leider nicht gänzlich ausschließen, denn die Sperrung von AppleID, Google Account oder Microsoft Konto würde durchaus einen wesentlichen Teil der genutzten Produkte und Dienste unbrauchbar machen. Ich kann aber nur hoffen, dass die Anbieter hier ihre Hausaufgaben machen. Herausfinden werde ich das aber wohl erst, wenn es mal soweit kommen sollte.

Sie können sicher sein, dass ich dann darüber berichte. Das Problem betrifft ja auch generell "Cloud-Dienste" (Siehe MSXFAQ Offline Apr/Mai 2020), selbst wenn Sie dafür bezahlen und ein Vertrag abgeschlossen wurde. Es ist zwar meist die Technik oder Software, die solche Entscheidungen trifft aber entwickelt wurde sie immer noch von Menschen. Dennoch sind die meisten Sperrungen zurecht erfolgt, weil ihr Konto missbraucht wurde. Hier sollten Sie dann vorbeugen.

Weitere Links