Als im zweiten Halbjahr 2020 Twitter mit schweren Sicherheitslücken zu kämpfen hatte und unter anderem viele Accounts gehackt wurden – darunter jene von Elon Musk und Joe Biden –, wurde ein bekannter Hacker engagiert, um diese Lücken zu schließen. Sein Name: Peiter Zatko, der kürzlich seinen Platz beim US-Konzern räumen musste. Der Rauswurf ermutigte Zatko, mit mehreren Medienhäusern über den weiterhin fahrlässigen Umgang mit Cybersecurity zu sprechen.

Schwere Sicherheitsmängel

Er habe "ungeheure Mängel, Fahrlässigkeit, vorsätzliche Ignoranz und die Bedrohung der nationalen Sicherheit und Demokratie" beobachtet, erzählt Zatko CNN und der "Washington Post". Mehrmals habe er dem Vorstand erzählt, wie schlecht es um die Sicherheit im eigenen Unternehmen stehe, jedoch ohne Gehör zu finden. Daraufhin habe er die Lage an die zuständigen Behörden weitergeleitet, etwa die US Securities and Exchange Commission (SEC), die Federal Trade Commision (FTC) und das Justizministerium.

Es würde an den einfachsten Dingen mangeln, erzählt Zatko. So hätten etwa tausende Mitarbeiter Kopien des Quellcodes von Twitter auf ihrem Laptop. Diese Arbeitsgeräte seien allerdings zu einem großen Teil nicht mit einer aktiven Firewall ausgestattet, viele hätten zudem automatische Sicherheitsupdates deaktiviert. Da auch nicht geprüft wurde, was die Mitarbeiter mit den Geräten anstellten, hätte man auf so manchem Gerät absichtlich installierte Spyware gefunden. 5.000 Mitarbeiter hätten zudem unbeschränkten Zugriff auf die interne Software des Unternehmens, und aufgrund fehlender Kontrollen könne so jeder dieser Angestellten sensible Daten verändern.

Zatko zählte in den Berichten noch einige weitere Sicherheitsmängel auf. Fast 40 Vorfälle gab es allein 2020, manche so schwerwiegend, dass das Unternehmen dazu gezwungen war, diese direkt den Behörden zu melden.

2019 wurde bekannt, dass Twitter seit Jahren nicht die Nachrichten von deaktivierten Accounts löscht, obwohl das laut einer Abmachung mit der FTC vorgeschrieben war. Schuld sei laut Zatko, dass das Unternehmen den Überblick über seine eigenen Informationen manchmal verlieren würde und deshalb Aufsichtsbehörden wie die FTC mit Falschinformationen füttern würde, damit solches Fehlverhalten nicht auffalle.

Musk hört zu

Auch für den aktuell laufenden Rechtsstreit des Unternehmens mit Tesla-Gründer Elon Musk könnten die Aussagen von Zatko relevant sein. Ein Grund dafür, dass Musk die Übernahme des Unternehmens abbrechen will, waren unter anderem die ungenauen Angaben zur Anzahl der Bots auf der Plattform. Zatko meint, man habe bei Twitter gar nicht die Ressourcen, um festzustellen, wie viele Bots es gibt. In Wirklichkeit würde man es auch gar nicht feststellen wollen.

Dem ehemaligen Hacker widerspricht Twitter in Form der Sprecherin Madeline Broas. Diese erwähnt gegenüber "Techcrunch", dass Zatko im Jänner 2022 wegen "mangelnder Führungsstärke und schlechter Leistung" aus dem Unternehmen ausscheiden musste. Die Erzählungen des ehemaligen Mitarbeiters würden die Datenschutzpraktiken im Unternehmen falsch darstellen und würden nötigen "Kontext" vermissen lassen. "Die Anschuldigungen und das opportunistische Timing von Herrn Zatko scheinen darauf abzuzielen, Aufmerksamkeit zu erregen." Er wolle dem Unternehmen offenbar schaden. Sicherheit und Datenschutz hätten bei Twitter entgegen Zatkos Aussagen "seit langem unternehmensweit Priorität". Das würde auch künftig der Fall sein. (red, 23.8.2022)