Wie am Donnerstag bekannt wurde, konnten sich bisher unbekannte Angreifer Zugriff auf eine Reihe von Twitter-Profilen zahlreicher Personen des öffentlichen Lebens verschaffen, um von diesen Accounts aus Werbung für Bitcoin-Betrugsdeals zu posten. Zu den bekannten Opfern zählen etwa Politiker wie Barack Obama und Joe Biden, aber auch die Unternehmer Jeff Bezos und Elon Musk.
Die Betreiber des Kurznachrichtendienstes selbst sprachen von einem „Sicherheitsvorfall“ – als Reaktion wurden über eine Stunde nach der Kompromittierung die Konten zahlreicher Prominenter, Regierungschefs und anderer bedeutenden Persönlichkeiten zeitweise von Twitter geblockt. Dies sollte der Verbreitung des Bitcoin-Spams ein Ende setzen.
Wenige Stunden später wurden die Konten wieder freigeschaltet. Der Twitter-CEO Jack Dorsey sprach sein Bedauern über den Angriff aus und versprach, sich um Aufklärung zu kümmern. Mittlerweile hat die Plattform bekannt gegeben, dass ein sehr raffinierter Social-Engineering-Angriff Ursache der koordinierten Attacke war.
Der Vorfall ist deshalb besonders erschreckend, da Angreifer dieses Mal eine Vielzahl reichweitenstarker Accounts gleichzeitig in Beschlag nehmen konnten. Er wirft Sicherheitsfragen zum allgemeinen Umgang mit sozialen Netzwerken auf – denn auch abseits dieses sehr spektakulären Angriffs werden immer wieder Konten von Privatpersonen und Unternehmen übernommen.
Um seine Konten maximal abzusichern, ist es essentiell, dass Nutzer zunächst über die vielen Risiken informiert sind, die etwa beim Öffnen unbekannter Links drohen. Auch mit den wichtigsten Arten von Phishing-Versuchen sollten User vertraut sein – denn nur wenn man die Gefahren kennt, kann man sich vor ihnen schützen.
Weiterhin sollten Anwender bei der Wahl von Passwörtern höchste Ansprüche an die Sicherheit stellen. Das BSI empfiehlt Usern beispielsweise, möglichst lange Kennwörter mit mindestens acht Zeichen zu verwenden – grundsätzlich aber gilt: Je länger, desto besser. Außerdem von Vorteil ist die Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Grundsätzlich ist es wichtig, dass das Passwort komplex und gleichzeitig möglichst leicht zu merken ist.
User können zum Beispiel einen ganzen Satz als Eselsbrücke nutzen und von jedem Wort nur den ersten Buchstaben verwenden, ergänzt durch Zahlen und Sonderzeichen. Auch möglich ist die Nutzung eines kompletten Satzes als Passwort selbst. Komplizierte Kennwörter sind für Angreifer deutlich schwieriger zu erraten als einfache.
Ein weiteres Sicherheitslevel stellen Passwortmanager dar, denn durch sie müssen User sich die komplexen Log-In-Daten nicht selbst merken – lediglich ein Passwort müssen Nutzer behalten, nämlich das, welches den Zugang zum Dienst selbst ermöglicht. Passwortmanager verwalten Anmeldedaten in verschlüsselter Form, was dem Nutzer zusätzliche Sicherheit bietet.
Ein weiterer Vorteil ist, dass diese Dienste auch vor Phishing-Versuchen und dubiosen Websites warnen. Nämlich durch den zusätzlichen Abgleich der URL mit der tatsächlich aufgerufenen Seite, die der Nutzer im Manager gespeichert hat. Stimmt hier etwas nicht überein, wird der jeweilige User gewarnt.
Zuletzt ist die Nutzung von Zwei-Faktor-Authentifizierung zum effektiven Schutz von Konten unbedingt zu empfehlen. Zahlreiche Webseiten und Apps bieten die Möglichkeit der Anmeldung mit einem Passwort in Verbindung mit etwa einem Hardware-Key oder einem SMSbis-Code. Weiterhin stellen einige Dienste die Nutzung eines zusätzlichen TAN-Generators bereit.
Um ein Maximum an Sicherheit zu gewährleisten, bieten sich Hardware-basierte Möglichkeiten der Absicherung an. Ergänzend zu einem komplizierten und dennoch einfach zu merkenden Kennwort, beziehungsweise der Nutzung eines Passwortmanagers, sind Nutzer somit effektiv vor der Kompromittierung ihres Accounts geschützt.