Passwort-Klau: Twitters gefährliche Schwachstelle

Bestätigungscode aufs Telefon (Symbolbild): Mit dieser Methode ist Twitter spät dran Zur Großansicht
DPA

Bestätigungscode aufs Telefon (Symbolbild): Mit dieser Methode ist Twitter spät dran

"Zwei Explosionen im Weißen Haus, Barack Obama verletzt" - so lautete die Falschmeldung, die am Dienstag vom gekaperten Twitter-Account der Nachrichtenagentur AP gesendet wurde. Der Microblogging-Dienst wurde heftig kritisiert - und will jetzt endlich sicherer werden.

So sehr Twitter als Lieferant von Echtzeit-Nachrichten von vielen geschätzt wird, so groß ist die Verwirrung, wenn Kriminelle Twitter-Profile kapern und Falschmeldungen verbreiten. Das ist erst am Dienstag wieder geschehen, als der Twitter-Account der Nachrichtenagentur Associated Press (AP) offenbar von Unbekannten geknackt worden war. Daraufhin verbreitete der Agenturkanal die Falschmeldung, im Weißen Haus habe es Explosionen gegeben, der US-Präsident sei verletzt. AP reagierte umgehend und erklärte über andere Twitter-Accounts, die Nachricht sei gefälscht.

Bis dahin war aber schon einiges passiert: Der US-Leitindex Dow Jones fiel sofort um rund 145 Punkte. Zwar erholte er sich ebenso schnell wieder, als klar war, dass es sich um eine Falschmeldung handelte. Allerdings zeigt der plötzliche Einbruch, welchen Stellenwert soziale Netzwerke als Informationsquelle mittlerweile haben - auch an den Finanzmärkten. Dem Tweet einer seriösen Nachrichtenagentur wird erst einmal vertraut, obwohl jeder weiß, dass sich theoretisch bloß irgendwer ein einziges Passwort besorgen muss, um für solches Chaos zu sorgen.

Das ist in letzter Zeit häufiger passiert: Die Twitter-Konten von Burger King und Jeep wurden im Februar von Scherzbolden übernommen und verschickten Nonsens-Neuigkeiten. Auch ein nordkoreanischer Regierungs-Account wurde so gekapert und verschickte statt Propaganda-Meldungen unfreiwillig eine Karikatur von Kim Jong Un.

Login soll besser abgesichert werden

All das zeigt, dass Twitter ein Sicherheitsproblem hat und die Anmeldung über ein Passwort allein nur unzureichenden Schutz bietet. Das ist den Verantwortlichen des Microblogging-Dienstes bewusst. Ein Zwei-Schritte-Login soll Abhilfe schaffen. Wie "Wired" meldet, arbeiten die Twitter-Techniker bereits an einer solchen Lösung, die offizielle Einführung stehe "in Kürze" bevor. Das neue Verfahren soll gegenüber unbefugten Eindringlingen ein wesentlich höheres Maß an Sicherheit gewährleisten. Dabei meldet sich der Nutzer wie gewohnt mit seinem Passwort an und erhält dann zum Beispiel via SMS einen Bestätigungscode, der zur Authentifizierung eingegeben werden muss. Diese Art der Anmeldung setzt also neben dem Passwort ein zuvor registriertes Gerät voraus.

Bereits im Februar hatte Twitter Entwickler-Jobs zur Erstellung eines solchen Anmeldeverfahrens ausgeschrieben. Doch angesichts der sich häufenden Sicherheitsprobleme sei die möglichst schnelle Einführung eines neuen Login-Verfahren dringend geboten, so "Wired". Dabei löse das Zwei-Schritte-Konzept keineswegs alle Schwierigkeiten. Denn es gebe nicht wenige Twitter-Profile, die von mehreren Anwendern zugleich genutzt würden. Also sei die Registrierung sämtlicher Geräte oder Apps vonnöten, mit denen diese Anwender Twitter-Nachrichten absetzten.

Auf eine weitere Schwachstelle machte "Wired" bereits am Dienstag aufmerksam. Derzeit sei es so gut wie unmöglich, via Twitter abgesetzte Falschmeldungen wieder einzufangen beziehungsweise zu korrigieren. Vor allem nach dem Bombenanschlag in Boston sorgten Tweets für Verwirrung: Falschmeldungen verbreiteten sich, Unschuldige wurden beschuldigt, Namen und wilde Gerüchte machten die Runde - und ließen sich kaum wieder zurücknehmen, wie "Wired" richtig schreibt: Zwar sei es jederzeit möglich, dem Irrtum eine Richtigstellung hinterherzuschicken. Dass aber die Follower, von denen einige die Falschmeldung retweetet hätten, dies auch mit der Korrektur machten, sei mehr als unwahrscheinlich.

Twitter ist spät dran

Außerdem gebe es immer noch kein vernünftiges Verfahren für die Löschung eines Tweets. Denn für andere Nutzer werde nicht klar, aus welchen Gründen eine Nachricht plötzlich verschwinde. Dass Twitter noch immer kein verbessertes Login-Verfahren eingeführt habe, sei angesichts der langen Liste gehackter Twitter-Accounts erstaunlich, bemerkt das Techportal "Cnet". Zumal andere Unternehmen wie Microsoft, Google, Apple oder Dropbox zum Teil schon seit Jahren auf das Zwei-Schritte-Modell setzen würden. Die Kollegen von "Techcrunch" schließen sich der Kritik an. Das Tech-Blog gibt aber ähnlich wie "Wired" zu bedenken, dass eine Anmeldung in zwei Schritten bei von verschieden Usern an verschiedenen Orten genutzten Profilen wie dem von AP ein schwer lösbares Problem darstelle.

So oder so sollten Nutzer darauf achten, ein starkes Passwort zu benutzen - wie man eines macht, steht hier. Das Passwort sollte allein für Twitter gelten und regelmäßig geändert werden. Und vor allem sollte dieses Passwort niemals anderswo eingegeben werden, etwa auf dubiosen Seiten, die Dienste anbieten wie "Testen Sie hier die Sicherheit Ihres Twitter-Passworts". Gerade jetzt machen solche Seiten die Runde - man sollte aber dringend die Finger davon lassen.

meu/juh

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 7 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Wen wundert's?
haku210 24.04.2013
Zitat von sysopDPA"Zwei Explosionen im Weißen Haus, Barack Obama verletzt" - so lautete die Falschmeldung, die am Dienstag vom gekaperten Twitter-Account der Nachrichtenagentur AP gesendet wurde. Der Microblogging-Dienst wurde heftig kritisiert - und will jetzt endlich sicherer werden. http://www.spiegel.de/netzwelt/web/twitter-plant-mehr-sicherheit-durch-doppel-login-a-896199.html
Jede Gesellschaft bekommt halt die Informationsquellen, die sie verdient...Twitter-Sicherheit ist dabei nebensächlich.
2. Finger vom Twitter lassen
elmard 24.04.2013
Verstehe das ganze Gezwitscher nicht... Man sollte die Finger von Twitter lassen, dann kann einem auch nichts geklaut werden, weder Nachrichten noch Informationen noch Passwörter.
3. Facebook
zuvo 24.04.2013
Facebook hat das 2 Schritte Login System auch wenn man es möchte. Ich weiß nicht was Twitter sich dort so anstellt wieviele Stellen werden es den sein bei der Regierung die über den Twitter Account Nachrichten verteilen dürfen? das werden vllt 30-40 leute sein. Und diese an einem tag alle zu verifizieren sollte kein Problem darstellen wenn dafür die Sicherheit stark erhöht wird. Mal abwarten was passiert. @ elmard Wie stellen sie sich das bitte vor? Eine Regierung muss mit der Gesellschaft gehen. Es wird sich beschwert wenn eine Regierung nicht modern, flexibell oder schnell genug ist. Auch wird gemeckert wenn die Regierung nicht Just-in-time arbeitet. nun machen sich die Regierungen die mühe solche Kontakte und Informationsquellen für die Gesellschaft zu haben und dann wird doch wieder gemeckert. Ich sage ihnen nur man muss mit der Zeit gehen. Stehen bleiben und starr an alten Mustern festhalten bringt keinen weiter.
4. Twitter?
Wunderläufer 24.04.2013
Es gibt tatsächlich nicht wenige Menschen, die Twitter Meldungen als Nachrichten verstehen
5.
mindphuk 24.04.2013
Zitat von sysopDPA"Zwei Explosionen im Weißen Haus, Barack Obama verletzt" - so lautete die Falschmeldung, die am Dienstag vom gekaperten Twitter-Account der Nachrichtenagentur AP gesendet wurde. Der Microblogging-Dienst wurde heftig kritisiert - und will jetzt endlich sicherer werden. http://www.spiegel.de/netzwelt/web/twitter-plant-mehr-sicherheit-durch-doppel-login-a-896199.html
Immer wieder der Unsinn mit den Passwörtern auf Basis zufälliger Zeichen. Sowas merkt sich keiner, wenn man keinen Passwortsafe benutzt. Besser ist ein Passwort, welches aus einem leicht merkbaren Satz aus zufälligen Wörtern besteht. Bindestriche, Leer- und Satzzeichen und Zahlen erhöhen die Sicherheit noch einmal um ein Vielfaches. Ein Satz aus 30-60 Zeichen ist leichter zu merken, als 10 Zeichen Zufallschars - und dazu noch sicherer. xkcd: Password Strength (http://xkcd.com/936/)
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Twitter
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 7 Kommentare
Zum Autor
  • Richard Meusers schreibt als Autor für SPIEGEL ONLINE über die Digitalisierung.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.