Einfallstor Mitarbeiter: Der Twitter-Hack belegt ein altes Problem sozialer Netzwerke
In einer beispiellosen Aktion gelang es Unbekannten die Twitter-Konten von US-Präsidentschaftskandidaten Joe Biden, Amazon-CEO Jeff Bezos, Tesla-Chef Elon Musk und weiteren Prominenten und Firmen in ihre Gewalt zu bringen. Anschließend nutzten die Angreifer diese Konten für eine Bitcoin-Betrugsmasche. Aus einem Statement von Twitter geht hervor, dass die Unbekannten offenbar in einer konzentrierten Aktion Mitarbeiter des sozialen Netzwerks dazu gebracht haben, ihnen die Kontrolle über die betroffenen Konten zu geben. Laut Recherchen der US-Publikation Motherboard könnte mindestens ein Twitter-Mitarbeiter für seine Mithilfe bezahlt worden sein.
Beispielloser Twitter-Hack: Accounts von Elon Musk bis Kanye West posten Krypto-Spam
Der Vorfall wirft einige ernste Fragen zur Twitter-Sicherheit auf: Wieso konnten einzelne Angestellte überhaupt die Kontrolle über Konten von Firmenchefs, Politikern und Prominenten an andere abgeben? Sollte der Motherboard-Bericht stimmen, und es sind tatsächlich Bestechungsgelder geflossen, dann deutet das zudem daraufhin, dass die Mitarbeiter nicht sonderlich weit oben in der Twitter-Hierarchie standen. Denn es scheint unwahrscheinlich, dass jemand einen gut bezahlten Job für eine solche Aktion riskiert. Zumal die Betrüger offenbar kaum mehr als 100.000 US-Dollar in Bitcoins erbeutet haben.
Am Ende hätten die unbekannten Angreifer noch deutlich Schlimmeres anstellen können, als ein paar Menschen um ihr Geld zu bringen. Immerhin ist Twitter nicht nur ein Netzwerk für streitlustige Hobby-Trolle. Die Plattform wird von Staatschefs aus aller Welt, Regierungsorganisationen, den Firmenchefs einiger der größten Unternehmen der Welt, Aktivisten und Journalisten verwendet. Es ist nicht schwer, sich auszumalen, wie viel Chaos durch eine solch massive Kontenübernahme angerichtet werden könnte. Dabei ist das grundlegende Problem alles andere als neu.
Mit agilem Recruiting die richtigen Talente finden und binden – in unserem Guide erfährst du, wie es geht!
Rechtemissbrauch durch Mitarbeiter sozialer Netzwerke: Seit Myspace hat sich nicht viel verändert
Das Problem, dass Mitarbeiter sozialer Netzwerke ihre Zugriffsrechte missbrauchen, ist im Grunde so alt wie das Phänomen selbst: Schon zu den Hochzeiten von Myspace sollen Mitarbeiter des Netzwerks interne Werkzeuge missbraucht haben, um Freunde und Bekannte auszuspionieren. Ähnliche Berichte gab es in der Vergangenheit auch von Facebook und Snapchat.
Auch Twitter bildet hier keine Ausnahme. Ende 2019 wurden zwei ehemalige Mitarbeiter des Netzwerks verhaftet, weil sie 6.000 Twitter-Konten auf Geheiß von Saudi Arabien ausspioniert haben sollen. Dass Twitter-Mitarbeiter offenbar über recht weitreichende Administrationsrechte verfügen, zeigte sich auch 2017. Damals löschte ein Kundendienstmitarbeiter versehentlich das Konto von US-Präsident Donald Trump.
Twitter wird sich die Frage gefallen lassen müssen, warum Mitarbeiter überhaupt über so umfangreiche Rechte verfügen, dass ein solcher Vorfall möglich ist. Zumal das grundlegende Problem eindeutig nicht neu für die Branche ist. Schon nach der Festnahme der zwei mutmaßlichen saudischen Spione hatte Facebooks ehemaliger Sicherheitschef moniert, dass soziale Netze zwar gut in Sachen Cybersicherheit aufgestellt seien, es aber an grundlegenden Sicherheitschecks bei den Mitarbeitern fehle.
Hintergrund: Beispielloser Twitter-Hack: Accounts von Elon Musk bis Kanye West posten Krypto-Spam
Warum geht ihr nicht von eurer eigenen Software aus? Passt die Ganz genau auf euch oder wurde die für euch angepasst? Könnt Ihr Artikel, ändern, offline-nehmen, löschen? Kann das der Author und wer noch?
Erlaubt es ein Betriebssystem alle Änderungen alleine auszuführen oder gibt es sowas wie ein 4-Augen Prinzip, also dass erst nach Bestätigung eines zweiten die Änderungen übernommen werden? Wie war das mit Snowden? Das sicherste System wäre eins, dass Änderungen in eine Liste einträgt, und diese erst nach Bestätigung übernommen werden – aber warum mach das niemand? Aufwand gegen Service und Usability – zumal man sich als „Hersteller“ dann selbst enttarnen würde, wenn man was macht was der Kunde eigentlich nicht unbedingt sehen sollte oder es ihn verschrecken könnte?
Auch müsst Ihr in eurer Überlegung berücksichtigen, wie Handlungsfähig ein Unternehmen selbst bleiben möchte und nicht Sklave seiner Software wird, weil Prozesse höher als Logik angesehen werden.
Einsicht und Änderungen der Daten unterliegen eigentlich jedem Kundendienst / Kundenservice, lediglich kann man steuern, wie weit man Begründungen und Aufrufe dazu protokolliert.
Wenn das der Weg ist, sind Dienste wie Anwendungen zu betrachten, und dann hat niemand Zugriff darauf bis auf die Anwendung selbst. Alles abweichende muss per Update eingespielt werden.
Und Mitarbeiter begehen Straftaten meist nicht aus Geldgier, sondern wegen der Unternehmenskultur und emotionalen Gründen wie versagte Beförderung, Unterdrückung oder andere Motive die gegen die Gruppierung „Unternehmen“ stehen.