Dass sowohl die Übernahme von Twitter durch Elon Musk als auch die Zeit danach nicht gerade glatt verlief, ist weitläufig bekannt. Es wurde bereits viel Kritik geäußert – berechtigterweise. Daher wäre ein erneutes Aufgreifen der Verifizierungsabzeichen-Thematik oder ähnlicher Themen an dieser Stelle sinnbefreit. Entsprechend gehört die uneingeschränkte Aufmerksamkeit dieses Kommentars einem anderen Sachverhalt. Denn Musk hat kürzlich eine weitere Spar- respektive Gewinnmaximierungs-Maßnahme ins Rollen gebracht und diese hat es wirklich in sich.
Neuer Plan: Twitter schafft 2FA mittels SMS ab
Bei der sogenannten Zwei-Faktor-Authentifizierung (2FA) handelt es sich um eines der wichtigsten Sicherheitstools, die Betreibern von Online-Diensten zur Verfügung stehen. Dabei ist die grundsätzliche Funktionsweise recht simpel: Meldest du dich mit deinen Anmeldedaten in deinem Twitter-Konto an, wirst du nicht direkt durchgewinkt. Stadtessen verschickt das System eine SMS mit einem Code an eine von dir hinterlegte Rufnummer. Dieser Code muss nun in die Anmeldemaske eingetragen werden und die Anmeldung ist abgeschlossen. Und der Sinn? Sollten Dritte in den Besitz deiner Login-Daten gekommen sein, schaffen sie es ohne dein Handy dennoch nicht, deinen Account zu kapern. Wie gesagt, simpel und dennoch effektiv.
Die gleiche Sichtweise vertreten auch die Verantwortlichen bei Twitter. In einer Pressemeldung heißt es dazu: „Wir setzen uns weiterhin dafür ein, Menschen auf Twitter zu schützen. Und ein primäres Sicherheitstool, das wir anbieten, um Ihr Konto zu schützen, ist die Zwei-Faktor-Authentifizierung (2FA).“ Blöd nur, dass im weiteren Verlauf der Pressemeldung davon die Rede ist, dass die Zwei-Faktor-Authentifizierung mittels SMS (aktuell frei zugänglich) bereits ab dem 20. März nur noch kostenpflichtig im Rahmen des Twitter Blue-Abos angeboten werden wird. Lediglich die deutlich komplizierteren und viel seltener genutzten Möglichkeiten über eine Authentificator-App oder einen Sicherheitsschlüssel bleiben bestehen. Doch warum eigentlich?
Das PR-Team von Twitter spricht etwas abstrakt von Missbrauchsfällen von 2FA auf Telefonnummernbasis – wie auch immer diese aussehen mögen. Musk selbst ist da offener und erzählt in einem Twitter-Post, dass Twitter „von Telefongesellschaften um 60 Millionen US-Dollar pro Jahr betrogen wird“. Aufgrund von gefälschten 2FA-SMS-Nachrichten. Eine ausführlichere Erklärung liefert jedoch auch Musk nicht. Daher bleibt fraglich, ob bei dieser Entscheidung tatsächlich gefälschte 2FA-SMS-Nachrichten oder aber die allgemeinen Kosten für eine auf SMS basierende Zwei-Faktor-Authentifizierung im Vordergrund standen.
Schwerwiegende Folgen drohen
So oder so, ab März müssen sich zahlreiche Twitter-Nutzer mit einer neuen Gefahr konfrontiert sehen. Denn wie eine schier unermessliche Masse an gehackten Konten belegt, stellt es oftmals keine allzu große Herausforderung dar, die korrekten Anmeldedaten mittels Phishing in Erfahrung zu bringen. Ab diesem Zeitpunkt haben Cyberkriminelle Zugriff zu dem Konto. Und können einerseits den Ruf des eigentlichen Account-Eigentümers schädigen – beispielsweise mittels kinderpornografischen Inhalten, wie ein aktueller Facebook-Fall beweist. Andererseits können die Kontakte des Opfers aufgrund des Vertrauens-Bonus relativ einfach um ihr Geld betrogen werden.
Das alles dürfte Elon Musk bewusst sein. Und er nimmt das mit Blick auf das Sparpotenzial bewusst hin. Genau so, wie er bewusst hinnimmt, dass seine Verifizierungsabzeichen-Strategie zum Verbreiten von Falschinformationen ausgenutzt werden kann und es auch bereits wurde. Ob das die richtigen Ansätze sind, um Twitter langfristig wieder rentabel zu machen – fraglich. Zumal alternative Mikroblogging-Dienste wie Mastodon vor diesem Hintergrund enorm an Attraktivität gewinnen. Gänzlich ohne ihr Zutun. Und die Tatsache, dass die Deaktivierung der Zwei-Faktor-Authentifizierung keine automatische Trennung der hinterlegten Telefonnummer von dem Twitter-Account nach sich zieht, hilft ebenfalls nicht. Stichwort: Datenschutz – respektive dessen Abwesenheit.
2fa per SMS gibt es fast nirgends mehr kostenlos, und warum sollte eine 2fa per App komplizierter sein? merkwürdige Artikel
…was ich dazu sage? twitter & co sind KEINE Sozialen Medien sondern Private US Amerikanische WERBEportale, die Milliarden mit den Daten ihrer -oft erschreckend- naiven. Usern verdienen. Von daher: Twitter & co sind immer mehr Menschen EGAL….
Dass gerade einem eher unsicheren 2FA-Verfahren so nachgetrauert wird, kann ich nicht verstehen.