Peiter „Mudge“ Zatko, der Whistleblower von Twitter
Berühmte Whistleblower

Peiter „Mudge“ Zatko, der Whistleblower von Twitter

Als Twitter Peiter „Mudge" Zatko im November 2020 als Sicherheitschef einstellte, war das Unternehmen noch immer von einem Teenage-Hacker-Stunt verletzt: Eine kleine Gruppe von Angreifern hatte die verifizierten Konten von Barack Obama, Joe Biden, Elon Musk und Apple übernommen, um einen Bitcoin-Betrug zu bewerben. Der Vorstand wollte einen ernsthaften Sicherheitsexperten, und auf dem Papier bekamen sie den ernsthaftesten, der verfügbar war. Achtzehn Monate später, im Januar 2022, entließ Twitter ihn.

Sechs Monate später arbeitete er mit den Anwälten der Whistleblower Aid zusammen und reichte eine 84-seitige Beschwerde bei der SEC, der FTC und dem Justizministerium ein. Danach sagte er vor dem Justizausschuss des Senats unter Eid aus. Er beschrieb ein Unternehmen, das nicht wusste, welche Daten es besaß, nicht wusste, wer darauf zugreifen konnte, und ausländische Geheimdienste nicht aus seinen eigenen Engineeringsystemen fernhalten konnte.

„Wenn eine einflussreiche Medienplattform von Teenagern, Dieben und Spionen kompromittiert werden kann, ist das für uns alle ein großes Problem."
Peiter „Mudge" Zatko @ Justizausschuss des Senats, Eröffnungserklärung, 13. September 2022

Von L0pht über DARPA bis Twitter

Mudge war kein Unternehmens-Sicherheitsmanager, der einfach etwas gefunden hatte. Er war ein prominentes Gesicht des amerikanischen Hackens, bevor die meisten Twitter-Ingenieure die Schule beendeten. Als Mitglied des Bostoner Kollektivs L0pht und später der Cult of the Dead Cow saß er bei einer Anhörung des Senates Governmental Affairs im Mai 1998 und teilte den Senatoren mit, dass die sieben Männer neben ihm das gesamte Internet in etwa einer halben Stunde zum Einsturz bringen könnten. Die Aussage wird noch heute in Cybersecurity-Lehrbüchern zitiert, weil sie sich ungefähr bewahrheitet hat.

Peiter Zatko bei DARPA, Februar 2011, vor dem Logo der Agentur

Peiter „Mudge" Zatko bei DARPA, 10. Februar 2011
© Monica King / U.S. Department of Defense (public domain)

Zwischen 2010 und 2013 leitete er Programme bei der DARPA, wo er half, das Information Innovation Office der Agentur aufzubauen und das Programm Cyber Fast Track startete, ein Zuschuss-Programm, das Geld an unabhängige Sicherheitsforscher ohne die übliche Bundeskontraktbürokratie fließen ließ. Anschließend arbeitete er eine Zeit lang in Googles Advanced Technology and Projects-Gruppe, dann bei Stripe, bevor Twitters damaliger CEO Jack Dorsey ihn persönlich nach der Übernahme 2020 anwarb.

Diese Biografie ist wichtig, weil Twitter nicht einen Compliance-Manager einstellte, der schlechte Systeme mit Betrug verwechselte. Sie stellten die Person ein, auf die andere Sicherheitsexperten verweisen, und er fand die Plattform schlimmer vor als erwartet. Er hat dem Senat später berichtet, dass das, was er im Unternehmen sah, ihn davon überzeugte, dass es ein nationales Sicherheitsproblem und nicht nur ein Unternehmens-Problem war.

Die Offenlegung im Juli 2022

Die Beschwerde, die Whistleblower Aid im Juli 2022 einreichte, umfasste ungefähr 200 Seiten mit Anlagen. Sie ging an die SEC, die FTC und das Justizministerium und kam einen Monat später ins öffentliche Rampenlicht, als CNN und die Washington Post sie erhielten. Die Offenlegung zielte auf drei Dinge gleichzeitig ab: die Einhaltung des Unternehmens einer 2011er FTC-Zustimmungsvereinbarung zum Schutz von Nutzerdaten, ihre Aussagen gegenüber Investoren über die Zählung von Nutzern und Bots sowie ihre internen Zugriffskontrolle.

Ein offenes Engineeringbüro, auf dem jeder Arbeitsplatz private Daten eines anderen Nutzers anzeigt

Der Anspruch zur Zugriffskontrolle war derjenige, der Sicherheitsexperten zum Kaffee ausspucken ließ. Zatko teilte den Aufsichtsbehörden mit, dass ungefähr die Hälfte von Twitters Mitarbeitern Ingenieure waren und dass fast jeder von ihnen Code in die Live-Produktion schieben konnte und die Daten eines beliebigen Nutzers auf der Plattform lesen oder ändern konnte. Es gab keine sinnvollen Staging-Umgebungen, keine segregierten Dev-Systeme, und die Produktionsumgebung war der Ort, an dem Ingenieure debuggten. Bei jedem normalen regulierten Unternehmen wäre dies ein meldepflichtiger Zwischenfall; bei Twitter war es der tägliche Build-Prozess.

Die Beschwerde behauptete auch, dass Führungskräfte den Vorstand des Unternehmens wiederholt darüber getäuscht hatten, wie oft Twitters Abwehrmechanismen versagt hatten, und dass interne Zählungen von Bot-Konten nicht das waren, was die SEC-Anmeldungen implizierten. Twitters Antwort zu dieser Zeit war, dass Zatko ein verbitterter ehemaliger Manager war, dessen Darstellung voller Ungenauigkeiten war. Das ist auch eine Verteidigung mit einer langen Geschichte; der Theranos-Vorstand sagte etwas Ähnliches über Tyler Shultz und Erika Cheung, bevor die Anklage kam.

Vereidigt vor dem Senat

Am 13. September 2022 saß Zatko vor dem Justizausschuss des Senats und las unter Eid eine schriftliche Erklärung. Die erste Zeile setzte die Temperatur für den Rest der Anhörung.

„Ich bin heute hier, weil die Führung von Twitter die Öffentlichkeit, die Gesetzgeber, die Aufsichtsbehörden und sogar den eigenen Vorstand irreführt. (...) Es spielt keine Rolle, wer die Schlüssel hat, wenn es keine Schlösser gibt."
Peiter „Mudge" Zatko @ Justizausschuss des Senats, 13. September 2022

Ein leerer Zeugenstand an der Vorderseite eines US-Senatsanhörungsraums, aus der Perspektive der leeren Pressegalerie

Senatoren von beiden Seiten des Ganges behandelten ihn als glaubwürdig, was für diesen Ausschuss in diesem Jahr ungewöhnlich war. Chuck Grassley ging die Vorwürfe der FTC-Zustimmungsvereinbarung Punkt für Punkt durch. Richard Blumenthal drängte auf nationale Sicherheit. Tom Cotton stellte die Frage, ob ausländische Geheimdienste bereits Menschen im Unternehmen platziert hatten.

„Wenn du keine ausländischen Agenten in Twitter platzierst, machst du wahrscheinlich nicht deinen Job als ausländlicher Geheimdienst."
Peiter „Mudge" Zatko @ Justizausschuss des Senats, 13. September 2022

Er benannte mindestens einen spezifischen Fall: Das FBI hatte Twitters Sicherheitsteam gewarnt, dass ein Mitarbeiter als Agent für eine ausländische Regierung tätig war. Er schlug Alarm intern, und er wurde entlassen. Als die Anhörung endete, forderten mehrere Senatoren einen neuen Datenschutz- und Sicherheitsregulierer auf, der im Justizministerium sitzt. Im Vergleich zum breiteren Kanon der Whistleblower in der Presse landete diese Anhörung härter als die meisten, weil die Anschuldigung nicht abstrakter Schaden war: Es war, dass ein ausländischer Geheimdienst-Offizier möglicherweise einen Twitter-Engineering-Login haben könnte.

Gefangen in der Musk-Übernahme

Die Offenlegung wurde am 23. August 2022 öffentlich, in der Mitte von Elon Musks Klage, um sich von seinem 44-Milliarden-Dollar-Angebot zum Kauf des Unternehmens zurückzuziehen. Musks Rechtsberater griffen die Beschwerde innerhalb weniger Tage auf. Sie argumentierten im Delaware Court of Chancery, dass Zatkos Behauptungen ein „wesentliches Nachteilsereignis" waren, das den Deal für ungültig erklärte, luden ihn zur Deposition vor und fragten ihn am 9. September 2022 zu Bot-Zählungen und Sicherheitspraktiken.

Der Chancery-Richter entschied, dass die neuen Vorwürfe zum Fall hinzugefügt werden könnten, aber dass sie wahrscheinlich nicht das bewirken würden, was Musks Anwälte wollten. Am 27. Oktober 2022 schloss Musk die Übernahme zum vereinbarten Preis ab, entließ die Manager, die Zatko benannt hatte, und benannte das Unternehmen innerhalb weniger Monate in X um. Was nicht bis später öffentlich wurde, war, dass Twitter Zatko bereits im Juni 2022, Wochen bevor er seine Beschwerde einreichte, eine vertrauliche Trennungsregelung von ungefähr 7 Millionen Dollar gezahlt hatte, unter Bedingungen, die ihm die Freiheit gaben, vor dem Kongress und vor Bundesaufsichtsbehörden zu sprechen. Das Wall Street Journal setzte diese Details im September von den begrenzten Offenlegungen zusammen, die die Parteien bereit waren zu machen.

Die FTC-Folgemaßnahmen

Die FTC hatte Twitter unter der 2022 geänderten Zustimmungsvereinbarung beobachtet, die aus einer 150-Millionen-Dollar-Datenschutzregelung im selben Jahr kam. Im März 2023 bestätigte die Agentur, dass sie eine Untersuchung eingeleitet hatte, ob das Post-Musk-Unternehmen diese Vereinbarung einhielt. Die Untersuchung dauerte fast zwei Jahre.

Im Februar 2024 schickte FTC-Vorsitzende Lina Khan dem Justizausschuss des Repräsentantenhauses einen 50-seitigen Brief, der zur konkretesten öffentlichen Lesung darüber wurde, was wirklich passiert war. Der Hauptfund war, dass Musk dem Personal befohlen hatte, einem externen Autor, der an der Serie „Twitter Files" arbeitete, uneingeschränkten Zugang zu geben, indem er ihnen sagte, dass sie der Person „vollständigen Zugriff auf alles bei Twitter, absolut keine Grenzen" gewähren sollten. Langjährige Mitarbeiter der Informationssicherheit blockierten den Befehl aus Zustimmungsvereinbarungs-Gründen und leiteten die Autoren stattdessen durch engere Kontrollen. Die FTC kam zu dem Ergebnis, dass keine endgültige Verletzung aufgetreten war, aber es war knapp, und es dokumentierte die Art der internen Gegenwehr, die Zatko sagte, dass sie fehlte.

Wo Mudge endete

Whistleblower im Sicherheits- und Datenschutz-Bereich können selten weiterhin in ihrem Bereich arbeiten; die besseren Ergebnisse für sie sehen wie Edward Snowdens Exil aus, oder eine lange Zeit des Berater-Engagements unter einem anderen Namen. Zatko hatte ein anderes Nachspiel. Im September 2023 trat er der Cybersecurity and Infrastructure Security Agency als Teilzeit-Seniorberater bei der damaligen Direktorin Jen Easterly bei, arbeitet an dem Secure-by-Design-Programm der Agentur, das Softwareunternehmen antreibt, Produkte zu versenden, die nicht beim Ankommen vorgebrochen sind.

Am 7. August 2024 kündigte er seine Rückkehr zur DARPA als Chief Information Officer der Agentur an, derselbe Ort, an dem er ein Jahrzehnt früher das Information Innovation Office aufgebaut hatte. Er postete, dass er hoffte, dieses zweite Mal herum „einen noch größeren Dent im Universum zu machen". Die Flugbahn ist schwer, ein Parallelen zu finden: Senatszeuge 1998, der Gesetzgeber vor everyones schlechtem Code warnt, Senatszeuge 2022, der Gesetzgeber vor seinem eigenen Arbeitgeber schlechtem Code warnt, Bundesinformationschef zwei Jahre später.

Der Grund, warum dieser Fall immer noch für jeden wichtig ist, der ein Whistleblower-Programm betreibt, ist, dass die Fehlermodi, die Zatko beschrieb, die kanonischen Fehlermodi sind. Eine Plattform jeder Größe sammelt sensible Daten schneller, als ihre Zugriffskontrolle Schritt halten kann. Ingenieure erwerben Produktionsrechte, die niemand im Management vollständig aufzählen kann. Vorstände und Aufsichtsbehörden verlassen sich auf die Sicherheitsversicherungen des Unternehmens selbst, die von denselben Menschen geschrieben werden, deren Budget von der beruhigenden Antwort abhängt. Der Zweck eines internen Kanals ist, die Warnung ein Jahr zu produzieren, bevor jemand mit seinem Anwalt nach Washington fliegen muss.

Aktualisiert am
Kamila Caban

Wissenschaftlicher Mitarbeiter, verantwortlich für Datenanalysen im Bereich Whistleblowing. Ausbildeter Umweltingenieur. Enthusiast biografischer Romane.

Fandest du den Artikel interessant? Teile es mit anderen
Das könnte Sie auch interessieren
Tyler Shultz und Erika Cheung: Whistleblower von Theranos
Tyler Shultz und Erika Cheung: Whistleblower von Theranos

Tyler Shultz und Erika Cheung waren Whistleblower, die die illegalen, oft lebensbedrohlichen Praktiken von Elizabeth Holmes aufgedeckt haben. Das Wall ...
Die 20 besten Filme über Whistleblower
Die 20 besten Filme über Whistleblower

Das Thema Whistleblower ist in Filmen beliebt. In den letzten Jahrzehnten wurden viele von ihnen in Hollywood und Europa produziert. Jeder Film erzählt ...
Whistleblowerin Jen McAdam gegen die OneCoin Cryptoqueen Ruja Ignatova
Whistleblowerin Jen McAdam gegen die OneCoin Cryptoqueen Ruja Ignatova

In der komplizierten Welt der Kryptowährung, in der Versprechen von schnellem Wohlstand und bahnbrechenden Technologien oft mit betrügerischen ...

Mehr Artikel