Social-Media-Kanäle sind gerade bei jüngeren Nutzer:innen beliebte Informationsquellen. So auch Tiktok. Hier kann nicht nur gelernt werden, wie ein Pfirsich richtig entkernt wird, sondern auch, wie man sich in eine Website hackt. „Es sieht aus, als hätten wir ein Match für den Adminzugang“, sagt Serena DiPenti in einem Tiktok. DiPenti teilt unter dem Alias shenetworks regelmäßig How-tos zum Thema Hacking mit ihrem Publikum auf der Plattform. DiPenti führt ein Tool namens Hydra vor, das zum Cracken von Passwörtern eingesetzt wird. Die im Video gezeigte Website ist kein echtes Angriffsziel. DiPenti verwendet TryHackMe, einen Dienst, der es ermöglicht, die eigenen Hacking-Fähigkeiten in einer kontrollierten Umgebung auszuprobieren und zu erweitern.
Clips werden trotz Hinweisen entfernt
Das hinderte Tiktok allerdings nicht daran, das Video zu entfernen. Der Grund: Die Harrassment-and-Bullying-Policy der Plattform. Ein weiterer Clip DiPentis musste ebenfalls dran glauben – trotz des expliziten Hinweises, dass es sich dabei um ein Lehrvideo handele. DiPenti handelte sich sogar eine vorübergehende Account-Sperre ein.
Wer sich vor Hacking-Angriffen schützen will, oder vielleicht sogar als professionelle:r Penetrationtester:in arbeiten will, muss verstehen, wie Hacker:innen arbeiten. Ihre Techniken kennen, verstehen, wie sie denken. Content wie der DiPentis ist für Social-Media-Nutzer:innen unterhaltsam, kurzweilig und führt an das Themenfeld heran, ohne zu überfordern.
„Wer sich potenzieller Sicherheitsbedrohungen nicht bewusst ist, hat keine Möglichkeit, sich zu schützen“, sagte DiPenti gegenüber Motherboard. „Sicherheitsexpert:innen stecken Zeit und Arbeit in die Erstellung dieser Tiktoks – wenn sie damit rechnen müssen, dass alles sofort wieder entfernt wird, werden sie irgendwann damit aufhören.“
Zweifelhafte Moderation lasst Creators sich selbst zensieren
Andere Accounts stehen vor demselben Problem. Jonathan Boring, ein weiterer Cybersecurity-Creator, schilderte, wie er seinen Content schützt, indem er sich selbst zensiert: Begriffe wie „hack“, „hacking“, „hacker“ oder Namen dedizierter Hacking-Tools vermeide er in seinen Tiktoks. Videos, die nur im entferntesten etwas mit Cybersecurity oder Hacking zu tun haben, würden fast immer gelöscht. Oft würden sie zwar wiederhergestellt, allerdings nur, wenn deren Urheber:innen gegen die Löschung Einspruch erhöben. Wessen Tiktoks zu häufig als Verstoß gegen die Community-Richtlinien eingestuft würden, laufe außerdem Gefahr, gesperrt zu werden. Bis ein Einspruch bearbeitet werde, könne es über 48 Stunden dauern, so Boring gegenüber Motherboard.
Ein:e Sprecher:in Tiktoks sagte Motherboard, die Policy der Plattform erlaube keine kriminellen Inhalte oder Belästigungen, allerdings gebe es Ausnahmen bei Inhalten mit Lehranspruch. Ein Video DiPentis, das Motherboard Tiktok als Beispiel schickte, wurde offenbar daraufhin wiederhergestellt. Tiktok teilte offenbar mit, dass es irrtümlich entfernt worden sei. Einen Tag später wurde es erneut entfernt.
Andere Plattformen stellen ihre Nutzer:innen regelmäßig vor dasselbe Problem. Erst im Mai hat Youtube auf Basis seiner Community-Richtlinien beispielsweise ein Video gelöscht, das zeigt, wie eine bekannte Sicherheitslücke in der Kontaktverfolgungs-App Luca ausgenutzt werden konnte.