Bundesamt für Sicherheit in der Informationstechnik

M 5.156 Sichere Nutzung von Twitter

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Vorgesetzte, Leiter IT

Verantwortlich für Umsetzung: Benutzer

Mit dem Mikro-Blogging-Dienst Twitter können registrierte Benutzer in kurzen Nachrichten mit maximal 140 Zeichen Neuigkeiten und Informationen austauschen. Die Benutzer können sich bei anderen Benutzern als "Follower" registrieren, so dass sie deren Textnachrichten empfangen.

Bei der Anmeldung an diesen Internet-Dienst müssen Vor- und Nachname, ein Benutzername und ein Passwort sowie eine E-Mail-Adresse angegeben werden. Aus dem Benutzernamen ergibt sich die URL zu der entsprechenden Twitterseite des Benutzers: http://twitter.com/Benutzername. Das gewählte Passwort muss mindestens 6 Zeichen lang sein, weitere Vorgaben existieren nicht. Die Benutzer werden jedoch darauf hingewiesen, dass sie möglichst komplizierte Passwörter wählen sollten ("Be tricky!"). Um Identitätsdiebstahl vorzubeugen, sollten übliche Passwortregelungen beachtet werden (siehe auch M 2.11 Regelung des Passwortgebrauchs ).

Die Benutzerkennungen können bei der Anmeldung frei ausgewählt werden. Dadurch ist die Nutzung falscher Identitäten möglich. Es können Namen von bekannten, berühmten Persönlichkeiten oder Institutionen ausgewählt und in deren Namen Nachrichten geschrieben werden.

Die Twitter-Betreiber bieten auch die Möglichkeit über "Verified Accounts" ("Verifiziertes Konto") Benutzerkennungen, bei denen die Identität geprüft wurde, mit einem Symbol zu markieren. Diese Option wird bisher allerdings nur selten angeboten.

Der Umgang mit Twitter und ähnlichen Webdiensten sollte in jeder Institution klar geregelt sein. Hierbei gibt es mehrere Varianten:

  • Die Institution könnte die Twitter-Nutzung generell verbieten. Dies muss dann natürlich den Mitarbeitern bekannt gegeben werden. Das Verbot kann außerdem technisch durch Filterung bezüglich der bekannten Web-Plattformen unterstützt werden, wobei berücksichtigt werden sollte, dass Benutzer immer neue Wege finden können, um auf solche Dienste zuzugreifen.
  • Es gibt auch Institutionen, in denen Twitter offiziell für dienstliche Zwecke freigegeben ist, beispielsweise um aktiv über eigene Dienstleistungen oder Produkte über Twitter zu informieren.

Eine Behörde oder ein Unternehmen sollte klare Regelungen aufstellen, in denen beschrieben ist,

  • ob Twitter dienstlich genutzt werden darf, und wenn ja, unter welchen Rahmenbedingungen ( z. B. bei der Weitergabe von Informationen, Nutzung von Pseudonymen, etc.) und
  • was Mitarbeiter bei der dienstlichen oder privaten Nutzung von Twitter beachten sollten.

Wie bei allen Internet-Diensten sollten die Geschäftsbedingungen vor einer Registrierung als Benutzer sorgfältig daraufhin geprüft werden, ob die genannten Bedingungen aus der eigenen Sicht akzeptabel sind. Die Geschäftsbedingungen des Twitter-Dienstes erlauben eine Nutzung der angegebenen Benutzerinformationen für Werbezwecke.

Twitter ist für die schnelle und breit gestreute Informationsweitergabe bekannt. Häufig werden Informationen über Twitter in so kurzer Zeit weitergegeben, dass beispielsweise Nachrichtendienste diese noch nicht erhalten oder verifizieren konnten. Twitter-Nachrichten werden oft unautorisiert oder ungeprüft weitergegeben. Vor jeder Weitergabe oder -nutzung von Meldungen sollte daher deren Wahrheitsgehalt überprüft werden.

Durch die Textbeschränkung auf 140 Zeichen werden über Twitter oft nur Kurz-URLs weitergegeben. Kurz-URLs haben in der Regel ein Format, das z. B. wie folgt aussieht: http://kurzurl.com/d9khqp. Hinter diesem Link verbirgt sich der eigentliche Link, auf den verwiesen werden soll. Dies kann problematisch sein, weil dadurch nicht auf einen Blick erkannt werden kann, wohin die Kurz-URL führt und Benutzer auf Webseiten mit Schadsoftware gelockt werden können.

Kurz-URLs könnten auch von den sogenannten Spam-Followern ausgenutzt werden. Darunter verbergen sich maschinell generierte Accounts, die von Zeit zu Zeit Nachrichten erzeugen. Diese enthalten wie Accounts von realen Personen Nachrichten und Linktipps. Die Links in den verschiedenen Nachrichten suggerieren unterschiedliche und interessante Linkziele, verweisen jedoch immer auf die gleiche Zielseite. Damit Benutzer auch tatsächlich auf die Links klicken, werden viele Accounts geschaffen und untereinander verlinkt bzw. mit Followern versehen. Diese Accounts verfolgen weitere echte Accounts und erhoffen sich viele Klicks auf die entsprechenden Links. So wird Spam dann zusätzlich von aktiven Accounts rechtmäßiger Twitter-Mitglieder aus verbreitet.

Prüffragen:

  • Ist die Nutzung von Twitter in der Institution klar geregelt?

Stand: 12. EL Stand 2011