Analyse

Einfallstor Mitarbeiter: Der Twitter-Hack belegt ein altes Problem sozialer Netzwerke

Die Twitter-Zentrale in San Francisco. (Foto: Shutterstock)

Gerade keine Zeit? Jetzt speichern und später lesen

Egal, ob US-Präsidentschaftskandidat oder CEO eines börsennotierten Unternehmens: Vor der Übernahme des Twitter-Kontos war offenbar niemand sicher. Das wirft nicht nur ernsthafte Sicherheitsfragen auf, sondern verdeutlicht erneut ein Problem sozialer Netzwerke, das bereits seit Myspace besteht.

In einer beispiellosen Aktion gelang es Unbekannten die Twitter-Konten von US-Präsidentschaftskandidaten Joe Biden, Amazon-CEO Jeff Bezos, Tesla-Chef Elon Musk und weiteren Prominenten und Firmen in ihre Gewalt zu bringen. Anschließend nutzten die Angreifer diese Konten für eine Bitcoin-Betrugsmasche. Aus einem Statement von Twitter geht hervor, dass die Unbekannten offenbar in einer konzentrierten Aktion Mitarbeiter des sozialen Netzwerks dazu gebracht haben, ihnen die Kontrolle über die betroffenen Konten zu geben. Laut Recherchen der US-Publikation Motherboard könnte mindestens ein Twitter-Mitarbeiter für seine Mithilfe bezahlt worden sein.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Beispielloser Twitter-Hack: Accounts von Elon Musk bis Kanye West posten Krypto-Spam

Der Vorfall wirft einige ernste Fragen zur Twitter-Sicherheit auf: Wieso konnten einzelne Angestellte überhaupt die Kontrolle über Konten von Firmenchefs, Politikern und Prominenten an andere abgeben? Sollte der Motherboard-Bericht stimmen, und es sind tatsächlich Bestechungsgelder geflossen, dann deutet das zudem daraufhin, dass die Mitarbeiter nicht sonderlich weit oben in der Twitter-Hierarchie standen. Denn es scheint unwahrscheinlich, dass jemand einen gut bezahlten Job für eine solche Aktion riskiert. Zumal die Betrüger offenbar kaum mehr als 100.000 US-Dollar in Bitcoins erbeutet haben.

Am Ende hätten die unbekannten Angreifer noch deutlich Schlimmeres anstellen können, als ein paar Menschen um ihr Geld zu bringen. Immerhin ist Twitter nicht nur ein Netzwerk für streitlustige Hobby-Trolle. Die Plattform wird von Staatschefs aus aller Welt, Regierungsorganisationen, den Firmenchefs einiger der größten Unternehmen der Welt, Aktivisten und Journalisten verwendet. Es ist nicht schwer, sich auszumalen, wie viel Chaos durch eine solch massive Kontenübernahme angerichtet werden könnte. Dabei ist das grundlegende Problem alles andere als neu.

Rechtemissbrauch durch Mitarbeiter sozialer Netzwerke: Seit Myspace hat sich nicht viel verändert

Das Problem, dass Mitarbeiter sozialer Netzwerke ihre Zugriffsrechte missbrauchen, ist im Grunde so alt wie das Phänomen selbst: Schon zu den Hochzeiten von Myspace sollen Mitarbeiter des Netzwerks interne Werkzeuge missbraucht haben, um Freunde und Bekannte auszuspionieren. Ähnliche Berichte gab es in der Vergangenheit auch von Facebook und Snapchat.

Auch Twitter bildet hier keine Ausnahme. Ende 2019 wurden zwei ehemalige Mitarbeiter des Netzwerks verhaftet, weil sie 6.000 Twitter-Konten auf Geheiß von Saudi Arabien ausspioniert haben sollen. Dass Twitter-Mitarbeiter offenbar über recht weitreichende Administrationsrechte verfügen, zeigte sich auch 2017. Damals löschte ein Kundendienstmitarbeiter versehentlich das Konto von US-Präsident Donald Trump.

Twitter wird sich die Frage gefallen lassen müssen, warum Mitarbeiter überhaupt über so umfangreiche Rechte verfügen, dass ein solcher Vorfall möglich ist. Zumal das grundlegende Problem eindeutig nicht neu für die Branche ist. Schon nach der Festnahme der zwei mutmaßlichen saudischen Spione hatte Facebooks ehemaliger Sicherheitschef moniert, dass soziale Netze zwar gut in Sachen Cybersicherheit aufgestellt seien, es aber an grundlegenden Sicherheitschecks bei den Mitarbeitern fehle.

Hintergrund: Beispielloser Twitter-Hack: Accounts von Elon Musk bis Kanye West posten Krypto-Spam

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Sa. Si.
Sa. Si.

Warum geht ihr nicht von eurer eigenen Software aus? Passt die Ganz genau auf euch oder wurde die für euch angepasst? Könnt Ihr Artikel, ändern, offline-nehmen, löschen? Kann das der Author und wer noch?

Erlaubt es ein Betriebssystem alle Änderungen alleine auszuführen oder gibt es sowas wie ein 4-Augen Prinzip, also dass erst nach Bestätigung eines zweiten die Änderungen übernommen werden? Wie war das mit Snowden? Das sicherste System wäre eins, dass Änderungen in eine Liste einträgt, und diese erst nach Bestätigung übernommen werden – aber warum mach das niemand? Aufwand gegen Service und Usability – zumal man sich als „Hersteller“ dann selbst enttarnen würde, wenn man was macht was der Kunde eigentlich nicht unbedingt sehen sollte oder es ihn verschrecken könnte?

Auch müsst Ihr in eurer Überlegung berücksichtigen, wie Handlungsfähig ein Unternehmen selbst bleiben möchte und nicht Sklave seiner Software wird, weil Prozesse höher als Logik angesehen werden.

Einsicht und Änderungen der Daten unterliegen eigentlich jedem Kundendienst / Kundenservice, lediglich kann man steuern, wie weit man Begründungen und Aufrufe dazu protokolliert.

Wenn das der Weg ist, sind Dienste wie Anwendungen zu betrachten, und dann hat niemand Zugriff darauf bis auf die Anwendung selbst. Alles abweichende muss per Update eingespielt werden.

Und Mitarbeiter begehen Straftaten meist nicht aus Geldgier, sondern wegen der Unternehmenskultur und emotionalen Gründen wie versagte Beförderung, Unterdrückung oder andere Motive die gegen die Gruppierung „Unternehmen“ stehen.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung