M 5.156 Sichere Nutzung von Twitter

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Vorgesetzte

Verantwortlich für Umsetzung: Benutzer

Mit dem Mikro-Blogging-Dienst Twitter können registrierte Benutzer in kurzen Nachrichten mit maximal 140 Zeichen Neuigkeiten und Informationen austauschen. Die Benutzer können sich bei anderen Benutzern als "Follower" registrieren, so dass sie deren Textnachrichten empfangen.

Bei der Anmeldung an diesen Internet-Dienst müssen Vor- und Nachname, ein Benutzername und ein Passwort sowie eine E-Mail-Adresse angegeben werden. Aus dem Benutzernamen ergibt sich die URL zu der entsprechenden Twitterseite des Benutzers: http://twitter.com/Benutzername. Das gewählte Passwort muss mindestens 6 Zeichen lang sein, weitere Vorgaben existieren nicht. Die Benutzer werden jedoch darauf hingewiesen, dass sie möglichst komplizierte Passwörter wählen sollten ("Be tricky!"). Um Identitätsdiebstahl vorzubeugen, sollten übliche Passwortregelungen beachtet werden (siehe auch M 2.11 Regelung des Passwortgebrauchs).

Die Benutzerkennungen können bei der Anmeldung frei ausgewählt werden. Dadurch ist die Nutzung falscher Identitäten möglich. Es können Namen von bekannten, berühmten Persönlichkeiten oder Institutionen ausgewählt und in deren Namen Nachrichten geschrieben werden.

Die Twitter-Betreiber bieten auch die Möglichkeit über "Verified Accounts" ("Verifiziertes Konto") Benutzerkennungen, bei denen die Identität geprüft wurde, mit einem Symbol zu markieren. Diese Option wird bisher allerdings nur selten angeboten.

Der Umgang mit Twitter und ähnlichen Webdiensten sollte in jeder Institution klar geregelt sein. Hierbei gibt es mehrere Varianten:

Eine Behörde oder ein Unternehmen sollte klare Regelungen aufstellen, in denen beschrieben ist,

Wie bei allen Internet-Diensten sollten die Geschäftsbedingungen vor einer Registrierung als Benutzer sorgfältig daraufhin geprüft werden, ob die genannten Bedingungen aus der eigenen Sicht akzeptabel sind. Die Geschäftsbedingungen des Twitter-Dienstes erlauben eine Nutzung der angegebenen Benutzerinformationen für Werbezwecke.

Twitter ist für die schnelle und breit gestreute Informationsweitergabe bekannt. Häufig werden Informationen über Twitter in so kurzer Zeit weitergegeben, dass beispielsweise Nachrichtendienste diese noch nicht erhalten oder verifizieren konnten. Twitter-Nachrichten werden oft unautorisiert oder ungeprüft weitergegeben. Vor jeder Weitergabe oder -nutzung von Meldungen sollte daher deren Wahrheitsgehalt überprüft werden.

Durch die Textbeschränkung auf 140 Zeichen werden über Twitter oft nur Kurz-URLs weitergegeben. Kurz-URLs haben in der Regel ein Format, das z. B. wie folgt aussieht: http://kurzurl.com/d9khqp. Hinter diesem Link verbirgt sich der eigentliche Link, auf den verwiesen werden soll. Dies kann problematisch sein, weil dadurch nicht auf einen Blick erkannt werden kann, wohin die Kurz-URL führt und Benutzer auf Webseiten mit Schadsoftware gelockt werden können.

Kurz-URLs könnten auch von den sogenannten Spam-Followern ausgenutzt werden. Darunter verbergen sich maschinell generierte Accounts, die von Zeit zu Zeit Nachrichten erzeugen. Diese enthalten wie Accounts von realen Personen Nachrichten und Linktipps. Die Links in den verschiedenen Nachrichten suggerieren unterschiedliche und interessante Linkziele, verweisen jedoch immer auf die gleiche Zielseite. Damit Benutzer auch tatsächlich auf die Links klicken, werden viele Accounts geschaffen und untereinander verlinkt bzw. mit Followern versehen. Diese Accounts verfolgen weitere echte Accounts und erhoffen sich viele Klicks auf die entsprechenden Links. So wird Spam dann zusätzlich von aktiven Accounts rechtmäßiger Twitter-Mitglieder aus verbreitet.

Prüffragen: