Social Media Security III: Sicher unterwegs auf Twitter

Schneller als per Twitter kann man sich wohl nicht informieren. Leider kann man auch nirgends schneller auf Fake News hereinfallen: Twitter verlangt keine Klarnamen, Trolle können sich leicht verstecken. Damit Sie nicht zum Verteiler solcher Müll-Meldungen werden, ist ein wenig Social-Media-Hygiene nötig. Lernen Sie mehr über Datensicherheit auf Twitter in Teil 3 unserer Social-Media-Security-Serie.

Autor/in Sascha Maier
Datum 22.04.2020
Lesezeit 9 Minuten

Vorweg: Letztlich helfen am ehesten gesunder Menschenverstand und Wissen rund um Fake News, um selbige zu erkennen. Twitter selbst bietet aber ebenfalls verschiedene Einstellungen, mit denen sich das Risiko minimieren lässt.

Hinweis: Alle folgenden Erläuterungen beziehen sich auf den Zugriff per Web-Browser von einem PC/Mac aus. Per se sind die Einstellungen auch in der mobilen App zu finden, aber teilweise heissen die Menüs dort anders.

Warum es so wichtig ist, sicher mit Social Media umzugehen

Social Media ist Fluch und Segen zugleich: Zeitfresser und unverzichtbares Kommunikationsmedium für uns alle privat sowie auch für Unternehmen, Informationsquelle für Freunde, Familie, Kunden – aber eben auch für Kriminelle.

Wussten Sie, dass professionelle Datendiebe mehr als 60 Prozent aller Informationen, die einen Angriff zum Erfolg werden lassen, in weniger als einem Tag per Social Media recherchieren? Wir selbst sind es also, die wir als private oder professionelle Social-Media-Nutzer Cyberkriminellen die Arbeit erleichtern.

Social Media ist Fluch und Segen zugleich: Zeitfresser und unverzichtbares Kommunikationsmedium für uns alle privat sowie auch für Unternehmen, Informationsquelle für Freunde, Familie, Kunden – aber eben auch für Kriminelle.

Wussten Sie, dass professionelle Datendiebe mehr als 60 Prozent aller Informationen, die einen Angriff zum Erfolg werden lassen, in weniger als einem Tag per Social Media recherchieren? Wir selbst sind es also, die wir als private oder professionelle Social-Media-Nutzer Cyberkriminellen die Arbeit erleichtern.

1. Klarheit verschaffen: Wer twittert in meinem Namen?

Nach wie vor sind Kontoübernahmen durch Kriminelle eines der größten Probleme im Netz. Entweder gelangen die Angreifer per Phishing an das Kennwort des Opfers oder sie landen einen Zufallstreffer, weil Anwender ihre Passwörter «recyclen». Also bei mehreren Webseiten das gleiche Kennwort verwenden. Der erfolgreiche Einbruch bei Website A erlaubt dann auch die Übernahme der Accounts bei Webseite, B, C, D und so weiter.

Haben Sie Sorge, dass Unbefugte Zugriff haben auf Ihren Account, dann klicken Sie in der linken Menüleiste auf «Mehr», dann auf «Einstellungen und Datenschutz», «Account» sowie «Apps und Sitzungen». Der oberste Eintrag im Abschnitt «Sitzungen» gehört zu der Sitzung, von der aus Sie die Einstellungen abrufen. Darunter listet Twitter sämtliche Logins auf, aktuelle und ältere. Kommt Ihnen hier etwas merkwürdig vor, klicken Sie auf «Von allen anderen Sitzungen abmelden» – und ändern Sie anschließend Ihr Passwort.

Oberhalb von Sitzungen finden Sie «Apps» (Abbildung 1). Hier listet Twitter seine eigenen Apps und die von Drittanbietern auf, denen Sie (irgendwann mal) Zugriff auf Ihren Account gewährt haben. Im Zweifel klicken Sie auf fragwürdige Einträge und dann auf «Zugriff widerrufen». Es tauchen immer wieder Apps auf, die vermeintlich coole Funktionen («Wer hat meinen Account besucht?», «1000 neue Follower pro Tag» und so weiter) versprechen und sich dafür tief in Twitter einnisten – inklusive der Funktion zum Tweet-Versand – die dann natürlich fürs Verbreiten von Spam oder Fake News missbraucht wird.

Abbildung 1: Zugriff anderer Apps

2. Unbefugte aussperren

Das Risiko einer Kontoübernahme lässt sich durch die Zwei-Faktor-Anmeldung minimieren. Twitter fragt dann neben dem Passwort noch einen Einmal-Code ab. Im Fall von Twitter klicken unter «Einstellungen und Datenschutz» auf «Account». Unter «Sicherheit» findet sich «Zwei-Faktor-Authentifizierung» (Abbildung 2). Wählen Sie hier den Übertragungsweg für den Code: SMS, eine App oder ein Stück Hardware (meist ein spezieller USB-Stick). Von SMS ist abzuraten, so dass eine App wie der Microsoft Authenticator wahrscheinlich am praktikabelsten ist.

Abbildung 2: Zwei-Faktor-Authentifizierung

Haken Sie am besten auch «Passwortrücksetzung schützen» (zu finden unter «Sicherheit») an. Twitter fragt dann nach zusätzlichen Informationen wie Ihrer Telefonnummer oder vollständigen E-Mail-Adresse, bevor Sie Ihr Kennwort zurücksetzen können.

3. Privatsphäre: Alles oder nichts

Bei Facebook können Sie für jeden Post einzeln festlegen, wer Ihre Inhalte sehen kann. Bei Twitter gilt «Alles oder nichts»: Entweder, nur Ihre Follower können Ihre Tweets sehen oder das ganze Internet. Sie finden die hierfür verantwortliche Funktion nach Klick auf «Mehr» in der linken Menüleiste. Dann «Einstellungen und Datenschutz» und «Datenschutz und Sicherheit» anklicken. Oben sehen Sie die Option «Deine Tweets schützen» (Abbildung 3) samt Erläuterung. Wenn Sie Ihre Tweets auf «privat» stellen, gilt das auch für alle bereits geposteten Nachrichten. Wurden diese jedoch von Suchmaschinen indiziert oder anderweitig außerhalb von Twitter erfasst, bleiben sie dort im Klartext für jedermann lesbar.

Abbildung 3: Datenschutz und Sicherheit in Bezug auf Tweets

Mit den beiden Optionen darunter können Sie festlegen, ob jeder Ihrer Tweets Ihren Aufenthaltsort übermittelt und wer Sie auf Fotos markieren darf. Den Aufenthaltsort sollten Sie keinesfalls kommunizieren, da die Information als Grundlage für eine überzeugende Phishing-Attacke auf Kolleginnen und Kollegen dienen kann. Sich von Unbekannten auf Fotos markieren zu lassen ist ebenfalls nicht ratsam, da Ihr Twitter-Account so eventuell mit Konten von Betrügern in Verbindung gebracht werden kann – was diese glaubwürdiger erscheinen lässt.

Wollen Sie einschränken, wer Ihren Twitter-Account per Suche finden kann, dann finden sich hierfür nötigen Einstellungen unter «Auffindbarkeit und Kontakte». Sinnvoll ist eine Einschränkung, wenn Sie halbwegs anonym bei Twitter sein wollen, Ihre bei Twitter hinterlegten Angaben zur E-Mail-Adresse und Telefonnummer jedoch öffentlich mit Ihrem Namen verknüpfbar sind.

4. Vorsicht vor dem Klick

In den Anfangstagen von Twitter waren URL-Verkürzer wie bit.ly oder tinyurl Lebensretter: Bei einem Maximum von 140 Zeichen pro Tweet kam es auf jeden Buchstaben an. Inzwischen kürzt Twitter URLs automatisch auf 32 Zeichen und hat zudem die Begrenzung auf 280 Zeichen angehoben. An sich also kein Grund mehr, URL-Verkürzer zu verwenden.

Das bedeutet: Taucht dennoch ein solcher Link in einem Tweet auf (Abbildung 4), ist Vorsicht geboten. Durch das Abkürzen der Internetadresse lässt sich das wahre Ziel des Klicks verschleiern, so dass Nutzerinnen und Nutzer keine Ahnung haben, wo sie landen. Ob auf einer legitimen Seite oder auf einer, die den eigenen Rechner mit Malware infizieren will. Um die Adresse gefahrlos vor dem Klick sichtbar machen zu können, nutzen Sie am besten einen Dienst wie https://scanurl.net/.

Abbildung 4: Tipps bei abgekürzter Internetadresse

5. Phishing und Spam natürlich auch per Twitter

Kriminelle nutzen nicht nur E-Mail, um Phishing-Links und Spam zu verschicken. Sondern missbrauchen hierfür auch Direktnachrichten bei Twitter. Die Inhalte gleichen dem, was per E-Mail verschickt wird: Flirtangebote, günstige Medikamente, vermeintliche Millionenerbschaften. Dazu gesellen sich noch auf Twitter zugeschnittene Angebote wie «Mehr Follower per Klick».

Um den Eingangskorb halbwegs freizuhalten von Spam hat Twitter einen Filter integriert. Er ist unter «Mehr», «Einstellungen und Datenschutz», «Mitteilungen» zu finden (Option «Qualitätsfilter») und standardmäßig aktiviert. Über «Erweiterte Filter» können Sie beispielsweise Direktnachrichten von Versendern stummschalten, denen Sie nicht folgen, die ein Standard-Profilfoto oder ihre E-Mail-Adresse gegenüber Twitter nicht bestätigt haben – sichere Anzeichen für einen Spam-Versender.

6. Mich gibt es schon bei Twitter – aber ich bin es nicht

Gelegentlich bemächtigen sich Betrüger der Identität beliebiger realer Personen, um ein überzeugenderes Fake-Profil gestalten zu können. Im wirklichen Leben mit der betroffenen Person bekannte Menschen lassen sich leichter aufs Glatteis führen, was insbesondere Industriespionen in die Karten spielt.

Sollten Sie bei Twitter auf ein Profil stossen, dass eindeutig Ihre Identität verwendet können Sie das Profil über ein Formular melden. Alternativ öffnen Sie das Fake-Profil und klicken dann auf das Symbol mit den drei Punkten (Google Android und Web-Browser auf dem Desktop-Rechner) beziehungsweise Zahnrad (Apple iOS). Anschließend unten auf die Zeile mit den Fähnchensymbol klicken und dann «Der Nutzer gibt sich als mich oder jemand anders aus» wählen (Abbildung 5).

Abbildung 5: Account melden

Lesen Sie auch aus dieser Serie:


Autor/in

Sascha Maier

Sascha Maier ist der CISO von IWC Schaffhausen (www.iwc.com), dem bekannten Luxusuhren-Hersteller aus Schaffhausen. In seiner Funktion ist Sascha Maier verantwortlich für die komplette IT- & Informationssicherheit der IWC an allen Standorten. Durch das Setzen von Sicherheitsstandards, die Bewertung von Sicherheitsrisiken und die Umsetzung von Gegenmassnahmen sichern er und sein Team die Infrastruktur. Zudem wird bei der IWC seit Jahren aktiv das Thema User Awareness und Cyber Intelligence vorangetrieben.