Das Problem

Regelmäßig lesen wir darüber, dass ein Twitter Konto „gehackt“ wurde. Oft werden dann weniger passende Meldungen über nicht ganz unbekannte Profile gepostet. Das ist der größte anzunehmende Unfall in dieser Disziplin! Stellen Sie sich vor, jemand lobpreist die Produkte Ihrer Wettbewerber oder beleidigt Ihre Kunden auf Ihrem offiziellen Twitter Kanal…

Was Twitter dagegen unternimmt

Verständlich, dass Twitter handeln musste. Deshalb führte Twitter 2013 die optionale „Login Verification“ ein. Alle anderen nennen das meist „two-factor-authentification“ – also die Anmeldung in der Kombination aus zwei verschiedenen Technologien. Dieses Verfahren erhöht die Sicherheit eines Kontos entscheidend. Leider steht es derzeit scheinbar in Deutschland nicht (mehr) zur Verfügung. Alle lokalen mobilen Netzbetreiber wurden als „derzeit nicht unterstützt“ klassifiziert.

Das Passwort allein reicht dann nicht mehr aus. Beim ersten Anmelden auf einem unbekannten Gerät wird dann zusätzlich noch ein Pin Code abgefragt. Dieser ist nur zeitlich begrenzt gültig und wird jedesmal neu – z.B. via SMS oder App – generiert.

Das Verfahren nutze ich selbst auch für Google, Facebook, Dropbox, Evernote und Paypal. Mit wenig Mehraufwand habe ich die Sicherheit meiner Konten enorm erhöht.

Warum es keine Lösung für das eigentliche Problem ist

Für einzelne Nutzer ist dieses Verfahren sehr gut geeignet. Allerdings werden Twitter Konten eben sehr oft auch von Teams genutzt. In dem Fall funktioniert die „two-factor-authentification“ nur mit großem organisatorischen Aufwand. Jeder der Zugang zum Twitter Konto benötigt, braucht auch Zugang zum PIN Generator. Für jedes seiner Geräte und regelmäßig wieder. Das ist in Praxis kaum umsetzbar.

Wie lösen wir das Problem in unserem Team

Wir bei twentyZen greifen regelmäßig mit verschiedenen Geräten und Anwendungen auf unsere Twitter Konten (twentyZen und webZunder) zu. Deswegen kommt das Verfahren in unserem Team auch nicht zum Einsatz. Als Alternative vergeben wir derzeit ein neues Passwort, sobald sich die Zusammensetzung des Teams ändert.

Wie lösen andere Dienste dieses Problem

Schauen wir uns zwei andere Dienste an: Facebook und Google+. Beide unterscheiden zwischen Personenprofilen und (Unternehmens-)Seiten. Zugriff auf ein Personenprofil hat genau eine Person über sein eigenes Konto. Dieses kann sehr gut zusätzlich mit der „two-factor-authentification“ abgesichert werden. Zugriffe auf Seiten werden dann an einzelne Nutzerkonten vergeben. So kann – zumindest bei Facebook – auch nachvollzogen werden, wer welche Nachricht veröffentlich und welchen Kommentar verfasst hat. Zusätzlich können die Rechte auch granular eingeschränkt werden. So kann es z.B. Moderatoren geben, die selbst nichts veröffentlichen können.

Die Administration einer Seite ist ohne ein persönliches Konto nicht möglich – es gibt also kein gemeinsames – per Definition unsicheres – Passwort.

Twitter macht es sich zu einfach

Diese Unterscheidung macht Twitter nicht. Jedes Twitter Konto ist mit einem Nutzerzugang fest verbunden. Ohne zusätzliche Software braucht jedes Teammitglied das gleiche aktuelle Passwort. Damit lassen sich auch keine unterschiedlichen Rechte zuweisen. Jedes Teammitglied ist gleichberechtigt.

Das verursacht noch weitere Probleme. Twitter limitiert den Zugriff auf seine Programmierschnittstelle auf eine definierte Anzahl an Anfragen innerhalb eines Zeitraums. Dieses Kontingent müssen sich dann alle Teammitglieder mit dem selben „Access Token“ (Zugangsschlüssel) teilen. So wird das Limit im Team recht früh erreicht.

Wie Twitter das Problem lösen könnte

Die Lösung liegt auf der Hand. Twitter sollte die Möglichkeit schaffen, den Zugang zu einem Twitter Konto auch an andere Konten zu delegieren. Es gibt Hoffnung! Twitter hat den Zugriff auf die Analyse und Kampagnenfunktion per Delegation und Rollenkonzept gestaltet. Das lässt darauf hoffen, dass Twitter dies in Zukunft auch für den Zugriff auf die eigentlichen Twitter Konten einführt.