Eine brisante Whistleblower-Enthüllung des ehemaligen Sicherheitschefs von Twitter in dieser Woche setzt das Unternehmen laut Rechtsexperten und ehemaligen Bundesbeamten neuen bundesstaatlichen Ermittlungen und möglicherweise Bußgeldern in Milliardenhöhe, strengeren regulatorischen Auflagen oder anderen Strafen der US-Regierung aus.
Twitter sieht sich enormen rechtlichen Risiken ausgesetzt, die sich aus der Offenlegung des Whistleblowers durch Peiter „Mudge“ Zatko ergeben, der in einem behauptet fast 200-seitige Offenlegung gegenüber den Behörden, dass das Unternehmen voller Informationssicherheitsmängel sei – und dass seine Führungskräfte in einigen Fällen den eigenen Vorstand und die Öffentlichkeit über die Lage des Unternehmens getäuscht oder gar regelrechten Betrug begangen hätten.
Twitter hat Zatko, der von November 2020 bis zu seiner Entlassung im Januar dieses Jahres wegen schlechter Leistung arbeitete, beschuldigt, „ein falsches Narrativ über Twitter und unsere Datenschutz- und Datensicherheitspraktiken verbreitet zu haben, das voller Widersprüche und Ungenauigkeiten ist fehlt wichtiger Kontext.“ Zatko ist ein hoch angesehener Experte für Cybersicherheit mit Erfahrung in leitenden Positionen bei Google, Stripe und dem Verteidigungsministerium. Seine Enthüllung als Whistleblower wurde am Dienstag erstmals von CNN und der Washington Post gemeldet.
Einhaltung einer FTC-Datenschutzvereinbarung aus dem Jahr 2011
In seiner Offenlegung gegenüber der US-Regierung behauptet Zatko, Twitter leide unter „ungeheuerlichen Mängeln“ in seiner Cybersicherheitslage, habe die Aufsichtsbehörden absichtlich über den Umgang mit Benutzerdaten in die Irre geführt und dass das Unternehmen seinen Verpflichtungen gemäß a nicht nachkomme Datenschutzvereinbarung 2011 mit der Federal Trade Commission – eine rechtsverbindliche Anordnung, die unter anderem die Schaffung „angemessener Schutzmaßnahmen“ zum Schutz der persönlichen Daten der Benutzer erfordert. Die FTC lehnte es ab, sich zu der Offenlegung zu äußern.
Zatkos vernichtende Offenlegung behauptet, dass ungefähr die Hälfte der Twitter-Mitarbeiter, einschließlich aller seiner Ingenieure, übermäßigen internen Zugriff auf das Live-Produkt des Unternehmens haben, das im Unternehmen als „Produktion“ bezeichnet wird, zusammen mit tatsächlichen Benutzerdaten. Es wird auch behauptet, dass das Unternehmen nicht in der Lage sei, sich gegen Insider-Bedrohungen, ausländische Regierungen und versehentliche Datenlecks zu verteidigen.
„Ein grundlegendes Technik- und Sicherheitsprinzip besteht darin, den Zugriff auf Live-Produktionsumgebungen so weit wie möglich einzuschränken“, heißt es in der Offenlegung. „Aber bei Twitter haben Ingenieure neue Software direkt in der Produktion gebaut, getestet und entwickelt und dabei auf Live-Kundendaten und andere sensible Informationen im Twitter-System zugegriffen.“
Twitter-Whistleblower behauptet rücksichtslose und fahrlässige Cybersicherheitsrichtlinien
Twitter hat CNN mitgeteilt, dass seine FTC-Compliance-Aufzeichnung für sich selbst spricht, und zitiert die Audits Dritter, die der Agentur im Rahmen der Zustimmungsverfügung von 2011 vorgelegt wurden. Twitter fügte hinzu, dass es die einschlägigen Datenschutzbestimmungen einhalte und gegenüber den Aufsichtsbehörden transparent über seine Bemühungen gewesen sei, etwaige Mängel in seinen Systemen zu beheben. Zatko habe nicht an der Prüfungsarbeit teilgenommen und die FTC-Verpflichtungen von Twitter oder die Art und Weise, wie das Unternehmen sie erfüllt, nicht vollständig verstanden, sagte Twitter.
In der Offenlegung wird behauptet, dass die Mitarbeiter von Zatko mit den Problemen von Twitter vor der FTC „genau vertraut“ gewesen seien und dass sie es gewesen seien, die Zatko mitgeteilt hätten, dass Twitter die Anordnung von 2011 nie eingehalten habe und auch nicht auf dem Weg sei, diese einzuhalten.
„Wir stehen voll und ganz hinter dem Inhalt von Mudges Offenlegung“, sagte John Tye, Zatkos Anwalt und Gründer von Whistleblower Aid, der Organisation, die ihn vertritt, gegenüber CNN.
Aufgrund seiner Whistleblower-Aktivitäten hat Zatko möglicherweise Anspruch auf eine Geldprämie der US-Regierung. „Originale, zeitnahe und glaubwürdige Informationen, die zu einer erfolgreichen Durchsetzungsmaßnahme führen“ durch die SEC können Whistleblowern bis zu 30 % der mit der Maßnahme verbundenen Bußgelder einbringen, wenn sich die Strafen auf mehr als 1 Million US-Dollar belaufen, sagte die SEC. Die SEC hat seit 1 mehr als 270 Milliarde US-Dollar an mehr als 2012 Whistleblower vergeben.
Zatko reichte seine Offenlegung bei der SEC ein, „um der Behörde bei der Durchsetzung der Gesetze zu helfen“ und um den Whistleblower-Schutz des Bundes zu erlangen, sagte Tye. „Die Aussicht auf eine Belohnung spielte bei Mudges Entscheidung keine Rolle, und tatsächlich wusste er nicht einmal von dem Belohnungsprogramm, als er beschloss, ein rechtmäßiger Whistleblower zu werden.“
Die Offenlegung durch den Whistleblower erfolgt Monate nach der FTC erhob eigene Vorwürfe dass Twitter unter Verstoß gegen die Anordnung von 2011 Kontosicherheitsinformationen für Werbezwecke missbraucht hat. Twitter vereinbart, 150 Millionen Dollar zu zahlen im Mai, um diese Ansprüche in einem zweiten FTC-Vergleich zu klären.
Nun lässt die Offenlegung von Zatko die Aussicht auf einen weiteren möglichen Verstoß gegen die FTC-Verpflichtungen von Twitter aufkommen – eine außerordentlich gefährliche Situation für ein Unternehmen und seine Führungskräfte, so Jon Leibowitz, der zum Zeitpunkt des Vergleichs mit Twitter im Jahr 2011 Vorsitzender der FTC war.
„Wenn die Fakten wahr sind, würden sie Verstöße gegen die Anordnung und das FTC-Gesetz darstellen – und das würde Twitter zum dreimaligen Verlierer machen“, sagte Leibowitz in einem Interview mit CNN. „Es gäbe keinen Grund für die FTC, das Buch nicht nach ihnen zu werfen.“ Natürlich, fügte Leibowitz hinzu, müsse die FTC zunächst eine gründliche Untersuchung durchführen, um selbst festzustellen, ob ein neuer Verstoß vorliegt.
Senator Richard Blumenthal, Vorsitzender des Unterausschusses für Verbraucherschutz des Senats und ehemaliger Generalstaatsanwalt von Connecticut, sagte am Dienstag in einer Erklärung, dass Zatkos Enthüllungen „zeigen, dass die Verantwortung für die Sicherheitsmängel von Twitter bei denen an der Spitze liegt.“
Er forderte die FTC in einem Brief weiter auf, die Vorwürfe zu untersuchen, und sagte, die Beamten sollten Twitter-Führungskräfte mit Geldbußen belegen und persönlich zur Rechenschaft ziehen, wenn sich herausstellte, dass sie für Verstöße gegen das FTC-Gesetz oder die Einwilligungsverfügung von Twitter verantwortlich waren. Die eigene Glaubwürdigkeit der FTC stehe auf dem Spiel, sagte Blumenthal in dem Schreiben, das am Dienstag auch an die FTC versandt wurde.
„Wenn die Kommission ihre Anordnungen nicht energisch überwacht und durchsetzt, werden sie nicht ernst genommen und diese gefährlichen Verstöße werden weitergehen“, schrieb Blumenthal.
„Es wurde tatsächlich deutlich schlimmer“
Gemäß ihrer Satzung ist die FTC befugt, „unlautere oder irreführende Geschäftshandlungen und -praktiken“ zu verfolgen. Im Zeitalter des Internets bedeutet das zunehmend, sich gegen Unternehmen zu wenden, die behaupten, die digitalen Informationen der Verbraucher zu schützen, in Wirklichkeit aber ihren öffentlichen Ansprüchen nicht gerecht werden oder diesen Schutz falsch darstellen.
Der ursprüngliche Vergleich von Twitter aus dem Jahr 2011 entstand daraus zwei angebliche Vorfälle wo es Hackern gelang, schwache Passwörter von Mitarbeitern zu kompromittieren und deren Zugriff zu missbrauchen, um Twitter-Konten zu übernehmen und private Informationen auszuspionieren, obwohl Twitter sich öffentlich zum Schutz der Privatsphäre und Sicherheit der Benutzer geäußert hatte.
Der Vergleich von Twitter war kein Eingeständnis eines Fehlverhaltens. Aber es falls angefordert Twitter soll „ein umfassendes Informationssicherheitsprogramm erstellen, das angemessen darauf ausgelegt ist, die Sicherheit, Privatsphäre, Vertraulichkeit und Integrität nicht öffentlicher Verbraucherinformationen zu schützen“ – eine Verpflichtung, die Zatko behauptet, wurde nie eingehalten.
Als Teil seiner jüngsten FTC-Vereinbarung in diesem Jahr hat sich Twitter zu noch detaillierteren Cybersicherheitsverpflichtungen verpflichtet, einschließlich „Zugriffsrichtlinien und -kontrollen“ für alle Datenbanken, die Benutzerdaten enthalten, sowie für Systeme, die entweder Mitarbeitern Zugriff auf Twitter-Konten gewähren oder Informationen enthalten die den Zugriff auf interne Twitter-Systeme „ermöglichen oder erleichtern“. Diese Verpflichtungen treten bereits nach der Unterzeichnung des Beschlusses durch einen Richter in diesem Frühjahr in Kraft, was die potenzielle rechtliche Gefährdung von Twitter weiter erhöht.
Trotz der steigenden regulatorischen Anforderungen von Twitter behauptet Zatko, dass sich im Unternehmen seit der ersten Beschwerde der FTC vor mehr als einem Jahrzehnt nicht viel geändert habe.
„Die Dinge sind tatsächlich deutlich schlimmer geworden“, behauptet er in seiner Offenlegung gegenüber dem Kongress. In der Offenlegung wird behauptet, dass Twitter, obwohl Twitter letztes Jahr aktiv über den zweiten Vergleich mit der FTC verhandelte, in einem völlig anderen Vorfall zugelassen habe, dass genau dieselbe Art von Datenmissbrauch zu Werbezwecken erneut auftrat.
Als Antwort auf mehr als 50 spezifische Fragen von CNN im Zusammenhang mit der Offenlegung ging Twitter nicht auf Zatkos Vorwürfe im Zusammenhang mit diesem Vorfall ein. Es räumte ein, dass seine Engineering- und Produktteams auf die Live-Produktionsumgebung von Twitter zugreifen können, sofern sie eine bestimmte geschäftliche Begründung haben, und fügte hinzu, dass Mitglieder anderer Abteilungen – wie Finanzen, Recht, Marketing, Vertrieb, Personalwesen und Support – dies nicht können. Twitter teilte CNN auch mit, dass die Computer der Mitarbeiter automatisch überprüft werden, um festzustellen, ob sie auf dem neuesten Stand sind, und diejenigen, die die Überprüfung nicht bestehen, keine Verbindung zur Produktion herstellen können.
Potenzial für eine neue Einigung oder Klage
Die Offenlegung könnte von enormer Bedeutung sein. Sollte die FTC feststellen, dass Twitter ein drittes Mal gegen die Anordnung verstoßen hat, könnte dies zu den härtesten Strafen führen, die die Behörde jemals gegen das Unternehmen verhängt hat. Vorsitzender der FTC ist derzeit auch Lina Khan, a lautstarker Skeptiker gegenüber Technologieplattformen und von einer Branche der „kommerziellen Überwachung“, wie sie es nennt, die von laxen nationalen Datenschutzbestimmungen profitiert. Unter Khan erwägt die FTC einen Entwurf weitreichende neue Datenschutzbestimmungen Dies könnte sich direkt auf Unternehmen in der gesamten Wirtschaft auswirken, einschließlich Twitter, und auf die Art und Weise, wie diese personenbezogene Daten sammeln, verwenden und weitergeben.
Sollte die FTC zu dem Schluss kommen, dass ein Verstoß vorliegt, hätte sie zwei Möglichkeiten, Twitter zur Rechenschaft zu ziehen, sagen ehemalige Beamte der Behörde. Es könnte eine dritte Einigung mit dem Unternehmen anstreben oder Twitter wegen der bestehenden Einwilligungsanordnungen verklagen und ein Gericht um angemessene Strafen bitten.
Im Falle einer Einigung könnte die FTC sogar versuchen, einzelne Führungskräfte namentlich zu benennen – sie persönlich zur Verantwortung zu ziehen und sie zu zwingen, Verpflichtungen aus ihrem eigenen Verhalten einzugehen, für die sie haftbar gemacht werden könnten, wenn sie oder das Unternehmen erneut gegen die Anordnung verstoßen.
Sollte sich herausstellen, dass Twitter gegen seine gesetzlichen Verpflichtungen verstoßen hat, sollte die FTC laut Leibowitz „sehr ernsthaft in Betracht ziehen … die verantwortlichen Führungskräfte zur Rechenschaft zu ziehen.“
Die bloße Drohung, einzelne Führungskräfte zu benennen, könne wirksam sein, fügte er hinzu. Während seiner Zeit als FTC-Vorsitzender erinnerte sich Leibowitz: „Ich kann Ihnen nicht sagen, wie viele CEOs in mein Büro kamen und sagten: ‚Bitte nennen Sie mich nicht. Ich möchte nur nicht genannt werden. Es macht mir nichts aus, wenn ich mehr Geld bezahle; Ich habe nichts dagegen, wenn mein Unternehmen stärker beordert wird. Aber ich möchte einfach nicht genannt werden.'“
Megan Gray, eine ehemalige Strafverfolgungsanwältin der FTC, die an einigen der größten Datenschutzfälle der Behörde gearbeitet hat, sagte, dass der FTC zahlreiche Instrumente zur Verfügung stünden. (CNN sprach mit Gray, bevor Zatkos Vorwürfe öffentlich wurden, ohne ihre Existenz preiszugeben, und dann noch einmal am Dienstag, nachdem CNN und die Washington Post über Zatkos Enthüllung berichtet hatten.)
„Eskalierende Bußgelder, mehr Compliance-Berichte, detailliertere Kontrollen und Einschränkungen für ihre Geschäftsbereiche“, sagte Gray und hakte eine Liste von Optionen ab. „Oder eine Anforderung, Anzeigen vorab von der Agentur genehmigen zu lassen oder sie von bestimmten Arten von Transaktionen auszuschließen.“
Eine Agentur, die mehr Tools benötigt, um Unternehmen zur Rechenschaft zu ziehen
Twitter hat seine externen Prüfungen als Beweis dafür angeführt, dass es seine FTC-Verpflichtungen eingehalten hat. Aber im Allgemeinen kann die Art und Weise, wie die Prüfungsanforderungen der FTC in der Praxis oft funktionieren, Unternehmen viel zu leicht vom Haken lassen, sagte Gray.
Zum Beispiel sind viele FTC-Verordnungen breit genug geschrieben, um es einem Unternehmen zu ermöglichen, seine Verpflichtungen unter anderem auf der Grundlage von „Bescheinigungen“ zu erfüllen, dass sie konform sind – ein kleines Versprechen, sagte Gray gegenüber CNN. In Berichten an die FTC können Unternehmen, die Prüfungen durch Dritte durchführen, einfach sagen oder Erklärungen des geprüften Unternehmens zitieren, dass das Unternehmen die Vorschriften einhält.
Von 2011 bis 2022 erlaubte die Zustimmungsanordnung von Twitter mit der FTC die Erstellung von Prüfberichten auf der Grundlage von Bescheinigungen. Dann präzisierte die FTC in ihrem zweiten Vergleich in diesem Jahr die Prüfungsanforderungen und verbot den externen Prüfern von Twitter, sich „hauptsächlich“ auf Bescheinigungen des Twitter-Managements zu verlassen.
Trotz dieser Art von Einschränkungen gebe es immer noch Gründe, den Prüfungsberichten der FTC skeptisch gegenüberzustehen, sagte Gray. Das liegt daran, dass externe Prüfer nicht von der FTC, sondern von den geprüften Unternehmen bezahlt werden, sagte sie.
„Für die Wirtschaftsprüfungsgesellschaften sind die Anreize also völlig aus dem Ruder gelaufen“, fügte Gray hinzu.
Twitter teilte CNN mit, dass Audits nur eines der Datenschutz- und Sicherheitsprogramme seien, die Twitter durchführen müsse, um seinen FTC-Verpflichtungen nachzukommen.
Viele aktuelle und ehemalige FTC-Beamte sowie US-Gesetzgeber und Verbraucherschützer haben sich dafür eingesetzt, der FTC mehr Instrumente zur Verfügung zu stellen, um Unternehmen zur Rechenschaft zu ziehen, insbesondere nach dem Obersten Gerichtshof im letzten Jahr Struck die Fähigkeit der Agentur, unter bestimmten Umständen finanzielle Erleichterungen zu beantragen.
Einige Befürworter einer strengeren Aufsicht aufgerufen haben, Beispielsweise kann die FTC Geldbußen gegen Unternehmen verhängen, wenn diese erstmalig gegen das FTC-Gesetz verstoßen. Derzeit kann die FTC im Allgemeinen nur versuchen, zivilrechtliche Sanktionen gegen ein Unternehmen zu verhängen nachdem es gegen eine frühere Vereinbarung verstoßen hat.
Im Fall von Twitter mag das Aushandeln einer Einwilligungsverfügung zum dritten Mal wie ein seltsamer Anblick erscheinen, sagte ein anderer ehemaliger FTC-Beamter, der unter der Bedingung der Anonymität sprach, um offener zu sprechen. Aber für den Fall, dass sie einen Verstoß feststellt, und wie in jedem Fall, muss die FTC abwägen, was sie ihrer Meinung nach durch einen Vergleich von Twitter erhalten kann, und was die Agentur möglicherweise von einem Gerichtsverfahren gewinnen kann.
Es gebe Risiken bei langwierigen Rechtsstreitigkeiten, bei denen ein Gericht der FTC tatsächlich weniger zusprechen könnte, sagte der ehemalige Beamte.
„Manche Leute denken tatsächlich, dass diese Befehle überhaupt nichts sind“, sagte der ehemalige Beamte, „aber das ist nicht der Fall.“ In manchen Fällen ist das vielleicht der Fall, und die Unternehmen nehmen sie nicht ernst. In vielen Fällen ist dies jedoch der Fall, und die FTC kann große Schmerzen verursachen. Viele Schmerzen."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., ein Warner Bros. Discovery-Unternehmen. Alle Rechte vorbehalten.
