Nach dem Hack des AP-Kontos bei Twitter

25 Apr 2013

Am Dienstag fiel der Dow-Jones-Index, nachdem eine Gruppe syrischer Hacker das Twitter-Konto von Associated Press (AP) übernommen und getwittert hatte, dass US-Präsident Barack Obama bei Explosionen rund um das Weiße Haus verletzt worden sei.

dj_blog_title_de

Viele Amerikaner sehen den Dow-Jones-Index als eine Art Messlatte für die US-Wirtschaft. Natürlich kann man darüber diskutieren, ob der wahnsinnig vereinfachte und – wie manche behaupten – äußerst fehleranfällige Durchschnittswert ein genauer Gradmesser für die Gesundheit der amerikanischen Wirtschaft ist. Er wurde 1896 eingeführt und kann von jedem 13-Jährigen mit Taschenrechner und Grundschulausbildung ausgerechnet werden. Doch egal ob es sich um einen guten oder schlechten Marktindex handelt, ist es zumindest alarmierend, dass ein Tweet (in diesem Fall ein gefälschter) eine solche Aufregung an der New Yorker Börse auslösen kann.

Es handelt sich hier ohne Zweifel um die folgenreichste feindliche Übernahme eines Twitter-Kontos in der Geschichte der Menschheit (falls Sie das nicht so sehen, schreiben Sie hierzu bitte einen Kommentar). Denken Sie darüber nach – hatte jemals ein anderer Twitter-Hack solche Auswirkungen? Als das politische Twitter-Konto von Fox News im letzten Sommer berichtete, dass Präsident Obama beim Wahlkampf in Iowa ermordet worden sei, hat die Öffentlichkeit nur kurz geblinzelt. Ähnliche Vorfälle gab es auch schon bei anderen Nachrichten-Quellen, und schon viele Twitter-Nutzer mit zahlreichen Followern mussten nervös zusehen, wie Angreifer ihr Konto übernommen und alle möglichen Falschinformationen darüber verteilt haben. Generell führen Konto-Hacks zu peinlichen Situationen und schließlich will niemand gerne gedemütigt werden, doch im Großen und Ganzen ist Peinlichkeit gar nicht so schlimm.

In dieser Woche passierte etwas anderes, denn wenn der Dow-Jones-Index fällt, verlieren viele Menschen Geld. Und bei der derzeitigen Stimmung an der Börse und dem schnellen Handel, verlieren viele Menschen auch Geld, wenn der Index wieder nach oben geht. Und all jene, die beim Fallen des Index Geld verloren haben, bekommen es nicht unbedingt zurück, wenn der Index wieder steigt. So ist das an der Börse im 21. Jahrhundert. Im Grunde hatten wir sogar Glück, dass AP und Twitter so schnell reagiert haben, und den Tweet als Fälschung anprangerten. Ein längeres Fallen des Dow-Jones-Index hätte verheerende Folgen für die weltweite Wirtschaft haben können.

Twitter kann auch in einer Welt ohne Konto-Hacker gefährlich werden, darum wird es immer wichtiger, dass Sie die gebotenen Informationen genau überprüfen. So manche Nachrichten-Quelle hat sich schon blamiert, als sie Falschinformationen per Twitter verteilt hat. CNN und andere große Nachrichten-Unternehmen haben die Gefahren von Twitter (und schlechtem Journalismus) eindrucksvoll gezeigt, als sie in der Woche nach den Bombenanschlägen auf den Bostoner Marathon mehrmals falsche Informationen veröffentlichten.

Sie glauben noch nicht, dass Twitter ernsten Schaden zufügen kann? Fragen Sie den früheren US-Abgeordneten Anthony Weiner. Der vielversprechende junge Politiker ruinierte seine politische Karriere, indem er Links zu freizügigen Bildern von sich per Twitter-Direktnachricht an mehrere Frauen sendete. Komischerweise behauptete Weiner, dass sein Twitter-Konto gehackt worden sei. Das war allerdings nicht der Fall.

Ein weiteres großes Problem bei Twitter ist, dass der Dienst – anders als Google, Facebook und sogar Apple – bisher keine Zwei-Faktoren-Authentifizierung bietet (obwohl Wired gestern berichtete, dass diese bald kommen soll). Solche Zwei-Faktoren-Authentifizierungen arbeiten genau wie der Name schon sagt: Der Anwender muss sich zunächst mit dem einen Mechanismus anmelden, etwa einem Passwort. Anschließend muss er sich über einen zweiten Faktor authentifizieren, meist ein numerischer Code, der per SMS an ein vorher festgelegtes Handy geschickt wird. Natürlich gibt es Unterschiede bei solchen Systemen. Die besseren arbeiten mit einem physikalischen Token oder sogar biometrischen Merkmalen als zweite Authentifizierungs-Faktoren. Aber sogar eine rudimentäre SMS-basierte Zwei-Faktoren-Authentifizierung, wie sie von Google und Facebook eingesetzt wird, hätte es für die Angreifer ungleich schwerer gemacht, das Twitter-Konto von AP zu übernehmen (wenn AP die Funktion eingeschaltet hätte).

Verstehen Sie mich nicht falsch: Ich liebe Twitter und ich glaube, dass es einer der besten Dienste des Internet-Zeitalters ist. Aber wie bei vielen großartigen Werkzeugen, kann auch Twitter in den falschen Händen oder bei falscher Benutzung potenziell Schaden anrichten.

Nutzen Sie also Twitter weiterhin, seien Sie dabei aber vorsichtig. Die Kaspersky-Experten haben einige Tipps zusammengestellt, die man befolgen sollte, bevor man Twitter nutzt:

Verwenden Sie eine zuverlässige Sicherheitslösung inklusive Firewall, Virenschutz und erweiterten Schutz-Technologien wie Heuristischer Analyse oder Schutz vor Exploits. Halten Sie zudem Ihr Betriebssystem, Ihren Browser und alle installierten Programme aktuell. Verwenden Sie beim Senden vertraulicher Daten immer eine verschlüsselte Verbindung (HTTPS). Speichern Sie Passwörter nicht in einer Datei oder in Ihrem Browser. Verwenden Sie starke, einzigartige Passwörter und ändern Sie diese immer wieder. Loggen Sie sich bei keinem Online-Dienst ein, wenn Sie über eine öffentliche WLAN-Verbindung im Internet sind. Geben Sie Ihre Passwörter niemals anderen, vor allem nicht, wenn Sie online von jemandem danach gefragt werden.

Übrigens soll die Gruppe namens Syrian Electronic Army, die sich zu der AP-Twitter-Attacke bekannt hat, auch für ähnliche Angriffe auf National Public Radio, Reuters, FIFA, die Qatar Foundation, die Harvard University und andere verantwortlich sein. Es handelt sich um eine Bashar al-Assad unterstützende Hacktivisten-Gruppe. Ich gehe davon aus, dass wir in den kommenden Monaten noch mehr von ihnen hören werden.