Twitter-Hack offenbart Sicherheitsprobleme: Mitarbeiter bestochen?

In einer beispiellosen Attacke haben Hacker die Twitter-Accounts von Prominenten und Firmen übernommen und für Bitcoin-Betrug missbraucht. Der Schaden ist immens – und bringt Twitter in Erklärungsnot.

Ein starkes Passwort wählen, Zweifaktor-Authentifizierung aktivieren, Phishing-Angriffe abwehren und Geräte gegen Malware absichern – viel mehr kann ein Nutzer kaum tun, um seine Online-Konten zu schützen. Doch nichts davon hätte den groß angelegten Hacker-Angriff auf die Twitter-Konten von Barack Obama, Elon Musk, Jeff Bezos und anderen Prominenten am Mittwochabend verhindern können.

Ersten Erkenntnissen zufolge konnten die Angreifer nämlich auf die Hilfe eines Twitter-Insiders zählen, der sämtliche interne Sicherheitsvorkehrungen aushebeln konnte. Das US-Magazin "Vice" berichtet gar, es sei Bestechung im Spiel gewesen. Twitter selbst spricht von "Social Engineering", also eine Art von gezielter psychologischer Einflussnahme auf "mehrere" Mitarbeiter, die Zugang zu den "internen Systemen und Tools" gehabt hätten.

Der Begriff wird oft im Zusammenhang mit Phishing-Attacken verwendet. Seit Beginn der Corona-Krise arbeitet ein Großteil der Twitter-Beschäftigten von Zuhause aus.

Die Hacker ließen Donald Trump in Ruhe

Es ist der bisher schwerste Sicherheitsvorfall in der Geschichte des Kurznachrichtendienstes. Unbekannten war es am Mittwochabend deutscher Zeit gelungen, zahlreiche verifizierte Accounts zu kapern und für eine Bitcoin-Betrugsmasche zu missbrauchen. Die Täter änderten offenbar die in dem Profil hinterlegte E-Mail-Adressen, so dass die Eigentümer aus ihren eigenen Konten ausgeschlossen waren.

Anschließend forderten die Täter die Follower auf, Bitcoin an eine bestimmte Krypto-Adresse zu überweisen. Das eingesandte Geld werde doppelt zurückgezahlt, so das falsche Versprechen. Die Rechnung ging auf: Innerhalb von nur wenigen Stunden flossen Bitcoin im Wert von mehr als 100.000 US-Dollar auf die virtuellen Blockchain-Konten der Betrüger. Diese sogenannten "Wallets" sind öffentlich einsehbar, die Eigentümer bleiben aber normalerweise anonym.

In einer ersten Reaktion löschte Twitter die betrügerischen Beiträge und sperrte die betroffenen Profile – darunter auch das des demokratischen Präsidentschaftskandidaten Joe Biden, des früheren New Yorker Bürgermeisters Michael Bloomberg, des Rappers Kanye West und des Microsoft-Gründers Bill Gates.

Das Konto von US-Präsident Donald Trump mit seinen etwa 83 Millionen Followern ließen die Angreifer aus. Im Zuge der Gegenmaßnahmen nach dem Hack wurde es jedoch auch auf diesem Kanal vorübergehend still: Mehrere Stunden lang konnten verifizierte Twitter-Profile größtenteils nicht twittern, weil der Dienst so eine weitere Verbreitung der Bitcoin-Betrugsmasche stoppen wollte. Knapp 360.000 Konten waren davon betroffen.

Düstere Szenarien sind denkbar

"Zum Glück wollten die Angreifer nur Bitcoin-Betrug betreiben und die exakt gleichen Methoden nicht nutzen, um einen Atomkrieg zu starten", twitterte der bekannte Technik-Journalist Casey Newton. Zumindest Tesla-Gründer Elon Musk war zuvor schon einer ähnlichen Masche zum Opfer gefallen. 2018 hatten Bitcoin-Betrüger Fake-Accounts im Namen des bekannten Tech-Millionärs erstellt und Werbung für Kryptowährung verbreitet. Schon damals hätte Twitter viel zu langsam auf die Bedrohung reagiert, kritisiert Newton.

"Man fragt sich, welche Notfallpläne das Unternehmen aufgestellt hat für den Fall, dass es eines Tages nicht von gierigen Bitcoin-Betrügern, sondern von staatlichen Akteuren oder Psychopathen übernommen wird", schreibt der Autor in einem Kommentar. Es werde schlagartig klar, dass Twitter die Datensicherheit nicht nur zum Schutz der Privatsphäre seiner Nutzer gewährleisten müsse, sondern auch, weil die Plattform das Potenzial habe "die Welt durch betrügerisches Auftreten und Täuschung ins Chaos zu stürzen". Insbesondere vor dem Hintergrund der kommenden US-Wahl gebe der Fall Anlass zur Sorge.

Twitter-Chef Dorsey wurde auch schon mal gehackt

Twitter hatte in der Vergangenheit immer wieder mal Probleme mit dem Kapern von Accounts – aber noch nie auf so breiter Front und bei so vielen prominenten Namen auf einmal. Schon das Ausmaß der Attacke legte nahe, dass diesmal nicht wie bei früheren Fällen etwa eine mit Twitter-Accounts verknüpfte App ausgenutzt wurde, sondern dafür direkt Systeme von Twitter eingesetzt wurden.

"Wir alle bedauern, dass dies passiert ist", schrieb Twitter-Chef Jack Dorsey. "Ein harter Tag für uns bei Twitter." Sobald die Firma "ein besseres Verständnis" von dem habe, was passiert sei, werde man die Öffentlichkeit so ausführlich wie möglich darüber informieren. Unklar sei noch, ob sich die Angreifer auch Zugang zu den Nutzerdaten der betroffenen Konten verschaffen konnten.

Twitter hatte die Sicherheitsvorkehrungen weiter verschärft, nachdem Unbekannte vor knapp einem Jahr Nachrichten über den Account des Firmenchefs Jack Dorsey verbreitet hatten. Der Dienst erklärte damals, seine Systeme seien nicht gehackt worden, aber eine Sicherheitslücke bei Dorseys Mobilfunk-Anbieter habe das Versenden der Tweets per SMS zugelassen. Zuletzt gelang es Ende Januar einer Gruppe, die sich "OurMine" nennt, auf den Accounts mehrerer amerikanischer Football-Teams zu posten. Man habe damit zeigen wollen, "dass alles hackbar ist", hieß es damals.