Es wirkte so, als sollte alles besser werden. Twitter rief seine Nutzer dazu auf, ihre Konten sicherer zu machen, indem sie neben einer E-Mail-Adresse auch eine Telefonnummer als zweiten Faktor zur Anmeldung hinterlegen sollten. Das sollte Hackern den Zugriff erschweren. Was Twitter nicht sagte: Heimlich wurden die Telefonnummern auch für Marketingzwecke verkauft – und weil sie nicht ausreichend gesichert waren, später millionenfach von Hackern erbeutet.

Das Beispiel ist nur eines von vielen Details, die der ehemalige Sicherheitschef Peiter Zatko über die chaotischen Zustände bei seinem früheren Arbeitgeber offengelegt hat. Seine Enthüllungen gingen noch viel weiter: Daten wurden nicht richtig geschützt, einfache Programmierer hatten Zugriff auf sensibelste Daten nahezu aller Nutzer, und Vorgaben von Regulierungsbehörden wurden ignoriert.

Es wäre falsch, diese Darstellung als ein reines Problem von Twitter abzutun. Die von Zatko aufgedeckten Schlampereien ließen sich in ähnlicher Form auch bei anderen sozialen Netzwerken finden – davon sind zumindest etliche Cybersicherheitsexperten überzeugt.

Das bringt uns alle in eine sehr verwundbare Position. Twitter und andere Plattformen wissen nicht nur, welche Daten wir in unsere Profile eintragen oder welche Kurzmitteilungen wir abschicken. Die Informationen gehen sehr viel weiter. Twitter kann die Heimatadresse ermitteln und verfolgen, wo sich ein Nutzer aufhält, wenn er die App nutzt, machte Zatko klar.

Es muss jedem klar sein: Große Technologieunternehmen wissen mehr intimste Details über unser Leben als mächtige Staaten. Systeme, die eigentlich für Werbekunden entwickelt wurden, können von Geheimdiensten eingesetzt werden, um einzelne Nutzer gezielt auszuspionieren. Autoritäre Staaten sollen diese Praxis schon heute nutzen, um gegen Dissidenten vorzugehen.

Keine Sorgen über Strafen

Wir sind durch die regelmäßigen Berichte über Hackerangriffe bereits abgestumpft. Zatkos Enthüllungen zeigen jedoch, dass riesige Plattformen wie Twitter bis heute die Sicherheit ihrer Nutzer gefährden, weil sie sich kaum Sorgen über Strafen machen müssen.

Das muss sich dringend ändern. Interessanterweise nannte Zatko als besonders effiziente Behörde nicht eine Einrichtung in den USA, sondern die Datenschutzwächter aus Frankreich. Sie seien in ihrer Arbeit besonders akribisch und verhängten notfalls so oft hohe Strafen gegen Firmen, bis diese ihr Verhalten änderten.

Davon sollten sich die Deutschen etwas abschauen. Der schlampige Umgang mit unseren Daten ist ein nicht mehr kalkulierbares Sicherheitsrisiko. Den Schaden haben jedoch wir als Nutzer – und kaum die Firmen, die uns in Gefahr bringen. Das muss sich ändern.

