Twitter-App: Zwei-Faktor-Authentifizierung als Schutz vor Hacks

Aus dem Twitter-Angriff diese Woche können Nutzer zumindest die Konsequenz ziehen, ihre Sicherheitseinstellungen bei der Kurznachrichtenplattform zu überprüfen. Wenngleich die Zwei-Faktor-Authentifizierung in diesem speziellen Fall wohl auch nichts gebracht hätte (mehr dazu unten), im gewöhnlichen Leben würden wir diese Einstellung mittlerweile als unerlässlich bezeichnen.

Zwei-Faktor-Authentifizierung ist euch mittlerweile ein Begriff. Zusätzlich zu eurem Passwort müsst ihr einen weiteren Sicherheitscode eingeben. Twitter bietet diesbezüglich drei Optionen: Ihr könnt euch den zweiten Code per SMS zusenden lassen, eine Authentifizierungs-App zum Generieren des Codes verwenden oder mit einem physischen Sicherheitsschlüssel arbeiten.

Um eine oder mehrere dieser drei Optionen zu aktivieren, öffnet ihr die Twitter-Einstellungen und dort den Bereich „Account“. Hier könnt ihr über das Menü „Sicherheit“ nun die Zwei-Faktor-Authentifizierung einrichten. Das geht schnell vonstatten und ist in der Twitter-App auch sehr gut erklärt.

Habt auch ein Auge auf die zusätzlich angebotene Option „Passwort-Zurücksetzungsschutz“. Damit könnt ihr es Hackern erschweren, das mit eurem Twitter-Konto verbundene Passwort zu ändern.

Twitter-Hack: Was wir bis jetzt wissen

Kommen wir nun also nochmal auf den Hack zu sprechen. Twitter spricht hier in der Öffentlichkeit zwar weiterhin von „Social Engineering“, doch dürft ihr euch das keinesfalls so vorstellen, dass jemand in dreistelliger Zahl Nutzer beschwatzt hat, um ihnen die Passwörter abzuluchsen. Ganz abgesehen von der in diesem Zusammenhang zumindest größtenteils zu überwindenden Zwei-Faktor-Authentifizierung. Vielmehr scheint es nach aktuellem Stand der Dinge so, dass sich ein Twitter-Mitarbeiter großzügig gezeigt und möglicherweise auch Geld dafür kassiert hat, dass er den Angreifern Zugang zu den Administrations-Werkzeugen von Twitter beschafft. Eine umfassende Abhandlung und auch Screenshots der vermutlich benutzten Werkzeuge hält der Sicherheitsforscher Brian Krebs bereit.

Die Sicherheitslücke ist somit menschlich und existiert in ähnlicher Form wohl bei den meisten Konzernen dieser Welt. Mit einem Administrationszugang ist stets auch ein nicht zu unterschätzendes Machtpotenzial verknüpft und es ist fahrlässig, wenn wenn ein Unternehmen in in der Größenordnung von Twitter erst im Nachhinein daran denkt, sein System auch gegen solche Vorkommnisse abzusichern.

We have also been taking aggressive steps to secure our systems while our investigations are ongoing. We’re still in the process of assessing longer-term steps that we may take and will share more details as soon as we can.

— Twitter Support (@TwitterSupport) July 17, 2020

Spannend bleibt es in dieser Angelegenheit weiterhin, denn noch immer ist nicht klar, ob die Angreifer auch Zugriff auf die Direktnachrichten der betroffenen Nutzer oder deren Passwörter hatten. Das daraus resultierende Schadenspotenzial könnte deutlich höher als die erbeuteten rund 100.000 Dollar in Bitcoin sein. Teils wird bereits darüber spekuliert, ob die Bitcoin-Aktion nicht nur ein Ablenkungsmanöver war, man es jedoch vielmehr auf andere Inhalte abgesehen hatte.

Ach und falls sich jemand fragt, warum ausgerechnet Donald Trump von der Attacke verschont blieb. Die New York Times begründet dies damit, dass der Account des US-Präsidenten aufgrund von Vorkommnissen in der Vergangenheit besonders geschützt war.