Von Julia Dorny
Wer kennt sie nicht: Facebook und Twitter? Immer mehr Unternehmen nutzen insbesondere die Dienste der Social Media Plattformen als Marketing-Kanal oder zur Kommunikation mit ihren Kunden. Zudem können sie Werbung und Produktinformationen schalten oder sich mit bezahlten Tweets bei den Nutzern bemerkbar machen. Diese werden in der Real Time Search bereits innerhalb von Minuten in Suchmaschinen gefunden.
Alle Kommunikationskanäle haben ihre Vorteile, doch neuerdings erwacht in ihnen das Grauen: neben den fast schon zum Alltag gehörenden Datenschutzproblemen sind nun auch Hackerangriffe wieder an der Tagesordnung. Ob bei Facebook oder dem Kurznachrichtendienst Twitter – überall sorgen sie für Probleme. Dieser Tage wurde wieder einmal deutlich, dass auch Twitter-Accounts von weltbekannten Marken nicht vor Hackern sicher sind. Doch auch vierzig weitere Unternehmen sind Hackern zum Opfer gefallen,[1] mit dem Ziel, an Firmendaten zu gelangen, die anschließend weiter verkauft werden sollen oder zumindest, um den großen Konzernen zu zeigen, dass sie angreifbar sind.
Während bei Facebook beispielsweise Millionen von Nutzerdaten hinterlegt sind, die sogar schon private Informationen von Mark Zuckerberg freigaben, wirken die Hacks, die an Twitter-Accounts begangen wurden, fast bedrohlich unspektakulär: Am 19. Februar dieses Jahres wurde das Twitter-Konto der Automarke Jeep von Unbekannten geknackt. Um die vermeintliche Übernahme von Jeep an den Konkurrenten Cadillac echt aussehen zu lassen, wurde der Name unverändert gelassen und lediglich das Logo ausgetauscht. Die Hacker schrieben: „The official Twitter handle for the Jeep – Just Empty Every Pocket, Sold To Cadillac. In a hood near you!“ Der Schwindel flog nur wenige Stunden später auf: In einem Tweet hieß es dann: „Hacking: Definitely not a #Jeep thing. We’re back in the driver’s seat!“ [2] Auch Cadillac meldete sich in seinem Twitter-Account zu Wort und betonte seine Unschuld: „Just to clarify, Cadillac is not connected to the hack of the @Jeep Twitter account.“
Doch in der Bilanz war der Vorfall für Burger King mehr von Nutzen als das er geschadet hat. Die Fast Food Kette gewann 30.000 neue Follower, die auch zukünftig gehalten werden sollen. Dazu schrieb das Unternehmen am 19. Februar: „Interesting day here at BURGER KING®, but we’re back! Welcome to our new followers. Hope you all stick around!“ [4] Der Tweet von Jeep an Burger King am 20. Februar lautete: „Thanks BK. Let us know if you want to grab a burger and swap stories – we’ll drive.“ Auf deutsch so viel wie, man könne sich ja bei einem Burger über die Vorfälle austauschen, Jeep bot dafür seine Fahrdienste an. [5]
Erst Burger King, dann Jeep: verliert Twitter die Kontrolle?
Quelle: http://www.youtube.com/watch?v=Y3vPovO89Cg
Und wer steckt dahinter?
Wer genau diese Angriffe verübt hat, ist noch unklar. Doch Bob Lord, Sicherheitsdirektor von Twitter, ist sich sicher und schrieb in seinem Blogeintrag: [„This attack was not the work of amateurs, and we do not believe it was an isolated incident. The attackers were extremly sophisticated“ […] Nach seinen Angaben sei der Angriff auf Twitter eine technisch ausgefeilte Cyber-Attacke gewesen und nicht das Werk von Amateuren. [6] Im Vergleich zu den Angriffen bei Facebook, dem Wall Street Journal oder der Washington Post sei die Attacke auf Twitter dagegen aufgeflogen, während sie sich ereignete. Man habe den Angriff bereits Augenblicke später unterbinden können, schrieb Lord im Original so: [„We discovered one live attack and were able to shut it down in process moments later.“] [7] Trotzdem hätten sich die Hacker möglicherweise Nutzernamen, Email-Adressen und verschlüsselte Passwörter verschafft. Twitter habe daher die Zugangsdaten der betroffenen Nutzerkonten als Vorsichtsmaßnahme ungültig gemacht und die Kontoinhaber per Mail aufgefordert, neue Passwörter anzulegen: [„However, our investigation has thus far indicated that the attackers may have had access to limited user information – usernames, email addresses, session tokens and encrypted versions of passwords […] As a precautionary security measure, we have reset passwords and revoked session tokens for these accounts […] and you will need to create a new password.“] [8]
Konsequenz für Twitter: Imageverlust?
Während die Unternehmen wieder die alleinige Kontrolle über ihre Passwörter und Accounts zurück erlangt haben, entwickeln sich aber für Twitter die Hacker-Angriffe zu einem ernsthaften Problem: Der Kurzmitteilungsdienst ist auf die zahlungsfähigen Unternehmen als Kunden angewiesen. Durch die scheinbare Leichtigkeit, mit der die Hacker innerhalb kürzester Zeit Passwörter diverse Firmenkonten entschlüsseln, schadet dem Image. Bis dato hatte Twitter noch den sympathischeren Brand, da Daten nicht so massiv gesammelt werden, wie in anderen Netzwerken. Dennoch, auch die kleinste Datenmenge gilt es zu schützen, egal wie.
Bereits Anfang des Monats Februar hatten Hacker von über 250.000 Twitter-Nutzern Zugangsdaten gestohlen. Auch im Vorjahr gab es schon einen Vorfall, bei dem die Angreifer ungefähr 55.000 Zugangsdaten gestohlen und diese bei Pastebin [9], einer Webanwendung, bei der anonym Textbausteine und Programmcodes hochgeladen werden, veröffentlicht hatten.
Gemessen an einer Gesamtzahl von weltweit etwa 200 Millionen Twitter-Nutzern sind knapp 300.000 betroffene Nutzer eine vergleichsweise geringe Zahl. Trotzdem schadet jeder einzelne Fall dem Ruf. Der Sicherheitsdirektor von Twitter Bob Lord nahm die Vorfälle zum Anlass und forderte seine Nutzer zur Passwort-Hygiene auf: Ein sicheres Passwort enthalte demnach Zahlen, Sonderzeichen und große sowie kleine Buchstaben und sollte auf keinen Fall doppelt verwendet werden. Die URL sollte immer neu eingegeben werden.
Auch wenn bei Twitter im Vergleich zu anderen Social Media Plattformen nur wenige Daten preisgegeben werden, genügender Schutz sollte trotzdem permanent gewährleistet werden. Auf Grund der wachsenden Popularität des Unternehmens rückt es immer öfter in den Fokus von Angreifern, die Schaden anrichten wollen. Darüber sollte sich Twitter im Klaren sein, denn noch ist der Nutzen des Kurzmitteilungsdienstes für seine Nutzer zu groß, um von ihm abzulassen. Dem Image wird es bisweilen nicht schaden.
[1] Südeutsche Zeitung; 02.02.2013: http://www.sueddeutsche.de/digital/angriffe-auf-kurznachrichtendienst-und-us-zeitungen-hacker-stehlen-zugangsdaten-von-twitter-nutzern-1.1589773 Letzter Aufruf: 10.03.2013
[2, 5] Offizieller Twitter-Account der Marke Jeep: https://twitter.com/Jeep Letzter Aufruf: 10.03.2013
[3] Jackobsen, Nils; Meedia.de: http://meedia.de/internet/gehacktes-bei-twitter-burger-king-wird-zu-mcdonalds/2013/02/19.html Letzter Aufruf: 10.03.2013
[4] Offizieller Twitter-Account der Marke Burger King: https://twitter.com/BurgerKing Letzter Aufruf: 10.03.2013
[6, 7, 8] Lord, Bob; Director of Information Security; Twitter Inc.: http://blog.twitter.com/2013/02/keeping-our-users-secure.html Letzter Aufruf: 10.03.2013
[9] Hill, Jürgen; Computerwoche.de; 09.03.2013: http://www.computerwoche.de/a/2012-ein-jahr-des-grauens,2533328,2 Letzter Aufruf: 10.03.2013
Bild [1]: http://www.digitspark.com/2011/10/facebook-vs-twitter-who-wins.html
Bild [4]: https://twitter.com/boblord