"Twitter hat große Sicherheitsprobleme, die eine Bedrohung für die persönlichen Daten seiner Nutzer, für die Aktionäre des Unternehmens, für die nationale Sicherheit und für die Demokratie darstellen", zu diesem Schluss kommt CNN nach Durchsicht eines 200-seitigen Berichts von Peiter Zatko, dem ehemaligen Sicherheitschef von Twitter.
Mit den Papieren, die CNN und der Washington Post exklusiv vorliegen, hatte sich Zatko im Juli als Whistleblower unter anderem an die US-Börsenaufsicht SEC sowie den US-Kongress gewandt. Nach Durchsicht der Unterlagen kommt CNN zu einem vernichtenden Urteil: "Die Enthüllungen, die letzten Monat an den Kongress und die Bundesbehörden geschickt wurden, zeichnen das Bild eines chaotischen und rücksichtslosen Umfelds in einem schlecht geführten Unternehmen, das zu vielen seiner Mitarbeiter ohne angemessene Aufsicht Zugang zu sensibelsten Informationen gewährt".
Die Vorwürfe des Whistleblowers
In dem Bericht wirft Zatko seinem Ex-Arbeitgeber gravierende Mängel beim Datenschutz vor. So sei etwa die Hälfte der Server veraltet und anfällig für Angriffe. Zudem hätten zu viele Mitarbeiter Zugang zu zentralen Systemen des Dienstes und Nutzerdaten wie Telefonnummern etc., ohne dass dies erforderlich sei. Ferner seien geschlossene Konten von Ex-Twitter-Usern nicht zuverlässig gelöscht worden.
Darüber hinaus hätten seine ehemaligen Kollegen unter anderem die Aufsichtsbehörden falsch über die Sicherheitslage informiert und über Sicherheitslücken des Unternehmens getäuscht. Darunter befänden sich einige, die angeblich ausländischen Spionage- oder Manipulationsversuchen, Hackerangriffen und Desinformationskampagnen Tür und Tor öffnen könnten. Und es kommt noch schlimmer: Einer oder mehrere derzeitige Mitarbeiter würden möglicherweise für einen ausländischen Geheimdienst arbeiten.
Ferner behauptet der Whistleblower auch, dass die Twitter-Führungskräfte nicht über die Ressourcen verfügen, um die tatsächliche Anzahl der Bots auf der Plattform vollständig zu verstehen. Zudem würden sie nur ungenügend gegen Fake Accounts vorgehen. Kritikpunkte, die wohl auch eine Rolle dabei spielten, dass Elon Musk sein 44-Milliarden-Dollar schweres Übernahmeangebot für Twitter wieder zurückzog. Das Gerichtsverfahren hierzu soll im Oktober beginnen. Laut Alex Spiro, ein Anwalt von Musk, soll Zatko hierzu bereits eine Vorladung erhalten haben.
So reagiert Twitter
Entsprechend dünnhäutig reagiert Twitter vor diesem Hintergrund auf die Vorwürfe und wirft seinem Ex-Sicherheitschef ein opportunistisches Timing vor, "das darauf ausgelegt zu sein scheint, Aufmerksamkeit zu erregen und Twitter, seinen Kunden und seinen Aktionären Schaden zuzufügen. Sicherheit und Datenschutz sind seit langem unternehmensweite Prioritäten bei Twitter und werden es auch weiterhin sein."
Des Weiteren ergänzt ein Twitter-Sprecher: "Herr Zatko wurde im Januar 2022 wegen ineffektiver Führung und schlechter Leistung aus seiner leitenden Funktion bei Twitter entlassen. Was wir bisher gesehen haben, ist ein falsches Narrativ über Twitter und unsere Datenschutz- und Datensicherheitspraktiken, das mit Ungereimtheiten und Ungenauigkeiten gespickt ist."
John Tye, Gründer von Whistleblower Aid - die Gruppe half auch der Facebook-Whistleblowerin Frances Haugen - und Zatkos Anwalt, widerspricht den Vorwürfen von Twitter. Nach seinen Angaben hatte Zatko keinen Kontakt zu Musk und er habe das Whistleblower-Verfahren eingeleitet, bevor es irgendwelche Hinweise auf Musks Beteiligung an Twitter gab.
Zudem wirken Twitters Versuche, den Whistleblower öffentlich zu diskreditieren, eher stümperhaft, wenn man bedenkt, dass der gefeuerte Sicherheitschef in der Security-Szene einen sehr guten Ruf genießt. Er war 2020 vom damaligen Twitter-CEO Jack Dorsey nach einem massiven Sicherheitsvorfall, bei dem Accounts Prominenter wie Barack Obama, Elon Musk, Jeff Bezos, Bill Gates etc. gehackt wurden, eingestellt worden. Davor arbeitete er unter anderem für Google und das Pentagon. Zudem wurde Zatko vor rund 20 Jahren unter dem Spitznamen "Mudge" als ethischer Hacker bekannt, der nicht schaden, sondern über Sicherheitslücken aufklären wollte.
The complaint from former head of security Peiter Zatko, a widely admired hacker known as “Mudge,” depicts Twitter as a chaotic and rudderless company beset by infighting, to the detriment of the security of its 238 million daily users. https://t.co/Tg86F3cOQO pic.twitter.com/1FAMxrSPix
— The Washington Post (@washingtonpost) August 23, 2022
Das sagen Branchenexperten
Daniel Thanos, Vice President R&D bei Arctic Wolf, einem Anbieter von Security Operations, ordnet den Vorfall und die Reaktion des Twitter-Konzerns wie folgt ein: "Peiter Zatko ist eine sehr respektierte Führungspersönlichkeit in der Cybersicherheits-Community. Seine Aussagen sollten nicht auf die leichte Schulter genommen werden. Die geschilderte Situation zeigt ein ähnliches Muster, wie wir es bereits bei anderen Social-Media-Unternehmen gesehen haben, die mit den Themen Sicherheit, Datenschutz und Informationskrieg zu kämpfen haben.
Die Einmischung und die Täuschung, die hier von der Geschäftsleitung in den Raum gestellt werden, geben Anlass zur Sorge. Dass die Plattform von Bots, Angreifergruppen und anderen für Zwecke der Informations- und hybriden Kriegsführung genutzt wird, gilt als erwiesen. Jeder, der auch nur im Entferntesten über diese Themen informiert ist, kann erkennen, dass es ein ernsthaftes Bot- und Missbrauchsproblem gibt - und man kann annehmen, dass es nicht angemessen angegangen wird beziehungsweise, dass dessen Umfang nicht vollständig verstanden wird."