BR24 Logo
BR24 Logo
Netzwelt

Nach dem Bitcoin-Hack: Wie (un-)sicher ist Twitter? | BR24

© BR

Ex-Präsident Obama, Amazon-Chef Bezos oder Tesla-Gründer Elon Musk: über die Twitteraccounts vieler amerikanischer Prominenter wurde dazu aufgefordert, Bitcoins zu schicken. Hacker konnten so umgerechnet gut 100.000 Euro erbeuten.

Per Mail sharen
  • Artikel mit Video-Inhalten

Nach dem Bitcoin-Hack: Wie (un-)sicher ist Twitter?

Twitter wird vom größten Hack seiner Geschichte erschüttert. Hackern gelang es, in interne Systeme einzudringen: Auch wenn dabei menschliches Versagen eine große Rolle spielte, stellt sich die Frage, ob Twitter genug für seine Sicherheit tut.

Per Mail sharen

Am Mittwoch kam es zu einem großen Hacker-Angriff auf Twitter, bei dem es gelang, die Kontrolle über prominente Accounts etwa von Barack Obama, Elon Musk und Bill Gates zu übernehmen. Nachdem sich die Täter Zugang verschafft hatten, änderten Sie die E-Mail-Adresse der Accounts, damit die Wiederherstellung nicht so leicht funktionierte.

Daraufhin riefen sie von den gekaperten Accounts, teilweise in identischen Tweets, dazu auf, binnen 30 Minuten Bitcoins im Wert von 1.000 Dollar (880 Euro) an eine bestimmte Bitcoin-Adresse zu überweisen. Angeblich sollte dies mit einer Rückzahlung in doppelter Höhe belohnt werden. Mit Erfolg: Auf den Konten der Betrüger gingen 12,96 Bitcoins ein, die einen Wert von aktuell etwas mehr als 100.000 Euro haben.

Laut Experten handelt es sich um einen der schlimmsten Angriffe in den vergangenen Jahren. "Die gestrige Attacke ist möglicherweise eine der schlimmsten Sicherheitsvorfälle bei Twitter, wenn nicht sogar der schlimmste", sagte Costin Raiu, Leiter des Global Research and Analysis Team bei der IT-Sicherheitsfirma Kaspersky.

Ähnlich fiel das Urteil von Daniel Mönch, politischer Geschäftsführer der Piratenpartei Deutschland, aus: "Was heute Nacht passiert ist, war wohl einer der größten Angriffe auf Social Media Accounts, den es bisher gab."

Twitter-Hack ein Beispiel für Social Engineering

Neu an dem Fall ist, dass es den Hackern gelang, sich Zugang zum internen Twitter-System zu verschaffen. Das US-Magazin Vice berichtete, es habe Kontakt zu zwei Personen gehabt, die sich zu dem Angriff bekennen. Eine der Personen sagte, man habe für den Hack der Accounts ein Twitter-Tool benutzt. Die zweite Person sagte Vice, man habe für den Zugang zum Twitter-System einen Mitarbeiter bestochen. Ob dem tatsächlich so war, ist noch nicht abschließend geklärt.

Allerdings bestätigte Twitter, dass es bei dem Angriff eine menschliche Komponente gegeben hat: "Wir haben eine Social-Engineering-Attacke auf einige unserer Angestellten, die Zugang zu internen Systemen und Tools hatten, entdeckt." Social Engineering bedeutet, dass Mitarbeiter eines Unternehmens, hier Twitter, auf irgendeine Weise dazu gebracht worden sind, mit den Hackern zusammenzuarbeiten. Mit den so erlangten Berechtigungen sei es den Tätern gelungen, die Kontrolle über viele prominente, auch verifizierte Accounts zu bekommen, so Twitter weiter.

Das Unternehmen zog die Notbremse und sperrte die betroffenen Accounts und löschte die von dort abgesendeten Bitcoin-Tweets. Darüber hinaus schränkte das Unternehmen für alle verifizierten Accounts mehrere Stunden lang die Möglichkeit ein, Passwörter zu ändern.

"Wenn ich einen Mitarbeiter besteche, kann ich ziemlich alles machen"

Für Robert Helling, Mitglied beim Münchner ChaosComputerClub, ist es "eine Tatsache, dass viele Angriffe nicht allein technisch sind, sondern immer eine menschliche Komponente haben", sagte er BR24.

Helling glaubt nicht, dass Twitter größere Sicherheitslücken hat als andere soziale Netzwerke:

"Wenn ich einen Mitarbeiter besteche, kann ich ziemlich alles machen. Ich kann als Unternehmen höchstens Vorkehrungen treffen, dass nicht jeder alles machen kann, dass für jede Aktion das Vier-Augen-Prinzip gelten muss. Die Frage ist, wie praktikabel das im Alltag ist." Robert Helling, Chaos Computer Club München

Costin Raiu von Kaspersky sieht den Zwischenfall kritischer. Bei der Attacke nach dem Social-Engineering-Schema "ist nur schwer nachvollziehbar, dass Twitter-Mitarbeiter keinen Zugang haben, der mittels einer Zwei-Faktor-Authentifizierung (2FA) geschützt ist. Dies wirft Fragen auf, wie ein solcher Social-Engineering-Angriff erfolgreich sein konnte. " Bei der Zwei-Faktor-Authentifizierung muss man nicht nur das Passwort eingeben, sondern eine zusätzliche Codenummer, die in der Regel auf ein anderes Gerät geschickt wird.

Außerdem wäre es wichtig zu erfahren, welche Schritte unternommen wurden, um die Plattform vor künftigen Missbräuchen zu schützen, um so das Vertrauen der Nutzer wiederzugewinnen, so Raiu.

Auch wenn Hacker - wie im aktuellen Twitter-Fall geschehen - auf menschliche Schwachstellen setzen, um in Netzwerke und Online-Plattformen einzudringen, können sich Unternehmen gegen so etwas wehren. Zum Beispiel, indem sie eine Authentifizierung des Nutzers über mehrere Faktoren anwenden, wie Rachel Tobac, Geschäftsführerin der IT-Sicherheitsfirma Socialproof Security sagt.

Dabei müssten Nutzer vor dem Einloggen mehrere Beweise für ihre Identität eingeben. Für Mitarbeiter, die sich in ein Unternehmenssystem einloggen wollen, könnte das bedeuten, dass sie einen Chip zusätzlich zu einem Passwort haben müssen.

Warum klappte der Bitcoin-Betrug?

Obwohl Menschen, die mit Bitcoins handeln, als gute Netz-Kenner gelten, sind manche von Ihnen auf diese Betrugsmasche hereingefallen. Robert Helling vom Chaos Computer Club fühlt sich in diesem Zusammenhang an die Nigeria-Connection erinnert: "Warum schicken Leute Geld an einen nigerianischen Prinzen? Das ist einfach dumm."

Möglicherweise hätten sich die Nutzer auch von der Prominenz oder vom Reichtum der gehackten Accounts täuschen lassen. "Diese Leute haben offenbar geglaubt, dass jemand, der wie Bill Gates viel Geld hat, bereit ist, Geld zu verschenken. Mir würde keiner glauben, dass ich im großen Stil Bitcoins zu verschenken habe", so Helling.

Dmitry Bestuzhev, Cybersicherheitsexperte bei Kaspersky, bewertet den Angriff als Beispiel dafür, “wie Betrüger neue Angriffsmethoden mit alten und effektiven Techniken kombinieren. So wird ein Überraschungselement geschaffen und das Vertrauen der Menschen gewonnen, um den Angriff zu erleichtern und die Opfer in eine Falle zu locken.”

Weder Webseiten und Software seien vollständig immun gegen Bugs, noch sei der Mensch immun gegen Fehlverhalten. Daher könnten alle nativen Plattformen gefährdet sein.

Kaspersky empfiehlt deshalb: "Niemals zeitlich unter Druck setzen lassen und immer auf die Glaubwürdigkeit von E-Mail, Messages und Sprachnachrichten achten."

Twitter schon öfter von Hacks betroffen

Twitter hat immer wieder mit Hackerangriffen zu kämpfen. So wurden im März 2017 die Konten der Menschenrechtsorganisation Amnesty International, des französischen Wirtschaftsministeriums und der BBC-Nordamerika gehackt, möglicherweise von Anhängern des türkischen Präsidenten Recep Tayyip Erdogan.

Im vergangenen August war auch das Konto von Twitter-Chef Jack Dorsey betroffen: Unbekannte posteten beleidigende und rassistische Aussagen im Namen des Twitter-Gründers. Der Dienst erklärte damals, seine Systeme seien nicht gehackt worden, aber eine Sicherheitslücke bei Dorseys Mobilfunk-Anbieter habe das Versenden der Tweets per SMS zugelassen.

Zuletzt gelang es Ende Januar einer Gruppe, die sich "OurMine" nennt, auf den Accounts mehrerer amerikanischer Football-Teams zu posten. Man habe damit zeigen wollen, "dass alles hackbar ist", hieß es damals.

(Mit Material von Agenturen)

"Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!