Am 27. Oktober 2022 übernahm Elon Musk die Kontrolle über Twitter. Die aktuelle Situation kann bestenfalls als äußerst unsicher und schlimmstenfalls als geradezu chaotisch und potenziell sehr gefährlich bezeichnet werden. In kurzer Zeit haben haben sich Ereignisse ergeben, die die Sicherheit und den Datenschutz der Plattform und der darin gespeicherten Daten schnell in Frage gestellt haben – genauso wie die Unsicherheit, ob es Twitter in den kommenden Monaten oder Wochen überhaupt noch geben wird.
Angesichts dieser Entwicklung ist es für Unternehmen wie auch Personen nur umsichtig, das eigene Engagement auf der Plattform und vor allem die dort hinterlegten persönlichen Informationen genau zu prüfen und potenziell kurzfristig Maßnahmen zu ergreifen, um diese Daten zu schützen – denn auch ein möglicher Komplettabsturz der Plattform scheint möglich. Momentan gibt es fünf Hauptbereiche, die Anlass zur Sorge geben, und sich auf die Sicherheit, den Datenschutz sowie die Überlebensfähigkeit von Twitter beziehen.
- Der massive, plötzliche, ungeplante und unstrukturierte Personalverlust. Erstens können Angreifer Twitter möglicherweise stärker als Plattform nutzen, um Nutzer mit Spam, Phishing, Betrug und anderen Attacken anzugreifen. Zweitens können Angreifer leichter Systeme kompromittieren, um Daten zu sammeln und zu stehlen.
- Chaos und Unsicherheit rund um die Kontoverifizierung und Bekämpfung von Fehlinformationen: Die Vermischung des bislang bestehenden Verifizierungsverfahrens mit dem „gekauften Haken“ für 8 Dollar, auch wenn mittlerweile wieder zurückgezogen, erzeugte den perfekten Sturm der Verwirrung und förderte böswillige Aktivitäten. So war es innerhalb weniger Tage fast unmöglich, legitime Konten von parodistischen oder sogar böswilligen Identitätsfälschungskonten zu unterscheiden.
- Twitters Wille und Fähigkeit, gesetzliche Sicherheits- und Datenschutzanforderungen einzuhalten: Die Risiken in dieser Situation sind ganz einfach unbekannt. Wir haben noch keine Situation gesehen, in der eine so große und wichtige Plattform möglicherweise so schnell so weit von der Einhaltung gesetzlicher Vorschriften abweicht. Während Aufsichtsbehörden in der Regel einem sehr methodischen Prozess folgen, könnte die aktuelle Situation auch sehr umfangreiche, restriktive und plötzliche Durchsetzungsaktivitäten von behördlicher Seite mit sich bringen.
- Die finanzielle Lebensfähigkeit von Twitter: Wenn Twitter als Unternehmen scheitern und in Konkurs gehen würde, was würde mit den Daten und Systemen passieren, auf denen die Daten gespeichert sind? Wird es im Rahmen einer Liquidation verkauft? Wären Geldgeber, zu denen Saudi-Arabien und Katar gehören, in der Lage, Eigentum und Kontrolle über die Daten und Systeme zu übernehmen? Wieder einmal befinden wir uns auf unbekanntem Terrain und die Antwort lautet: Wir wissen es einfach nicht.
- Das derzeitige Maß Unvorhersehbarkeit scheint anzuhalten oder sich sogar zu verschlimmern. Entscheidungen werden mit wenig Planung getroffen und mit ebenso wenig Planung schnell rückgängig gemacht oder geändert. Was Twitter ist, ändert sich nicht nur von Tag zu Tag, sondern von Stunde zu Stunde. Dies macht eine Risikobewertung nahezu unmöglich. Es schafft auch ein Umfeld, das Bedrohungsakteure stark begünstigt. Das Schlimmste ist, dass buchstäblich nichts darauf hindeutet, dass sich dieser Zustand positiv ändern wird.
Bei all diesen Unbekannten gilt einmal mehr die Faustregel, in Sachen Sicherheit vom Schlimmsten auszugehen. Das könnte bedeuten, dass die Plattform plötzlich ohne Vorwarnung verschwindet und persönliche Informationen der bisherigen Nutzer in die Hände von ungewünschten Personen gelangen. Vor diesem Hintergrund sind fünf Schritte empfehlenswert, um sich und persönliche Daten zu schützen.
- Sichern Sie sich eine eigene Kopie Ihrer Twitter-Informationen! Wenn Twitter aufgrund von Regierungs-, Gläubiger- oder sonstigen Maßnahmen nicht mehr zugänglich ist, könnten alle ihre Informationen ohne Vorwarnung verloren gehen. Zum jetzigen Zeitpunkt bietet Twitter die Möglichkeit, persönliche Daten herunterzuladen. Berichten zufolge dauert die Beantwortung von Datenanfragen allerdings oft Tage, und aufgrund der sich verschlechternden Personalsituation sowie der zu erwartenden, steigenden Nachfrage, sollten Sie diesen Schritt sofort einleiten.
- Entfernen Sie alle persönlichen und vertraulichen Informationen von Twitter! Eines der größten Risiken besteht darin, dass persönliche oder sensible Informationen, die Sie auf Twitter gespeichert haben, in die Hände von Cyber-Kriminellen fallen. Entsprechend sollten sie Informationen wie Geburtsdatum, Telefonnummern, Zahlungsinformationen, geografische Standortinformationen und andere Informationen, die allein oder in Kombination mit anderen Informationen für Sie, Ihre Familie oder diejenigen, die Ihnen wichtig sind, gefährlich sein könnten, entfernen – das gilt auch für Direktnachrichten und Tweets. Falls Sie darüber nachdenken, alle Tweets, Likes, Direktnachrichten und Medien zu löschen, sollten Sie zuvor Kopien herunterladen.
- Sicherer Zugriff auf Ihr Twitter-Konto: Die angespannte Personalsituation kann dazu führen, dass Twitter nicht in der Lage ist, im gleichen Umfang wie früher Account-Hijacking zu bekämpfen oder bei der Wiederherstellung gekaperter Accounts zu helfen. Es war schon immer wichtig, den Zugriff auf Ihr Twitter-Konto gut abzusichern, zurzeit ist es noch wichtiger. Deshalb sollten Sie auf jeden Fall ein nur bei Twitter verwendetes Passwort sowie die Multifaktor-Authentifizierung nutzen. Sie sollten auch alle Apps trennen, die mit Ihrem Twitter-Konto verbunden sind, und Konten nur dann verbinden, wenn Sie dies benötigen- und sie trennen, wenn Sie fertig sind.
- Sichern Sie Ihre Twitter-Präsenz: Wenn Sie vorhaben, auf Twitter aktiv zu bleiben, sollten Sie geschützte Tweets nutzen oder sogar in Betracht ziehen, Ihr Konto zu blockieren. Dadurch können Sie steuern, wer Ihre Posts sehen und mit Ihnen interagieren kann. Wenn Sie nicht vorhaben, auf Twitter aktiv zu bleiben, können Sie Ihr Konto sogar deaktivieren, aber Sie sollten es nicht löschen. Durch das Löschen können Sie Ihr Konto für andere Personen freigeben und so Fremden ermöglichen, sich als Sie auszugeben.
- Ändern sie Ihren Umgang mit Twitter: Ganz grundsätzlich sollten Sie Ihre Herangehensweise an Twitter, die Personen auf der Plattform und das, was sie sagen, ändern. Anders ausgedrückt: Glauben Sie im Zweifelsfall niemandem, was er zu sein oder zu sagen vorgibt, ohne Schritte zu unternehmen, um die Identität und die Informationen unabhängig zu überprüfen. Wenn ein Konto beispielsweise eine Person oder Organisation zu repräsentieren scheint, suchen Sie nach einer anderen verifizierbaren Quelle für das, was dort gesagt wird, z. B. eine SSL-geschützte Website, deren digitales Zertifikat Sie verifizieren können. Seien Sie insbesondere vorsichtig, wenn Sie Twitter-Konten mit anderen Twitter-Konten validieren: Wir haben bereits mehrere gefälschte Konten gesehen, die daran arbeiten, die Illusion von Legitimität zu erwecken, indem sie sich gegenseitig verifizieren.
Keine Zeit für Panik
Tatsache ist, dass wir noch nie zuvor mit einer Situation wie dieser konfrontiert waren, in der eine Webseite von solcher sozialen, politischen und wirtschaftlichen Bedeutung wie Twitter so schnell auf so vielen Ebenen eine so massive Auflösung erfahren hat. Infolgedessen ist es schwierig, genau zu wissen, was passieren wird und was zu tun ist.
Was wir in der Welt der Informationssicherheit jedem sagen können, ist, dass dies keine Zeit für Panik ist, sondern es ist eine Zeit, schnelle und entschlossene Maßnahmen zu ergreifen, um der sehr realen Möglichkeit entgegenzuwirken, dass einige oder sogar alle dieser Worst-Case-Szenarien eintreten. Sie sollten also jetzt gleich damit beginnen, für die Sicherheit Ihrer Twitter-Daten zu sorgen.
Christopher Budd ist Threat-Research-Experte bei Sophos.