Anzeige
Anzeige
Analyse
Artikel merken

Einfallstor Mitarbeiter: Der Twitter-Hack belegt ein altes Problem sozialer Netzwerke

Egal, ob US-Präsidentschaftskandidat oder CEO eines börsennotierten Unternehmens: Vor der Übernahme des Twitter-Kontos war offenbar niemand sicher. Das wirft nicht nur ernsthafte Sicherheitsfragen auf, sondern verdeutlicht erneut ein Problem sozialer Netzwerke, das bereits seit Myspace besteht.

2 Min. Lesezeit
Anzeige
Anzeige
Die Twitter-Zentrale in San Francisco. (Foto: Michael Vi / Shutterstock.com)

In einer beispiellosen Aktion gelang es Unbekannten die Twitter-Konten von US-Präsidentschaftskandidaten Joe Biden, Amazon-CEO Jeff Bezos, Tesla-Chef Elon Musk und weiteren Prominenten und Firmen in ihre Gewalt zu bringen. Anschließend nutzten die Angreifer diese Konten für eine Bitcoin-Betrugsmasche. Aus einem Statement von Twitter geht hervor, dass die Unbekannten offenbar in einer konzentrierten Aktion Mitarbeiter des sozialen Netzwerks dazu gebracht haben, ihnen die Kontrolle über die betroffenen Konten zu geben. Laut Recherchen der US-Publikation Motherboard könnte mindestens ein Twitter-Mitarbeiter für seine Mithilfe bezahlt worden sein.

Beispielloser Twitter-Hack: Accounts von Elon Musk bis Kanye West posten Krypto-Spam

Anzeige
Anzeige

Der Vorfall wirft einige ernste Fragen zur Twitter-Sicherheit auf: Wieso konnten einzelne Angestellte überhaupt die Kontrolle über Konten von Firmenchefs, Politikern und Prominenten an andere abgeben? Sollte der Motherboard-Bericht stimmen, und es sind tatsächlich Bestechungsgelder geflossen, dann deutet das zudem daraufhin, dass die Mitarbeiter nicht sonderlich weit oben in der Twitter-Hierarchie standen. Denn es scheint unwahrscheinlich, dass jemand einen gut bezahlten Job für eine solche Aktion riskiert. Zumal die Betrüger offenbar kaum mehr als 100.000 US-Dollar in Bitcoins erbeutet haben.

Anzeige
Anzeige

Am Ende hätten die unbekannten Angreifer noch deutlich Schlimmeres anstellen können, als ein paar Menschen um ihr Geld zu bringen. Immerhin ist Twitter nicht nur ein Netzwerk für streitlustige Hobby-Trolle. Die Plattform wird von Staatschefs aus aller Welt, Regierungsorganisationen, den Firmenchefs einiger der größten Unternehmen der Welt, Aktivisten und Journalisten verwendet. Es ist nicht schwer, sich auszumalen, wie viel Chaos durch eine solch massive Kontenübernahme angerichtet werden könnte. Dabei ist das grundlegende Problem alles andere als neu.

Anzeige
Anzeige

Mit agilem Recruiting die richtigen Talente finden und binden – in unserem Guide erfährst du, wie es geht!

Rechtemissbrauch durch Mitarbeiter sozialer Netzwerke: Seit Myspace hat sich nicht viel verändert

Das Problem, dass Mitarbeiter sozialer Netzwerke ihre Zugriffsrechte missbrauchen, ist im Grunde so alt wie das Phänomen selbst: Schon zu den Hochzeiten von Myspace sollen Mitarbeiter des Netzwerks interne Werkzeuge missbraucht haben, um Freunde und Bekannte auszuspionieren. Ähnliche Berichte gab es in der Vergangenheit auch von Facebook und Snapchat.

Anzeige
Anzeige

Auch Twitter bildet hier keine Ausnahme. Ende 2019 wurden zwei ehemalige Mitarbeiter des Netzwerks verhaftet, weil sie 6.000 Twitter-Konten auf Geheiß von Saudi Arabien ausspioniert haben sollen. Dass Twitter-Mitarbeiter offenbar über recht weitreichende Administrationsrechte verfügen, zeigte sich auch 2017. Damals löschte ein Kundendienstmitarbeiter versehentlich das Konto von US-Präsident Donald Trump.

Twitter wird sich die Frage gefallen lassen müssen, warum Mitarbeiter überhaupt über so umfangreiche Rechte verfügen, dass ein solcher Vorfall möglich ist. Zumal das grundlegende Problem eindeutig nicht neu für die Branche ist. Schon nach der Festnahme der zwei mutmaßlichen saudischen Spione hatte Facebooks ehemaliger Sicherheitschef moniert, dass soziale Netze zwar gut in Sachen Cybersicherheit aufgestellt seien, es aber an grundlegenden Sicherheitschecks bei den Mitarbeitern fehle.

Hintergrund: Beispielloser Twitter-Hack: Accounts von Elon Musk bis Kanye West posten Krypto-Spam

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Sa. Si.

Warum geht ihr nicht von eurer eigenen Software aus? Passt die Ganz genau auf euch oder wurde die für euch angepasst? Könnt Ihr Artikel, ändern, offline-nehmen, löschen? Kann das der Author und wer noch?

Erlaubt es ein Betriebssystem alle Änderungen alleine auszuführen oder gibt es sowas wie ein 4-Augen Prinzip, also dass erst nach Bestätigung eines zweiten die Änderungen übernommen werden? Wie war das mit Snowden? Das sicherste System wäre eins, dass Änderungen in eine Liste einträgt, und diese erst nach Bestätigung übernommen werden – aber warum mach das niemand? Aufwand gegen Service und Usability – zumal man sich als „Hersteller“ dann selbst enttarnen würde, wenn man was macht was der Kunde eigentlich nicht unbedingt sehen sollte oder es ihn verschrecken könnte?

Auch müsst Ihr in eurer Überlegung berücksichtigen, wie Handlungsfähig ein Unternehmen selbst bleiben möchte und nicht Sklave seiner Software wird, weil Prozesse höher als Logik angesehen werden.

Einsicht und Änderungen der Daten unterliegen eigentlich jedem Kundendienst / Kundenservice, lediglich kann man steuern, wie weit man Begründungen und Aufrufe dazu protokolliert.

Wenn das der Weg ist, sind Dienste wie Anwendungen zu betrachten, und dann hat niemand Zugriff darauf bis auf die Anwendung selbst. Alles abweichende muss per Update eingespielt werden.

Und Mitarbeiter begehen Straftaten meist nicht aus Geldgier, sondern wegen der Unternehmenskultur und emotionalen Gründen wie versagte Beförderung, Unterdrückung oder andere Motive die gegen die Gruppierung „Unternehmen“ stehen.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige