Den Zugang zu Online-Diensten mit einem Hardware-Dongle als zweiten Faktor zu schützen, ist aus Sicherheitssicht eine gute Idee. Wer das mit seinem Twitter-Konto gemacht hat, muss seinen FIDO-Stick nun jedoch neu anmelden, warnt das Sicherheitsteam des sozialen Netzes X nun.

Der Dienst schreibt: „Bis zum 10. November bitten wir alle Konten, die einen Sicherheitsschlüssel als Zwei-Faktor-Authentifizierungsmethode (2FA) verwenden, ihren Schlüssel neu zu registrieren, um weiterhin auf X zugreifen zu können. Sie können Ihren bestehenden Sicherheitsschlüssel neu registrieren oder einen neuen registrieren“. Der Dienst weist darauf hin, dass diejenigen, die einen neuen FIDO-Stick registrieren, den Zugriff mit allen anderen Sicherheitsschlüsseln verlieren, außer, diese werden ebenfalls neu registriert.

Ursache keine Sicherheitsprobleme

Die nötige Maßnahme gehe jedoch nicht auf etwaige Sicherheitsprobleme zurück, sondern hänge noch mit dem Wechsel des Angebots von „Twitter“ nach „X“ zusammen.

Es seien auch ausschließlich Yubikeys und Passkeys davon betroffen, führt X weiter aus. Andere Zwei-Faktor-Authentifizierungsmethoden etwa mit Authenticator-Apps funktionieren weiterhin.

X erklärt weiter: „Als 2FA-Methode registrierte Sicherheitsschlüssel sind derzeit an die Domain twitter.com gebunden. Durch die erneute Registrierung Ihres Sicherheitsschlüssels werden diese mit x.com verknüpft, sodass wir die Twitter-Domain außer Betrieb nehmen können.“

Betroffene Nutzer erhalten einen Hinweis, dass sie ihren Sicherheitsschlüssel neu anmelden sollen. Nutzerinnen und Nutzer können jedoch auch selbst aktiv werden und in den Sicherheitseinstellungen des Kontos „Anderen Schlüssel hinzufügen“ zum Neuregistrieren des FIDO-Sticks auswählen.

Mitte 2023 hatte Elon Musk das soziale Netzwerk Twitter übernommen und daraus den Dienst „X“ gemacht, was mehr als eine reine Umbenennung war. Die Arbeiten daran, die alte Domain Twitter loszuwerden, laufen offenbar immer noch.

(dmk)

Verschiedene Versionen von Proxmox Backup Server sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen.

Diverse Sicherheitsprobleme

Die Entwickler weisen im Forum auf die Schwachstellen hin. Bislang sind dazu keine CVE-Nummern und somit keine Einstufung des Bedrohungsgrads bekannt. Das CERT Bund vom BSI stuft die Gefahr als „hoch“ ein.

Von einer Schwachstelle ist ausschließlich der Proxmox-Versionsstrang 3.x betroffen. Nutzen Angreifer die Lücke erfolgreich aus, können sie Backup-Snapshots manipulieren, sodass eine Wiederherstellung unmöglich wird. Hier schafft die Ausgabe 3.4.1-1 Abhilfe.

Bei der zweiten Schwachstelle kommt es bei einer Konfiguration mit S3 zu Problemen, und Angreifer können unbefugt auf Daten zugreifen. Dagegen ist Proxmox Backup Server 4.0.18-1 gerüstet.

Ob es bereits Attacken gibt, ist zurzeit nicht bekannt. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

(des)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit dem Programm polizeiliche Kriminalprävention (ProPK) eine Checkliste veröffentlicht, die Privatanwendern helfen soll, wenn ihre Zugänge von Kriminellen übernommen wurden.

Die Checkliste liegt als PDF auf der Webseite des BSI vor. Darin warnt die Behörde vor den Auswirkungen: Kriminelle können dann nicht nur in gekaperten Konten hinterlegte Daten wie Anschrift oder Kreditkarteninformationen einsehen und missbrauchen, sondern etwa illegale Waren verkaufen oder Spam versenden. Besonders kritisch seien demnach geknackte E-Mail-Accounts. Das ermöglicht glaubwürdigere Kommunikation mit potenziellen weiteren Opfern, aber oftmals seien die auch hinterlegt, um Passwörter für andere genutzte Dienste zurückzusetzen.

Das BSI gibt Hinweise, wie Betroffene geknackte Konten erkennen können. Bei nicht mehr möglichem Zugriff könnte etwa das Passwort zurückgesetzt worden sein. Oder der Anbieter hat den Zugang wegen verdächtiger Aktivitäten blockiert. Weitere Punkte erklären, wie in diesem Fall am besten vorzugehen ist. Außerdem liefert die Checkliste noch Tipps zum besseren Schutz für Konten. Es findet sich etwa die Aktivierung von Zwei-Faktor-Authentifizierung – an zweiter Stelle nach der Umstellung auf Passkeys.

Umfrageergebnisse „Cybersicherheitsmonitor 2025“

Dass solch eine Handreichung nötig ist, unterstreichen die Ergebnisse des „Cybersicherheitsmonitors 2025“. Dabei handelt es sich um eine „Computer Assisted Web Interviewing (CAWI)“-Umfrage von BSI und ProPK unter 3061 Personen der deutschsprachigen Bevölkerung ab 16 Jahren, die vom 3. bis 7. Februar 2025 durchgeführt wurde. Demnach erlebte fast jede zehnte Person, die im vergangenen Jahr von Cyberkriminalität betroffen war, einen Fremdzugriff auf einen Online-Account (8 Prozent).

Karin Wilhelm, Expertin für Verbraucherschutz beim BSI, sagte dazu: „Ein Ernstfall kann schnell überfordern: Viele Menschen wissen im ersten Moment nicht, wie sie reagieren sollten. Gerade im Falle des E-Mail-Kontos kann schnelles Handeln jedoch weiteren Schaden abwenden. Behalten Cyberkriminelle unbefugten Zugang zu dem Konto, können sie sensible Daten auslesen, E-Mails an hinterlegte Kontakte verschicken oder auch Passwörter und Anmeldeverfahren bei weiteren Benutzerkonten zurücksetzen. Darum ist es so wichtig, sofort aktiv zu werden. Die Checkliste soll Betroffene handlungsfähig machen.“

Das BSI bietet weitere hilfreiche Materialien an. Die Behörde hat etwa im September kostenlose Arbeitsblätter für Lehrkräfte und Eltern veröffentlicht, mit denen Jugendliche über Cyberrisiken aufgeklärt werden können.

(dmk)