20. April 2009 - Microblogging

Twitter: Nicht nur harmloses Gezwitscher

Spätestens seit der erfolgreichen Notwasserung eines Flugzeugs im New Yorker Hudson River sind die Medien auf den Internetdienst Twitter aufmerksam geworden. Schließlich war die Nachricht eines Twitter-Nutzers schneller als die Eilmeldungen der Presseagenturen. Zunehmend finden auch Unternehmen Interesse an den Twitter-Funktionen. Doch die Tweets genannten Twitter-Meldungen könnten mehr beinhalten, als in den 140 erlaubten Zeichen steht.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Twittern (Zwitschern) ist beliebt. Twitter hat in kurzer Zeit mehrere Millionen Nutzer gewonnen.

Klären Sie die Anwender über die Risiken auf

Bevor Mitarbeiterinnen oder Mitarbeiter Twitter über das Firmen-Handy oder auf dem Firmen-PC nutzen oder Ihre Geschäftsführung und PR-Abteilung die Vorzüge dieses Dienstes näher kennenlernen möchte, sollten Sie darüber aufklären, dass nicht alles an Twitter harmloses Gezwitscher ist.

So bestehen Risiken wie Identitätsmissbrauch, Passwortdiebstahl, Social Engineering und Links zu verseuchten Webauftritten.

Internettagebuch in Häppchenform

Nicht nur Jugendliche und Internet-Fans nutzen diesen Dienst, um anderen mitzuteilen, was sie gerade machen oder wo sie gerade sind.

Auch viele Prominente, Politiker und Manager nutzen die Möglichkeiten der Kurznachrichten im Internet, sogar das Los Angeles Fire Department berichtet über seine Einsätze in dieser Form des Microblogging.

Die Idee von Twitter ist vergleichbar mit den „großen“ Blogs, also den Internettagebüchern, die als Private oder Corporate Blogs die Geschichte einer Person oder eines Unternehmens im Internet nachvollziehbar machen.

„Kurz fassen“ ist das Motto

Ein wesentlicher Unterschied zu den Blogs besteht aber in der strikten Begrenzung auf 140 Zeichen je Meldung. Also muss man sich kurz fassen, um seine Botschaften im Microblogging vermitteln zu können.

So ähnlich wie SMS, aber doch ganz anders

Vielleicht fühlen Sie sich wegen der Begrenzung der Zeichenzahl an den Mobilfunkdienst SMS erinnert. Tatsächlich werden viele Twitter-Nachrichten, auch Tweets genannt, auf Handys oder Smartphones geschrieben.

Ebenso kann man Tweets auch in Form von SMS empfangen. Allerdings bestehen zwischen Tweets und SMS grundlegende Unterschiede.

Eine SMS geht immer an einen oder mehrere Empfänger, in jedem Fall an eine begrenzte Anzahl von Mobilfunknutzer, die man durch Auswahl der Mobilfunknummern bestimmt.

Bei Twitter hingegen landen die Nachrichten auf einer Internetplattform, auf der sie prinzipiell von jedem eingesehen werden können. Das ist allerdings im Sinne der Twitter-Teilnehmer, die oftmals einen möglichst großen Personenkreis über ihren aktuellen Status informieren möchten.

Twitter als persönlicher Nachrichtenticker

Der Inhalt der maximal 140 Zeichen besteht nicht mehr nur aus reinen Tätigkeits- oder Ortsangaben der Teilnehmer.

Firmen melden Stellenangebote über diesen Dienst, neue Produkte und Dienstleistungen könnten über Tweets bekannter gemacht werden, PR-Agenturen und Medien versenden fleißig ihre Schlagzeilen via Twitter, und Politiker haben Twitter als Mittel für den Internetwahlkampf entdeckt.

Ein spezieller Dienst für Manager (ExecTweets) bietet den Wirtschaftsbossen die Chance, ihre Sicht der Dinge auf einem weiteren Kanal zu verbreiten.

Schnell wird deutlich, dass für einen möglichen Missbrauch einiges Potenzial vorhanden ist.

Erste Angriffe sind bereits erfolgt

Wie im Internet zu erwarten, sind bereits verschiedene Attacken auf Twitter und die Nutzer zu beklagen gewesen:

  • Das Passwort eines Twitter-Mitarbeiters wurde ebenso geknackt wie die Passwörter von prominenten Twitter-Nutzern.
  • Phishing-Versuche für den Passwortdiebstahl wurden genauso beobachtet wie gezielte Falschmeldungen, die von gekaperten Nutzerkonten verschickt wurden.
  • Twitter versucht zwar, die massenhafte Anlage von Nutzerkonten durch Spammer und Spamming innerhalb des Dienstes zu verhindern, aber es gibt kaum einen Internetdienst, der nicht von Spammern missbraucht wird.
  • Ein weiteres Risiko besteht darin, dass das scheinbare Twitter-Konto einer bekannten Person auch von jemand ganz anderen angelegt worden sein kann. Eine Überprüfung der Identität bei der Anmeldung eines neuen Kontos findet in der Regel nicht statt.
  • Ebenso wurde bereits eine Schwachstelle für XSS (Cross-Site Scripting) bei Twitter aufgedeckt, die wie bei anderen Websites eine Missbrauchsgefahr darstellt.

Kurze Nachricht, große Gefahr?

Auch die Kürze einer Twitter-Nachricht könnte für die Nutzer zum Risiko werden.

So bietet es sich geradezu an, bei den 140 Zeichen die den Freunden oder Kollegen empfohlene Internetadresse (URL) abzukürzen. Solche Kurz-URLs können mit speziellen Diensten wie tinyurl.com generiert werden.

Nach der Umwandlung einer URL in eine Kurz-URL ist jedoch das wirkliche Ziel einer Internetadresse nicht ohne weiteres feststellbar. So könnten die Empfänger der Twitter-Nachricht nach dem Anblicken des Links auf einer verseuchten Website landen und sich Malware einhandeln.

Personensuche leicht gemacht

Wie soziale Netzwerke dies meist ermöglichen, bietet auch Twitter eine umfangreiche Suchfunktion (search.twitter.com/advanced), um interessante Nutzer zu entdecken.

So lassen sich Personen finden durch Eingabe des Namens, Ortes oder der Interessen. Für Social Engineering liefern solche Informationen durchaus eine gute Grundlage. Denn ein versteckter Angreifer, der sich das Vertrauen erschleichen möchte, kann dies über angebliche gemeinsame Interessen und den angeblich gleichen Wohnort versuchen.

Ebenso lassen sich Befehle über Twitter absetzen, die das öffentliche Profil eines bestimmten Teilnehmers abfragen (wie WHOIS Benutzername) oder andere Personen über deren Mobilfunknummer nach Twitter einladen.

Ob die Einladung aber wirklich von der angezeigten Person stammt, ist aus den oben genannten Gründen der fehlenden Identifizierung bei der Anmeldung unklar.

Handlungsempfehlungen
Damit die Vorteile von Twitter auch geschäftlich genutzt werden können, sollten die Anwender

  • nicht über Links auf Twitter gehen, sondern die Adresse twitter.com direkt in den Browser eingeben
  • Links in Twitter-Nachrichten nicht anklicken, sondern zuerst über den genutzten Kurz-URL-Dienst wie tinyurl.com den kompletten Link in Erfahrung bringen und diesen über einen Online-Scanner auf Schadsoftware prüfen
  • die Identität eines neuen Kontaktes nicht einfach glauben, sondern auf anderen Wegen (zum Beispiel telefonisch) überprüfen
  • Datensparsamkeit auch bei Twitter üben
  • suspekte Twitter-Nutzer für das eigene Twitter-Konto blockieren
  • auch bei Twitter an die Passwortrichtlinie denken und keinesfalls ein betriebliches Kennwort als Twitter-Passwort nutzen
  • die aktuelle Datenschutzerklärung des kostenlosen Dienstes Twitter regelmäßig prüfen, wie die personenbezogenen Daten genutzt werden sollen (Datenweitergabe an Dritte hinterfragen)


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln