Passwort-Klau Twitters gefährliche Schwachstelle
Bestätigungscode aufs Telefon (Symbolbild): Mit dieser Methode ist Twitter spät dran
Foto: Armin Weigel/ dpaSo sehr Twitter als Lieferant von Echtzeit-Nachrichten von vielen geschätzt wird, so groß ist die Verwirrung, wenn Kriminelle Twitter-Profile kapern und Falschmeldungen verbreiten. Das ist erst am Dienstag wieder geschehen, als der Twitter-Account der Nachrichtenagentur Associated Press (AP) offenbar von Unbekannten geknackt worden war. Daraufhin verbreitete der Agenturkanal die Falschmeldung, im Weißen Haus habe es Explosionen gegeben, der US-Präsident sei verletzt. AP reagierte umgehend und erklärte über andere Twitter-Accounts, die Nachricht sei gefälscht.
Bis dahin war aber schon einiges passiert: Der US-Leitindex Dow Jones fiel sofort um rund 145 Punkte. Zwar erholte er sich ebenso schnell wieder, als klar war, dass es sich um eine Falschmeldung handelte. Allerdings zeigt der plötzliche Einbruch, welchen Stellenwert soziale Netzwerke als Informationsquelle mittlerweile haben - auch an den Finanzmärkten. Dem Tweet einer seriösen Nachrichtenagentur wird erst einmal vertraut, obwohl jeder weiß, dass sich theoretisch bloß irgendwer ein einziges Passwort besorgen muss, um für solches Chaos zu sorgen.
Das ist in letzter Zeit häufiger passiert: Die Twitter-Konten von Burger King und Jeep wurden im Februar von Scherzbolden übernommen und verschickten Nonsens-Neuigkeiten. Auch ein nordkoreanischer Regierungs-Account wurde so gekapert und verschickte statt Propaganda-Meldungen unfreiwillig eine Karikatur von Kim Jong Un.
Login soll besser abgesichert werden
All das zeigt, dass Twitter ein Sicherheitsproblem hat und die Anmeldung über ein Passwort allein nur unzureichenden Schutz bietet. Das ist den Verantwortlichen des Microblogging-Dienstes bewusst. Ein Zwei-Schritte-Login soll Abhilfe schaffen. Wie "Wired" meldet , arbeiten die Twitter-Techniker bereits an einer solchen Lösung, die offizielle Einführung stehe "in Kürze" bevor. Das neue Verfahren soll gegenüber unbefugten Eindringlingen ein wesentlich höheres Maß an Sicherheit gewährleisten. Dabei meldet sich der Nutzer wie gewohnt mit seinem Passwort an und erhält dann zum Beispiel via SMS einen Bestätigungscode, der zur Authentifizierung eingegeben werden muss. Diese Art der Anmeldung setzt also neben dem Passwort ein zuvor registriertes Gerät voraus.
Bereits im Februar hatte Twitter Entwickler-Jobs zur Erstellung eines solchen Anmeldeverfahrens ausgeschrieben . Doch angesichts der sich häufenden Sicherheitsprobleme sei die möglichst schnelle Einführung eines neuen Login-Verfahren dringend geboten, so "Wired". Dabei löse das Zwei-Schritte-Konzept keineswegs alle Schwierigkeiten. Denn es gebe nicht wenige Twitter-Profile, die von mehreren Anwendern zugleich genutzt würden. Also sei die Registrierung sämtlicher Geräte oder Apps vonnöten, mit denen diese Anwender Twitter-Nachrichten absetzten.
Auf eine weitere Schwachstelle machte "Wired" bereits am Dienstag aufmerksam. Derzeit sei es so gut wie unmöglich, via Twitter abgesetzte Falschmeldungen wieder einzufangen beziehungsweise zu korrigieren. Vor allem nach dem Bombenanschlag in Boston sorgten Tweets für Verwirrung: Falschmeldungen verbreiteten sich, Unschuldige wurden beschuldigt, Namen und wilde Gerüchte machten die Runde - und ließen sich kaum wieder zurücknehmen, wie "Wired" richtig schreibt: Zwar sei es jederzeit möglich, dem Irrtum eine Richtigstellung hinterherzuschicken. Dass aber die Follower, von denen einige die Falschmeldung retweetet hätten, dies auch mit der Korrektur machten, sei mehr als unwahrscheinlich.
Twitter ist spät dran
Außerdem gebe es immer noch kein vernünftiges Verfahren für die Löschung eines Tweets . Denn für andere Nutzer werde nicht klar, aus welchen Gründen eine Nachricht plötzlich verschwinde. Dass Twitter noch immer kein verbessertes Login-Verfahren eingeführt habe, sei angesichts der langen Liste gehackter Twitter-Accounts erstaunlich, bemerkt das Techportal "Cnet ". Zumal andere Unternehmen wie Microsoft, Google, Apple oder Dropbox zum Teil schon seit Jahren auf das Zwei-Schritte-Modell setzen würden. Die Kollegen von "Techcrunch" schließen sich der Kritik an . Das Tech-Blog gibt aber ähnlich wie "Wired" zu bedenken, dass eine Anmeldung in zwei Schritten bei von verschieden Usern an verschiedenen Orten genutzten Profilen wie dem von AP ein schwer lösbares Problem darstelle.
So oder so sollten Nutzer darauf achten, ein starkes Passwort zu benutzen - wie man eines macht, steht hier. Das Passwort sollte allein für Twitter gelten und regelmäßig geändert werden. Und vor allem sollte dieses Passwort niemals anderswo eingegeben werden, etwa auf dubiosen Seiten, die Dienste anbieten wie "Testen Sie hier die Sicherheit Ihres Twitter-Passworts". Gerade jetzt machen solche Seiten die Runde - man sollte aber dringend die Finger davon lassen.
