Jack Dorsey gab sich zerknirscht: „Das ist ein übler Tag für uns und wir fühlen uns fürchterlich“, schrieb der Twitter-Mitgründer am späten Mittwochabend. Kurz zuvor hatten Hacker über die Twitter-Konten zahlreicher US-Prominenter Werbung für dubiose Bitcoin-Deals verbreitet. Betroffen waren unter anderem Accounts von Ex-Präsident Barack Obama, Präsidentschaftskandidat Joe Biden, Amazon-Chef Jeff Bezos, Microsoft-Gründer Bill Gates, Tesla-Chef Elon Musk oder Rapper Kanye West sowie von Unternehmen wie Apple oder Uber.
Die bis dato unbekannten Cyberkriminellen hatten in den Tweets dazu aufgerufen, 1000 Dollar in Bitcoin auf ein Kryptowährungskonto zu überweisen. „Binnen 30 Minuten werde jeder Zahler die doppelte Summe zurückerhalten“, hieß es in den gleichlautenden Tweets, die binnen weniger Minuten über die gehackten Konten verschickt wurden, bevor Twitter den Versand stoppte.
„Wir untersuchen den Vorfall und informieren ausführlich, sobald wir besser verstanden haben, was genau passiert ist“, versprach Dorsey kurzfristig Aufklärung.
Noch hat er sich zwar nicht konkreter geäußert. Doch es verdichten sich die Anzeichen, dass die betroffenen Konten nicht einzeln gehackt wurden, sondern der Angriff auf dem Umweg über Twitter-Insider gelaufen ist. Es spricht viel dafür, dass die Hacker Zugang zu einem sogenannten Managementkonto bekommen haben, über das Mitarbeiter des Kurznachrichtendienstes beispielsweise im Fall von Störungen direkten Zugriff haben auf die Accounts von Twitter-Nutzern – auch denen so prominenter Kunden, wie Bezos, Gates oder Obama.
Ein solcher Managementzugriff würde nicht nur erklären, warum die gefälschten Botschaften quasi zeitgleich verschickt wurden. Es erklärte zudem, warum die Fernsteuerung der Konten möglich war, obwohl die Konten der Prominenten mehrheitlich durch eine sogenannte Zwei-Faktor-Authentifizierung geschützt waren. Zwar sollten auch die Master-Accounts mit ihren besonderen Zugriffsrechten besonders geschützt sein. Tatsächlich aber gab es in der Vergangenheit immer wieder Berichte über Fälle, bei denen es zu unrechtmäßigen Zugriffen auf solche Accounts kam, so auch bei Facebook oder Snapchat. Vergangenes Jahr erst wurden frühere Twitter-Beschäftigte verhaftet, weil sie für einen externen Auftraggeber Nutzerkonten ausspioniert haben sollen.
Schwachstelle Mensch
Möglicherweise gab es auch dieses Mal eine solche interne Schwachstelle: Inzwischen berichtet das US-Onlinemagazin „Motherboard/Vice“, Angehörige einer Hackergruppe hätten sich bei dem Medium gemeldet und angegeben, die Kontrolle über die Konten mithilfe einer twitter-internen Software übernommen zu haben. Die Hacker erklärten zudem, sie hätten einen Beschäftigten des Unternehmens dafür bezahlt, um den Zugriff auf Twitters Management-Plattform zu erhalten.
Auch wenn es dazu noch keine Bestätigung durch den Kurznachrichtendienst gibt – dort heißt es, alternativ sei unter anderem auch ein Programm- oder Bedienfehler denkbar –, wirft der Vorfall erneut ein Schlaglicht auf ein Cybersicherheits-Problem, das Fachleute „Insider-Threat“ nennen: die Schwachstelle Mensch.
„Den größten Verursacherkreis [von Sicherheitsvorfällen] bilden ehemalige oder aktuelle Mitarbeiter“, schreibt etwa das Bundeskriminalamt (BKA) in einer aktuellen Handlungsempfehlung für Unternehmen zur Abwehr von Cybergefahren. Dabei seien, so die BKA-Spezialisten, bestechliche oder enttäusche Beschäftigte, die sich etwa nach einer Kündigung am Arbeitgeber rächen wollten, nicht einmal das größte Schadensrisiko. „Die Taten [erfolgen] überwiegend nicht in krimineller Absicht, sondern vielmehr aufgrund von Fahrlässigkeit und mangelndem Problembewusstsein.“
In vielen Fällen seien Beschäftige schlicht nicht angemessen skeptisch, wenn sie beispielsweise Nachrichten oder Dateianhänge öffneten, die vermeintlich von Vorgesetzten, Kollegen oder Geschäftspartnern stammen – tatsächlich aber mit Schad- oder Spionage-Software verseucht sind. Dann aktiviert ein unvorsichtiger, vorschneller Klick auf die Anhänge oder Links in den Nachrichten zum Beispiel ein Schnüffelprogramm, das unbemerkt im Hintergrund Nutzernamen und Passworteingaben der Beschäftigten mitprotokolliert und die Daten später heimlich an die Hacker verschickt. Ein Szenario, das offenbar auch bei Twitter noch geprüft wird.
Wie groß das Schadensrisiko durch Insider-Bedrohungen ist, belegt auch eine Studie des Marktforschungsinsititutes Ponemon und des IT-Konzerns IBM aus dem vergangenen Jahr. Demnach stiegen die durchschnittlichen Kosten von Schäden durch derartige Sicherheitsvorfälle binnen zwei Jahren um 31 Prozent auf immerhin 11,45 Millionen Dollar pro betroffenem Unternehmen. Die Gesamtzahl der Schäden stieg sogar um 47 Prozent.
Zu schön um wahr zu sein
Dass der jüngste Twitter-Hack so teuer wird, ist eher unwahrscheinlich – wenn man vom Reputationsschaden für den Kurznachrichtendienst absieht, weil entweder die falschen Mitarbeiter zu viele Zugriffsrechte hatten oder die Management-Software nur unzureichend abgesichert war. Bezahlen müssen für die Cyberattacke zunächst einmal all jene Twitter-Nutzer, die blauäugig den Versprechungen der gehackten Promis vertraut und Bitcoin überwiesen haben. Binnen weniger Minuten, ermittelten Sicherheitsdienstleister, liefen auf dem in den Tweets angegebenen Kryptokonto Zahlungen über fast 100.000 Dollar ein.
Und das, obwohl sich solche Schäden – ohne großen Aufwand, dafür aber mit etwas gesundem Menschenverstand – verhindern ließen: „Wenn eine Nachricht zu gut klingt um wahr zu sein, dann ist sie in der Regel zu gut um wahr zu sein“, sagt Michael Veit, IT-Security-Experte bei Sophos. Wollten Musk, Gates, Apple, Biden oder eine bekannte Firma riesige Geldbeträge verschenken, würden sie nicht verlangen, dass man zuerst in Vorleistung geht, so der Experte. „So eine Offerte ist kein Geschenk sondern ein Trick. Und es ist ein offensichtliches Zeichen dafür, dass das Konto der Person gehackt wurde.“
Hacker nutzen die globale Pandemie für zielgerichtete Attacken, auch um Unternehmen auf dem Umweg übers Homeoffice anzugreifen. Sechs Tipps für ein sicheres Arbeiten daheim – in den Zeiten von Corona und danach.
