Twitter-Hack Daten sind beim Cloud-Computing schlecht geschützt
Ein Hacker hat interne Dokumente des Mikroblogging-Dienstes Twitter kopiert. Der Fall zeigt, wie riskant das Online-Arbeiten für Firmen ist
©David Paul Morris/Getty Images
Muss sich jetzt dem ernsten Thema Datensicherheit widmen: Twitter-Chef Evan Williams
Cloud-Computing ist ein Risiko für sensible Firmendaten, denn Passwörter für die Onlinedokumente lassen sich zu leicht knacken. Das hat ein Hacker bewiesen, der sich Zugang zum Emailaccount einer Twitter-Mitarbeiterin verschaffte. Twitter bestätigte in seinem Firmenblog, dass der Hacker an interne Daten gelangt sei. Darunter sollen Gehaltslisten gewesen sein, ebenso wie Grundrisse des neuen Firmensitzes, Kreditkartennummern von Mitarbeitern und Verträge mit anderen Firmen wie Nokia, AOL und Microsoft.
Twitter nutzt Google-Konten, über die das Unterhmen nicht nur Emails, sondern auch Textdateien online verwalten und bearbeiten lässt. Diese sind von jedem Rechner mit Internet zugänglich – vorausgesetzt, man kennt das Passwort. Cloud-Computing heißt diese Idee und sie wird durch schnellere und überall verfügbare Internetverbindungen immer populärer.
Anzeige
Dass die Technik aber auch Sicherheitslücken hat, zeigte der jüngste Twitter-Hacker: Der Angreifer setzte einfach das Passwort des Googlemail-Kontos der Twitter-Mitarbeiterin zurück, indem er die Sicherheitsfrage richtig beantwortete. Solche Sicherheitsfragen sollen eigentlich dafür sorgen, dass nur der Inhaber des Kontos das Passwort ändert, oder im Zweifel noch an seine Daten kommt, wenn er es vergessen hat. Doch sind die Antworten oft zu leicht zu erraten. So wird gern nach dem Haustier gefragt, oder dem Geburtsort. Doch im Web 2.0 verraten Nutzer solche Informationen meist selbst, wenn sie über ihr Privatleben bloggen, twittern oder Facebook-Profile ausfüllen.
Doch beim Cloud-Computing via Google ist das Passwort für die Emails gleichzeitig das des zentralen Kontos, mit dem alle weiteren Anwendungen verwaltet werden. Das ist praktisch, aber riskant. Hat ein Hacker das Passwort erst zurückgesetzt und ein eigenes eingetragen, hat er Zugriff auf Fotoalben, Kalender, Chatprogramme – und eben auch auf Textdateien und Tabellen.
Während Experten darauf hinweisen, dass Cloud-Computing für Firmen wegen der sensiblen Daten ungeeignet sei, hält Twitter-Mitgründer Biz Stone an dem Konzept fest. Er sagte in der New York Times, bei dem Hackerangriff seien nicht die Web-Anwendungen das Problem. Vielmehr sei es für Firmen und Personen wichtig, Sicherheitsregeln zu beachten wie etwa sichere Passwörter zu verwenden. Daran halten sich jedoch längst nicht alle Nutzer. Die New York Times zitiert eine Studie aus dem vergangenen Jahr, nach der rund 40 Prozent der User im Internet für alle Anwendungen das selbe Passwort verwenden. Das hätte zwar nicht den Twitter-Hack verhindert, jedoch das, was der Angreifer dann noch tat.
Der Hacker knackte beispielsweise auch den Emailaccount der Ehefrau von Twitterchef Evan Williams und soll von dort aus auf private Internetkonten Williams’ Zugriff gehabt haben, darunter Amazon und Paypal, berichtete die New York Times. Offenbar wollte er die Daten jedoch nicht selbst benutzen, sondern leitete sie an zwei Blogs weiter: tech crunch in den USA und Korben in Frankreich. Tech crunch bloggte daraufhin einige der Infos. Demnach plante Twitter, noch in diesem Jahr 25 Millionen Nutzer zu erreichen. Dies dürfte bereits geschehen sein, kann aber nicht bestätigt werden – das Unternehmen veröffentlicht seine Nutzerzahlen nicht.
Eben diese intransparente Unternehmenspolitik könnte den Hacker zu seiner Tat verleitet haben. Nach den Daten, die vom Februar dieses Jahres stammen, soll Twitter im dritten Quartal 2009 – also jetzt – auch erstmals Gewinn machen. Rund 400.000 US-Dollar seien angepeilt, im vierten Quartal sollen es bereits vier Millionen Dollar sein. Die magische Marke von einer Milliarde Nutzer will Twitter 2013 knacken.
Die Blogger entschieden sich jedoch, nicht das gesamte Material zu veröffentlichen, da "der Großteil der Informationen etwas peinlich für verschiedene Personen ist", schreibt Michael Arrington von Tech crunch. Unter anderem handele es sich um Bewerbungsunterlagen, aber auch Essensvorlieben, Emailverkehr mit Prominenten und Kreditkartendaten der Mitarbeiter. Die Nutzer des Blogs diskutierten intensiv darüber, ob überhaupt Informationen veröffentlicht werden sollten.
Tech crunch verteidigte die Veröffentlichung: "Es ist nicht unsere Schuld, dass Google mit der Funktion Passwort zurücksetzen einen lächerlich einfachen Weg bietet, Zugang zu Accounts zu erlangen. Es ist nicht unsere Schuld, dass Twitter all diese Dokumente und sensiblen Informationen in der cloud gespeichert hat und so leicht zu erratende Passwörter und Sicherheitsfragen hat", schreibt Arrington.
Anzeige
- Datum 17.07.2009 - 09:34 Uhr
- Quelle ZEIT ONLINE
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Bitte melden Sie sich an, um zu kommentieren