Immer schön mit SSL twittern

Update: Die ganze Story mit Ausgang gibt es hier nochmal in einem anderen Beitrag zu lesen: Wenn die CDU plötzlich SPD-Propaganda twittert.

Nach dem Urlaub bin ich sofort auf das Politicamp09. Und hier kann man anschaulich sehen, warum man bei der Nutzung von sozialen Medien immer auf SSL-Verbindungen in offenen Netzwerken achten sollte. Der Twitternutzer cdu_news hat hier unverschluesselt Twitter genutzt und prompt hat wohl jemand SPD-nahes den Netzwerk-Verkehr mitgeschnitten, das Nutzer-Passwort aus dem Datenverkehr gezogen und im Namen von cdu_news erstmal die Verkündung eines neuen CDU-Parteiprogrammes verkündet:

Angela Merkel verkündet daher morgen ein neues Programm: Atomausstieg, Mindestlohn und Vermögensteuer inklusive. Aha.

Mal schauen, wann es auffällt. Daher merke: Immer schön das https nutzen.

Update: Wie gerade in den Kommentaren geschrieben wurde, scheint das Passwort des Twitteraccount „cdu_news“ gewesen sein. Wenn das so stimmt und dafür gibt es Indizien, dann hatte es nichts mit https und Passwort-Sniffen im offenen Netzwerk zu tun, wie ich gestern vermutete, sondern war eher noch leichtsinniger von den Account-Betreibern. Ob die Zugangsdaten zu cdu.de aehnlich schwierig zu erraten sind, die von derselben CDU-Onlineredaktion gepflegt wird?

22 Ergänzungen

  1. Hallo Markus,

    hoffe der Urlaub war erholsam!

    Da kann man ja nur ins grinsen kommen *lo*!

    Aber ich wusste es: Die CDU kann mit den Social Networks und Web 2,0 nicht wirklich umgehen!Sieht man ja an ihrem Kampnagenportal!

    Und jetzt das! Was sagt man da? „Zensurursula“!!!

    Na dann gute Party gleich noch im Politcamp, wo ich aus persönliche Gründen leider nicht sein kann!

    Herzliche Grüße aus Potsdam!

    Martina

  2. In Deutschland ist hacken verboten! Das kann also nur ein ausländischer Terrorist gewesen sein.

    Deshalb brauchen wir Netzsperren, um unsere unschuldigen Kinder schützen zu können.

  3. Bin leider technisch nicht bewandert – kannst Du mir (und meinesgleichen) eine Quelle posten, wo beschrieben steht, wie SSL-Twittern funktioniert? Ich dachte immer, SSL-Verschlüsselung könne nur der Dienste-Anbieter einrichten, nicht der Nutzer.

  4. „SSL-Twittern“ geht ganz einfach: Auf https://twitter.com/ gehen, mit den Twitter-Zugangsdaten anmelden und twittern. SSL geht, wie du schreibst, tatsächlich nur, wenn beide Seiten SSL können, Twitter kann aber. Nutzt offensichtlich aber nicht jeder.

    1. Ja, https://twitter.com/ zu verwenden ist gewiss eine gute Massnahme. Twitterfox und viele andere Twitter-Clients bieten diese Moeglichkeit jedoch gar nicht erst an. Nur die konsequente Verwendung einer verschluesselten Verbindung wuerde diese Moeglichkeit ausschliessen.

      Noch besser waere natuerlich die Verwendung eines Client-Zertifikates, aber das wuerde nahezu alle Anwender ausschliessen, weil sie damit ueberfordert waeren.

      Aber wo sind die Beweise oder wenigstens die Indizien, dass tatsaechlich durch das Abhoeren des Netzwerktraffics das Passwort ermittelt wurde? Das waere naemlich ein ungeheurer Vorwurf.

      Ich halte es fuer viel wahrscheinlicher, dass das Passwort einfach leicht zu erraten war.

  5. Da ich mich mit Twitter nicht allzuviel beschäftigt habe, bin ich mir nicht ganz sicher:
    Aber kann es sein, dass die CDU – wenn das Passwort unwiderbringlich geändert wurde – gar keine Möglichkeit mehr hat, auf ihr Twitter-Konto zuzugreifen?
    Den Anbieter in den USA zu kontaktieren kommt ja für Internet-Ausdrucker der Union nicht in Frage, da für sie das Internet an der deutschen Grenze endet…

  6. Man kann sich bei Twitter gar nicht ohne SSL anmelden. Aber mal davon abgesehen: Wie soll denn das Passwort in so einem Fall mitgesnifft worden sein? Dafür müsste der SPD-nahe Sniffer ja im selben Netzwerk sitzen.

    Schade, dass hier auf Netzpolitik.org so ungeprüft ohne Recherche Gerüchte verbreitet werden.

  7. @Stephan: Wie Du vor dem Update lesen kannst, war das mit dem Sniffen meine erste Vermutung, weil die Übernahme ja offensichtlich war, zeitlich während des Politcamp stattfand, wo von cdu_news getwittert wurde und mir von Seiten der CDU erzählt wurde, natürlich habe man ein starkes Passwort verwendet. Aber das Update korrigiert ja die Story und mittlerweile ist das so auch von der CDU verifiziert worden.

  8. Man sollte vielleicht auch mal darüber nachdenken wie sehr sich mit der Aktion einige Leute selbst ins Knie geschossen haben. Irgendwelche Kindergarten-Aktionen helfen nicht das Bewusstsein der Parteien mit dem Internet zu sensibilisieren und sich dann selbst auf das Niveau der „Internetsperren“ zu begeben zeugt alles andere als ein Fünkchen Hirnmasse im Kopf. Wie die Teilnehmer des PolitCamp09 diese Aktion bewertet haben war denke ich mit dem tosenden Applaus bei unserem Statement sehr deutlich.

    Sehr schade und auch ein selbstgefällig Grinsen hilft nicht über den schlecht Eindruck hinweg.

  9. Himmel Valentin,
    lach doch mal!
    kindergarten hin oder her, natürlich ist es witzig wenn die internetausdrucker und internetsperrer ihr PW so bekloppt wählen dass jedes Kind drankommt.
    und die Teilnehmer der pc09 sollen denen mal weiter erklären wie man auf facebook und studiVZ neue freunde sammelt, dann passt das schon ;))

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.