Besserer Schutz bei Twitter

Vielschichtige Diskussionen um Datenschutzrichtlinien bei Facebook machen deutlich, der Anspruch an die Sicherheit bei Sozialen Netzwerken steigt. Dass die Betreiber durchaus in der Lage sind, auf diese Anforderungen zu reagieren, zeigt der Microblogging-Dienst Twitter.

Anfang März erklärte Twitter, dass man einen neuen Service nutzt, um die Anwender besser vor Phishing und andern Attacken zu schützen. Dazu würden nun Links, die in  privaten Nachrichten und E-Mail-Benachrichtigungen enthalten sind, über den internen Twitter-URL-Verkürzungsdienst twt.tl umgeleitet und die Zieladresse überprüfen. Führt der Link zu einer schlechten bzw. unsicheren Adresse, kann der Anwender gewarnt werden.

Man darf annehmen, dass die Überprüfung von Privaten Nachrichten und E-Mail-Benachrichtigungen nur der erste Schritt ist. Vermutlich wird auch bald eine Überprüfung von Kurz-URLs stattfinden, die in den normalen Tweets (Twitter-Mitteilungen) enthalten sind. Damit würde Twitter eines der bekanntesten Sicherheitsprobleme etwas reduzieren.

Problemstellung
Da die Mitteilungslänge bei Twitter auf 140 Zeichen beschränkt ist, werden Links i.d.R. als Kurz-URLs angegeben. Dadurch ist die Zieladresse nicht mehr unmittelbar für den Anwender einsehbar. Ob der Link nun wirklich zur empfohlenen Hotelreservierungsseite führt, oder zu einer Seite die von Cyberkriminellen präpariert wurde, sieht man nicht. Im Normalfall klickt der Anwender und lässt sich „überraschen“.

Die automatisierte Prüfung durch Twitter hinterlässt aber aktuell noch ein gewisses Unsicherheitsgefühl. Denn wie und mit welchen Mechanismen die Zieladresse durch twt.tl überprüft wird, ist unbekannt. Die Haltung ist verständlich, denn man möchte bei Twitter sicherlich keine Interna an die Cyberkriminellen weitergeben. Aber die Frage bleibt: „Wie sicher ist dieser neue Twitter-Service?“ Werden Reputationsdienste genutzt, um eine Webadresse zu bewerten oder erfolgt die Überprüfung der Zieladresse durch einen Malwarescanner.  Wie häufig werden die Adressen überprüft? Einmal am Tag oder immer dann, wenn eine Kurz-URL in Twitter eingegeben wird?

Laut Statistik erzeugen die Twitter-Anwender jeden Tag etwa 50 Millionen Tweets. Diese Anzahl zeitnah zu Überprüfen, ist sicherlich eine Herausforderung.

Alternativen
Ratsam wäre es, sich auch selbst um die Sicherheit zu kümmern! Ein erster Schritt ist es, den Preview-Modus für Kurz-URLS zu nutzen. Dabei stellt der Browser die komplette Langadresse dar und gibt so dem Anwender einen Hinweis darauf, wohin der Link zeigt. Die Implementation eines Preview-Modus ist dabei abhängig vom Dienstanbieter. Eine Standardlösung für viele Kurz-URL-Dienste, die nicht nur für Twitter gedacht ist, bietet  Long URL Please oder Preview URL. Speziell für Twitter-Nutzer und den häufig genutzten Verkürzungsdienst bit.ly bietet sich auch die Firefox-Erweiterung „bit.ly Preview“ an.

Als zweiter Schritt empfiehlt es sich, die Webseite, die man besuchen möchte, einer Kurzanalyse zu unterziehen. Eine schnelle Lösung, ist die Safe-Browsing Funktion von Google zu nutzen. Gibt man in der URL-Zeile des Browsers den  Aufruf "http://www.google.com/safebrowsing/diagnostic?site=ZIELADRESSE" (ZIELADRESSE ersetzen durch die gewünschte Adresse) an, zeigt Google den Status der Zieladresse.

Man kann auch die WOT-Webseite (Web Of Trust) verwenden, um zu erfahren, wie andere Internetnutzer eine Zieladresse bewerten. Vorteil dieser Lösung ist, dass wirklich Menschen eine Seite bewerten.

Auch kommerzielle Antivirus-Unternehmen, stellvertretend sei hier AVG genannt, bieten Lösungen an. Das Unternehmen offeriert einen Linkscanner, um eine URL auf Exploits zu überprüfen.

Die wirkungsvollste Schutzmaßnahme ist - eigentlich eine Selbstverständlichkeit - ein sicheres Computersystem. Das bedeutet, einen Ausflug ins WWW sollte man nur wagen, wenn man:

1. Einen aktuellen Virenscanner installiert hat,

2. eine Firewall das System schützt,

3. auf dem System alle aktuelle Security-Patche installiert sind und

4. eine aktuelle Browser-Version genutzt bei der aktuell keine Schwachstellen bekannt sind.

Der Weg ist das Ziel
Twitter hat den ersten Schritt getan und die Anwender können hoffen, dass weitere folgen.  Sicherheitsprobleme können dabei nie von einem einzelnen allein gelöst werden – denn Security ist immer Teamarbeit. Daher sollten auch die Anwender ein wenig dazu beitragen, um die Twitter-Nutzung sicherer zu machen und Cyberkriminalität zu minimieren.

www.secuteach.de 
rdombach@secuteach.de