Whistleblowing

Ein Milliardendeal platzt und ein Hinweisgeber deckt auf


Whistleblowing: Ein Milliardendeal platzt und ein Hinweisgeber deckt auf Kolumne

Im Oktober wird das Verfahren von Twitter gegen Elon Musk beginnen. Nach Angaben der CNN habe der frühere Sicherheitschef von Twitter mit dem Namen Peiter Zatko einen Hinweis über massive Sicherheitslücken und Fake-Konten abgegeben. Teil des 44 Milliarden Dollar Deals war eine wahrheitsgemäße Angabe über die Zahl der Nutzer von Twitter. Die Rechtsanwälte von Elon Musk haben in diesem Zusammenhang über eine Verletzung der Übernahmeregeln durch Twitter gesprochen. Die Stellungnahme sei auch bei der Börsenaufsichtsbehörde, der SEC eingereicht worden. Dies vorausgesetzt, die Äußerungen von Peiter Zatko würden der Wahrheit entsprechen.  Twitter habe die Anschuldigungen zurückgewiesen. Der Konzern möchte das Übernahmeabkommen durchsetzen. Auch das DOJ (Department of Justice) und der FTC (Federal Trade commission) ermitteln in diesem Fall.

Wer ist der Hinweisgeber von Twitter?

Peiter Zatko, auch bekannt unter dem Pseudonamen "Mudge", trat bereits vor 20 Jahren bei CNN auf und wies auf die Sicherheitsprobleme des Internets hin. Er sprach damals schon darüber, wie große Konzerne diese Sicherheitslücken systematisch ignorieren würden, weil es günstiger für sie sei. Er ist ein bekannter Hacker seiner Zeit gewesen und war bis vor kurzem der Sicherheitschef von Twitter. Man glaubt ihm als Hinweisgeber umso mehr, weil er sein Handwerk versteht. 

In einem aktuellen CNN Interview spricht er über die Sicherheitslücken von Twitter. In seiner ausführlichen "Offenlegung" vom 6. Juli 2022, die im Detail nur den Ermittlungsbehörden bekannt ist, soll unter anderem davon die Rede sein, dass ungefähr die Hälfte der 10 tausend Mitarbeiter von Twitter Zugang zu sensiblen Informationen wie die Nutzerkonten und Kontrollmechanismen des Social Media Giganten haben. Mudge vergleicht diesen kritischen Zugang von mehreren tausend Mitarbeitern mit dem Zugang von Passagieren zum Cockpit eines Flugzeugs. Zudem soll Twitter keinen Überblick über die zahlreichen Bots haben und Nutzerdaten nicht rechtskonform gelöscht haben. Hier zum CNN Video

Mudge wird von John Tye, dem Gründer von Whistleblower Aid beraten. Derselbe, der auch Francis Haugen, die Hinweisgeberin von Facebook vertreten hat. John Tye war selbst ein Hinweisgeber, der während der Obama Administration unrechtmäßige Aktivitäten des NSA aufdeckte. 

Unter dem Namen "Mudge" führt Peiter Zatko sein Twitter Konto, das er 2011 angelegt hat. Inzwischen hat er 65 tausend Follower.

Aber warum deckte er die Themen jetzt erst auf?

Viele mögen sich fragen, warum Mudge gerade zu der Zeit der anstehenden Transaktion von Twitter mit Musk mit diesen Informationen an die Öffentlichkeit ging. Dazu muss man die Historie verstehen. Twitter hatte enorme Probleme mit Datenlecks und Hackerangriffen. Es haben unter anderen zwei Teenager Hacker sich Zugang zu den Nutzerkonten von Twitter verschafft, unter anderem prominente Nutzer wie Joe Biden mit mehreren Millionen Followern. Man stelle sich das nur vor. Wenn sich zwei Teenager Zugang zu den Konten verschaffen konnten, was könnten zum Beispiel die Hacker von Putin anstellen.

2020 stellte der Twitter Konzern Mudge als einen der fünf Top Führungskräfte im Konzern ein. Die Datenpannen sollten ein Ende nehmen. Zwei Jahre später wird er aufgrund von angeblich mangelhafter Leistung entlassen. Sein Anwalt John Tye behauptet, dass Mudge den Hinweis abgegeben hätte bevor der Deal zwischen Twitter und Musk bekannt geworden wäre.

Alex Spiro, der Rechtsanwalt von Musk behauptet, dass er das Ausscheiden von Mudge und anderer wichtiger Mitarbeiter bei Twitter in Anbetracht dessen, was er und sein Team herausgefunden haben, merkwürdig fand und Herrn Zatko daher als Zeugen geladen hätte.

Mudge selbst behauptet im Januar 2022 gekündigt worden zu sein, nachdem er einen internen Hinweis über die oben genannten Themen abgegeben hatte. Merkwürdigerweise hat sich auch der Twitter Mitgründer und CEO, Jack Dorsey im Januar 2022 vom Konzern getrennt.

Mudge sagte im CNN Interview im August bezüglich seiner Motivation, dass er die Welt zu einem besseren Ort, zu einem sicheren Ort machen möchte.

Ist Mudge ein Held, der für die Sicherheit und die Privatsphäre der Menschen kämpft oder führt er einen persönlichen Krieg gegen den Social Media Giganten? Warum hat ein Hacker, der seit Jahrzehnten gegen die Cyberunsicherheit kämpft, einen hoch-dotierten Posten in einem Konzern wie Twitter angenommen? Als Sicherheitschef hätte er davon ausgehen können, zumindest sicherheitstechnisch bis ins Mark des Konzerns vordringen zu können. Die perfekte Infiltration oder das Werk eines selbstlosen Wohltäters?

Wir bleiben an dem Fall dran. 

Wie wird Mudge als Hinweisgeber rechtlich geschützt?

Als Hinweisgeber wird er durch mehrere Gesetze in den USA geschützt, wie der Sarbanes-Oxley Act, der Dodd-Frank Act, und den New Jersey's Conscientious Employee Protection Act. Ähnlich der EU Whistleblowing Directive wird die hinweisgebende Person nur geschützt, wenn bestimmte Anforderungen erfüllt sind. Nach der Aufdeckung von Rechtsverstößen und den damit zusammenhängenden Vergeltungsmaßnahmen durch den Arbeitsgeber, kann die hinweisgebende Person nach den oben genannten Gesetzen Klage bei einem zuständigen US-Bezirksgericht einreichen. Der Anwalt von Mudge bestätigt in der "Offenlegung" vom 6. Juli 2022 gegenüber den relevanten Behörden, dass die von Herrn Zatko offengelegten Dokumente sorgfältig auf diejenigen beschränkt seien, die relevant und "hinreichend notwendig" sind, um die Rechtsverstöße von Twitter nachzuweisen. Außerdem haben Whistleblower Aid vor der Weitergabe interner Twitter-Informationen an die Strafverfolgungsbehörden umfangreiche Schwärzungen vorgenommen und die Dokumente auf das Legal Privilege Kriterium gesichtet und gefiltert. Auch seien nicht alle Dokumente weitergeleitet worden.

Ähnliches müsste ein Hinweisgeber in Deutschland tun und sich Rat bei einer Organisation wie Whistleblower Aid suchen, um alles richtig zu machen. Jedoch sieht das Hinweisgeberschutzgesetz keinen Schutz für juristische Personen wie Non-profit Organisationen als Unterstützer von Hinweisgebern vor. Diesen Mangel haben nicht nur wir, sondern auch mehrere renommierte Organisationen wie Transparency International an dem neuen Gesetz bemängelt.

Warum haben Fake Accounts auf Social Media Plattformen eine solche Bedeutung?

Social Media hat inzwischen eine enorme Bedeutung in der digitalen Welt. Ob Unternehmen B2B oder B2C an Reichweite gewinnen möchten oder ob Politiker um weitere Wähler werben oder einen Aufstand anzetteln, alles passiert online auf Social Media. Wir haben darüber schon mehrfach in unseren Blogs geschrieben. Die Plattformen sind extrem schnell gewachsen. Die Kontrollstrukturen und Sicherheitsmaßnahmen sind jedoch nicht proportional mitgewachsen. Die Lücken werden häufig genutzt, um zum Beispiel mit Fake Konten Informationen zu streuen und Reichweite für bestimmte Nutzer zu gewinnen. Die Fake Konten werden teilweise nicht manuell erstellt, sondern mit Hilfe von KI-unterstützten Methoden generiert. So werden beispielsweise mit KI erzeugte Fotos und Profildaten verwendet, um das Profil möglichst echt und ansprechend zu gestalten. Für die Plattformen selbst ist die Anzahl der Nutzerkonten relevant. Je weniger über Fake Accounts bekannt ist, desto besser.

Inzwischen ist auch bei anderen Social Media Plattformen wie LinkedIn weitere Sicherheitsmaßnahmen gegen die Fake Konten eingerichtet worden. So werden zum Beispiel sogar bei einer Kontoerstellung nach Ausweiskopien gefragt oder Konten auch bei geringsten Ungereimtheiten gesperrt. Ganz besonders aufmerksam ist der LinkedIn Algorithmus bei der Red Flag Suche bei bestimmten Herkünften und Nationalitäten, so unserer Erfahrung. Was LinkedIn mit den personenbezogenen Daten von mehr als 800 Millionen Mitgliedern macht und ob die Daten wirklich wie behauptet gelöscht werden, ist mehr als fraglich.

 

Autorin:

Sarah Afshari

Founder & Managing Director
DISS-CO GmbH

[ Bildquelle Titelbild: Adobe Stock.com / freshidea ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.