Whistleblower: Twitters ehemaliger Sicherheitschef erhebt schwere Vorwürfe
Peiter "Mudge" Zatko zeichnet in einer Beschwerde bei den Aufsichtsbehörden das Bild eines zerstrittenen Unternehmens mit katastrophaler Sicherheitskultur.
(Bild: In Green/Shutterstock.com)
Twitters ehemaliger Sicherheitschef Peiter Zatko erhebt in einer Beschwerde bei den Aufsichtsbehörden schwere Vorwürfe gegen das Unternehmen. Der unter dem Namen "Mudge" bekannte Hacker kritisiert die Sicherheitskultur bei Twitter und wirft dem sozialen Netzwerk vor, wirtschaftlichen Erfolg und Wachstum des Unternehmens stets vor Sicherheit und Datenschutz der Nutzer zu setzen.
Zatko hat sich als Whistleblower mit seiner Beschwerde im Juli an die US-Börsenaufsicht Securities Exchange Commisssion (SEC), die Handelsbehörde Federal Trade Commission (FTC) und das US-Justizministerium gewandt. Eine teils geschwärzte Fassung der Beschwerde für die Ausschüsse des US-Kongresses liegt der Hauptstadtzeitung Washington Post vor.
Interne Grabenkämpfe
Zatkos Beschwerde zeichnet das Bild eines führungslosen Unternehmens mit chaotischen Strukturen, internen Grabenkämpfen und einer Sicherheitskultur, die weder den Auflagen der Behörden, noch dem Schutzbedürfnis der rund 230 Millionen aktiven Nutzerinnen und Nutzern gerecht wird.
Laut dem Bericht der Washington Post widersprechen Zatkos detaillierte Schilderungen aus dem Maschinenraum des globalen Netzwerks in wesentlichen Teilen dem, was die Unternehmensführung dem eigenen Verwaltungsrat präsentierte – und was Twitter den Aufsichtsbehörden über Fortschritte bei der Sicherung von Nutzerdaten und der Bekämpfung von Spam erklärte.
Damit könnte das Unternehmen auch gegen Auflagen der FTC verstoßen haben. Twitter und Facebook hatten sich 2010 wegen Datenschutzverstößen mit der FTC auf einen Vergleich geeinigt, der 2011 in Kraft trat. Twitter unterlag danach einer verschärften Aufsicht für zehn Jahre.
Twitter hat das bisher nicht pauschal dementiert. Gegenüber der Washington Post sagte eine Sprecherin, die Vorwürfe seien "voller Ungenauigkeiten". Der ehemalige Sicherheitschef sei wegen "dürftiger Leistung und Führungsschwäche" gefeuert worden und trete jetzt nach. "Sicherheit und Datenschutz genießen bei Twitter schon lange unternehmensweit Spitzen-Priorität."
Promi-Accounts gehackt
Der inzwischen zurückgetretene Twitter-CEO und Gründer Jack Dorsey hatte Peiter "Mudge" Zatko Ende 2020 an Bord geholt, um die Sicherheitsstrukturen des Netzwerks zu stärken. Zuvor waren zahlreiche Accounts von Prominenten sowie Unternehmen gehackt und für Bitcoin-Betrugsversuche missbraucht worden. Betroffen waren unter anderem die Accounts von Elon Musk, Bill Gates und Barack Obama sowie Apple und Uber.
In der Folge war bekannt geworden, dass an dem Hack offenbar eine Person beteiligt war, die Zugang zu internen Funktionen gehabt haben will. Dass zu viele Mitarbeiter Zugang zu kritischen Systemen und Daten haben, kritisiert nun auch der ehemalige Sicherheitschef. Der hatte dem Bericht zufolge bei seiner Amtsübernahme ein Unternehmen vorgefunden, das seit der Einigung mit der FTC keine wesentlichen Fortschritte gemacht hatte.
Mit Dorseys Rücktritt waren auch Zatkos Tage im Unternehmen gezählt. Anfang 2022 besetzte der neue CEO Parag Agrawal die Posten des Sicherheitschefs und des Chief Information Officers (CIO) neu. Eine letzte Bestandsaufnahme der Sicherheitslage , die Zatko zuletzt im Februar geändert hat, liegt der Beschwerde bei.
Verwaltungsrat getäuscht?
Darin wirft Zatko dem neuen CEO unter anderem vor, den zur Risikobewertung eingesetzten Ausschuss des Verwaltungsrates über die Sicherheitslage bewusst in die Irre geführt und dort falsche Angaben zugelassen zu haben. Das habe Zatko intern zur Sprache gebracht, was zu einer internen Untersuchung geführt habe, an deren Ende seine Entlassung stand.
Anders als gegenüber dem Verwaltungsrat dargestellt sei die Lage aber deutlich dramatischer. "Twitter handelt in mehreren Bereichen der Informationssicherheit grob fahrlässig", fasst Zatko zusammen und verweist auf vier wesentliche Baustellen, die dem Verwaltungsrat vorenthalten worden seien: veraltete und schlecht konfigurierte Software, fahrlässige Zugriffsregeln für Daten und Produktivsysteme, mangelhafte interne Prozesse und zu viele ernste Sicherheitsvorfälle.
Ende 2021 hätten etwa die Hälfte aller Vollzeitmitarbeiter Zugang zu den Produktivsystemen und Daten gehabt, kritisiert Zatko. Dabei sei die Zahl der Mitarbeiter im Laufe des Jahres von über 5900 auf über 7700 gewachsen. Damit hätten 2021 immer mehr Personen Zugriff auf sicherheitssensible Bereiche erhalten.
Server mit veraltetem Kernel
Das hängt laut Zatko damit zusammen, dass die internen Prozesse mangelhaft sind: Entwickler arbeiten am Live-System mit echten Kundendaten, es gebe keine Test- und Staging-Umgebungen. Der leichte Zugriff auf Daten erhöhe das Risiko, dass ehemalige Mitarbeiter sie abgreifen. Zatko spricht in diesem Zusammenhang von wöchentlich 30 Entlassungen – neudeutsch "Offboardings".
Auf etwa 60 Prozent der rund 500.000 Server in den weltweiten Rechenzentren liefen Betriebssysteme mit veralteten Kerneln, die teilweise nicht mehr supportet werden, schreibt Zatko. Auch die Software auf rund 10.000 Rechnern der Mitarbeiter sei in 40 Prozent der Fälle nicht mehr aktuell und würde nicht mit nötigen Updates versorgt. Dem Verwaltungsrat würde nur erzählt, die Computer seien mit Sicherheitssoftware ausgestattet.
Zu Beginn seiner Amtszeit hatte Zatko zudem ein Beratungsunternehmen beauftragt, Twitters Bemühungen bei der Bekämpfung von Propaganda und Falschinformationen zu bewerten. Das Fazit der Berater: Twitter leide an abgeschotteten internen Strukturen und mangelnden Investitionen in kritische Infrastrukturen. Durch die rein reaktive Firmenkultur sei das Unternehmen in einem dauerhaften Krisenzustand: "Im Ergebnis hängt Twitter mit seinen Maßnahmen gegen Falsch- und Desinformation beständig hinterher."
(vbr)
