Twitter sicher nutzen: So schützt man sich bei der Nutzung von Social Networks

Sicherheitsexperten warnen vor Sicherheitsrisiken wie Cross-Site-Scripting

(30.03.09) - Der Micro-Blogging-Dienst Twitter ist in aller Munde und sorgt für heiße Diskussionen: Während die einen noch über Sinn und Unsinn des 'Zwitscherns' debattieren, warnen Sicherheitsexperten wie Secure Sciences und Avira vor Sicherheitsrisiken wie Cross-Site-Scripting: Demnach soll es Hackern möglich sein, über Sicherheitslücken Malware auf die Rechner der Anwender einzuschleusen und auszuführen. Dabei reicht es schon aus, auf eine via Twitter versendete Kurz-URL zu klicken (Lesen Sie auch: Eine Spam-Flut hat die "Mikroblogging Community" heimgesucht - IT SecCity.de, 27.03.09). Bereits 750 Twitter-Accounts sollen auf diese Weise bereits gehackt und zum Spam-Versand missbraucht worden sein.

Avira warnt vor untergeschobenen iFrames, die per Cross-Site Scripting die heimischen Rechner kidnappen können und präsentiert den Anwendern einen Web 2.0-Knigge für mehr Sicherheit bei der Nutzung der Social Networks:

1. Direkteingabe der URL: Anwender sollten Social Networks ausschließlich über Bookmarks bzw. per Direkteingabe der URL in den Browser ansurfen.

2. Gesundes Misstrauen: Niemals sollten User auf Links klicken, die von Fremden geschickt wurden. Gerade im Web 2.0 sind die Möglichkeiten der Verbreitung von Links viel weitreichender als im ‚traditionellen’ World Wide Web. Zur Überprüfung von Links, die Twitter gerne mit Abkürzungsdiensten wie tinyURL einfügt, kann man über die Adresse http://tinyurl.com/preview.php?enable=1 für seinen Browser eine "Vorschau" aktivieren - so landet man nicht sofort auf einer schädlichen Seite, sondern bekommt auf der TinyURL-Seite zunächst den "echten" Link angezeigt.

3. Echtheit verifizieren: Nutzer sollten im Browser auf die Adresszeile achten, wenn die Anmeldedaten verlangt werden. Ist das wirklich die Seite, die die Anmeldung offiziell vornimmt?

4. "Data Harvesting" ausschließen: Grundsätzlich gilt im Web 2.0, keine persönlichen Daten preiszugeben, die den Einzelnen später belasten könnten oder anderen den physischen Weg zu einem zurück weisen. Nutzer hinterlassen im Laufe ihres (Online-)Lebens zahlreiche Datenspuren. Die unvorhergesehene Nutzungen der Daten durch Dritte ohne das Einverständnis der Betroffenen stellt nur ein Szenario der vielschichten Web 2.0-Risiken dar.

5. Blog-Posting: Angriffe auf Besucher eines Blogs funktionieren über Posts, die Skripte und Bilder mit Exploits oder einfach nur Links zu dubiosen Webseiten samt deren Schadcode enthalten. Dabei gibt es aber keine Möglichkeit, vorab zu erkennen, welche Beiträge eines Blogging-Systems gut oder schlecht sind. Um sich zu schützen, sollten User zum Bloggen einen alternativen Browser verwenden, regelmäßig Security-Updates durchführen und die Sicherheitseinstellungen des Browsers anpassen.

6. WebGuard einsetzen: Eine Web-Anwendung wäre grundsätzlich nur dann sicher vor XSS und Session Hijacking, wenn diese keine Eingabe des Anwenders erlauben und nur statistische Seiten verwenden würde. Dieses Szenario ist allerdings im Web 2.0-Umfeld unrealistisch. Jedes Eingabefeld stellt ein potenzielles Risiko dar, dass Schadcode in die Web-Anwendung eingeschleust werden kann. Die Premium Security Suite von Avira bietet beispielsweise mit der Funktion WebGuard einen umfassenden Schutz vor infizierten Webseiten und filtert digitale Übertäter aus, bevor diese den User erreichen können. (Avira: ra)

(Avira: ra)