Nachdem die Übernahme von Twitter durch Elon Musk immer wahrscheinlicher wird, macht es Sinn, die von dem Milliardär vorgeschlagenen Änderungen an der Social-Media-Plattform aus Perspektive der IT-Sicherheit zu beleuchten. Dabei geht es einerseits um die Offenlegung von Twitters Algorithmen und andererseits um den Kampf gegen Twitter-Bots.
Open-Source-Bedenken
Quellcode mit der Öffentlichkeit zu teilen, ist relativ einfach: Es genügt, den Code in einem öffentlichen Repository wie GitHub zu veröffentlichen. Dabei sollte Twitter jedoch Vorsicht walten lassen. Wie bei jedem Source Code wird es auch im Fall von Twitter Teile geben, die nicht veröffentlicht werden sollten. Twitter basiert auf zahlreichen Algorithmen, die verschiedene Funktionen erfüllen - etwa die Popularität von Tweets zu überwachen, die Posts zu priorisieren oder zu managen. Ein Algorithmus durchsucht auch neue Beiträge nach Hashtags und markiert diese unter bestimmten Voraussetzungen als "trending". Die Algorithmen entscheiden letztlich, welche Beiträge und Standpunkte Aufmerksamkeit erregen. Wenn Musk die Algorithmen von Twitter als Open Source zur Verfügung stellen will, muss man sich die Frage stellen, welchen Wert diese im Vergleich zu den Daten haben, die sie verarbeiten.
Wer sich mit Machine Learning beschäftigt, weiß: Nicht ML ist die Besonderheit, sondern die Daten. Die meisten Machine-Learning-Algorithmen sind eher allgemein gehalten - den Wert generieren die Daten, mit denen sie gefüttert werden. Auch die Algorithmen von Twitter sind letzten Endes vielleicht gar nicht so spannend und eher allgemein gehalten. Vielleicht werden sie in ähnlicher Form bereits von anderen Social-Media-Playern verwendet.
Wenn Twitters Algorithmen offengelegt werden, können allerdings auch diverse Bedrohungsakteure einen Blick unter seine "Motorhaube" werfen. Das könnte ihnen ein tieferes Verständnis über die Architektur der Plattform vermitteln - und damit Anhaltspunkte darüber liefern, wie sich diese am besten angreifen lässt. Wie Log4Shell und Spring4Shell in jüngster Zeit eindrucksvoll bewiesen haben, sind Sicherheitslücken in weit verbreiteten Open-Source-Anwendungen für Cyberkriminelle extrem wertvoll. Die Überführung des Twitter-Quellcodes in Open Source kann die Transparenz für die User erhöhen, möglicherweise aber auch neue Angriffsvektoren für böswillige Nutzer eröffnen.
I’m worried about de facto bias in “the Twitter algorithm” having a major effect on public discourse.
— Elon Musk (@elonmusk) March 24, 2022
How do we know what’s really happening?
Elon Musk könnte auch dafür sorgen, dass die Twitter-API geöffnet wird - und es so Dritten ermöglichen, Software zu programmieren, die mit Twitter interagiert. Diese Möglichkeit wurde unter der Ägide von Ex-CEO Jack Dorsey drastisch eingeschränkt. Auch dieser Move hat das Potenzial, Twitter für böswillige Akteure zu öffnen. Wie gewohnt, werden diese die Plattform ausgiebig darauf testen, ob sensible Daten extrahiert werden können. Ein Szenario a la Facebook/Cambridge Analytica ist dabei nicht ausgeschlossen.
Folgen für die Sicherheit der User
Sollte es Cyberkriminellen tatsächlich gelingen, Twitter zu kompromittieren und Nutzerdaten auszuspähen, drohen noch weit drastischere Folgen für die Sicherheit: Viele Nutzer verwenden auf Twitter Pseudonyme - etwa Menschen, die in Ländern mit totalitären oder autoritären Regimen leben. Journalisten in China, Venezuela, Saudi-Arabien und anderen Ländern, die in Sachen Pressefreiheit eher archaisch agieren, zum Beispiel.
Die drei größten Risiken beim eingangs beschriebenen Szenario sind:
der Diebstahl von Nutzerdaten,
die Offenlegung personenbezogener Daten und
Fake-Profile auf der Plattform.
Letzteres klingt vielleicht nicht besonders schwerwiegend - aber stellen Sie sich vor, wie viele Menschen einen Tweet lesen würden, der so aussieht, als käme er von Elon Musk. Fake-Profile auf Twitter können das Potenzial haben, Gesellschaften und auch politische Wahlen zu beeinflussen.
Der Kampf gegen die Bots
Wie Elon Musk - natürlich per Tweet - in Aussicht stellt, will er künftig dafür sorgen, dass Spam-Bots auf Twitter keine Chance mehr haben:
If our twitter bid succeeds, we will defeat the spam bots or die trying!
— Elon Musk (@elonmusk) April 21, 2022
Das könnte aus Security-Perspektive durchaus hilfreich sein. Es gibt zwei Haupttypen problematischer Twitter-Bots:
Ad-Bots sind Code-Bits, die auf Twitter zugreifen, populäre Hashtags überwachen und diese dann zu ihren eigenen Beiträgen hinzufügen, um sie in den Feeds der Nutzer hervorzuheben. Sie kapern also im Wesentlichen die Popularität von Hashtags.
Influencer-Bots sind potenziell noch "heimtückischer" und tauchen für gewöhnlich nur bei wichtigen Ereignissen (wie Wahlen) auf, um die Ergebnisse zu beeinflussen. Dazu nutzen sie die Algorithmen, die die Popularität von Beiträgen überwachen, indem sie die Anzahl der Retweets zählen, die ein Beitrag erhält, um ihre Reichweite auf ein größeres Publikum auszudehnen.
Eine Möglichkeit, wie Twitter diese Bots ausschalten könnte, besteht darin gleichlautende Tweets zu suchen und die betreffenden Konten dann für 30 Tage zu sperren oder sie komplett zu löschen. Dabei besteht das Risiko, dass legitime Nutzer Beiträge kommentiert haben und sie erneut posten oder selbst gesperrt werden. Das würde mehr Sorgfalt erfordern, wenn es darum geht, Bot-Konten zu erkennen.
Wenn Elon Musk Ernst macht und tatsächlich gute Arbeit leistet, wenn es darum geht, Twitter von Bots zu befreien, würde der (dann quelloffene) Code, der das bewerkstelligt, sehr wahrscheinlich auch von anderen Plattformen genutzt werden, um Bot-Probleme zu beseitigen.
Keine Zukunft für Phishing?
Gelingt es dem Tesla-Gründer, einen solchen Algorithmus zu entwickeln, könnte das die Entwicklung neuer Techniken anstoßen, um Bedrohungen wie Spam und Phishing besser zu kontrollieren.
Bedrohungsakteure benötigen mit Phishing-Angriffen nur eine Erfolgsquote von einem Prozent, um in ein Netzwerk oder ein Konto einzudringen. Deshalb setzen sie auf die massenhafte Verbreitung von E-Mails. Phishing-Angriffe sind im Alltag allgegenwärtig - selbst diejenigen unter uns, die sich täglich mit Cybersicherheit beschäftigen, können von der Qualität moderner Phishing-E-Mails, -Posts und -Textnachrichten überrumpelt werden. Die Technologien zu verbessern, die Phishing-Versuche erkennen, könnte Unternehmen in Zukunft Kosten in Millionenhöhe ersparen.
Die Öffnung der Twitter-Plattform erhöht jedoch ohne Zweifel auch ihr Missbrauchspotenzial. Ob und wie Elon Musk das kontrollieren kann, ist eine interessante Frage, die noch nicht abschließend beantwortet werden kann. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation IDG Connect.