dpa Viele Prominenten-Accounts – darunter Barack Obama, Elon Musk und Jeff Bezos – werden für einen Bitcoin-Betrug missbraucht. Versagt das Sicherheitskonzept?

Unbekannten ist es in einer beispiellosen Hacker-Attacke auf Twitter gelungen, Werbung für einen Bitcoin-Betrug über Profile von Prominenten wie Ex-Präsident Barack Obama und Amazon-Chef Jeff Bezos zu verbreiten. Twitter versprach Aufklärung darüber, ob die Angreifer sich auch Zugang zu Informationen der betroffenen Accounts verschaffen konnten.

Nach ersten Erkenntnissen des Kurznachrichten-Dienstes wurden in einer koordinierten Attacke Twitter-Mitarbeiter mit Zugang zu internen Systemen ins Visier genommen. Seit Beginn der Corona-Krise arbeiten viele Twitter-Beschäftigte von Zuhause aus. Zugleich berichtete die Website „Vice“ unter Berufung auf einen angeblichen Angreifer, sie hätten auch einen Twitter-Insider für seine Hilfe bezahlt.

„Ich gebe meiner Community wegen Covid-19 etwas zurück“: Mit diesen Worten begann die am Mittwoch verbreitete Botschaft, in der versprochen wurde, eingeschickte Bitcoins doppelt zurückzuzahlen. Dafür missbraucht wurden auch Profile des demokratischen Präsidentschaftsanwärters Joe Biden, des früheren New Yorker Bürgermeisters Michael Bloomberg, des Rappers Kanye West, des Microsoft-Gründers Bill Gates sowie des Tesla-Chefs Elon Musk. Der Account von US-Präsident Donald Trump, der Twitter intensiv nutzt, war nicht betroffen.

Besonders alarmierend an der Attacke ist, dass es den Angreifern trotz aller Sicherheitsvorkehrungen gelang, in großem Stil ihre Botschaften auch über sehr gut geschützte Twitter-Accounts zu verbreiten. Mit diesem Zugang hätten sie statt einer kruden Bitcoin-Betrugsmasche zum Beispiel auch versuchen können, Aktienkurse zu manipulieren.

„Wir alle bedauern, dass dies passiert ist“, schrieb Twitter-Chef Jack Dorsey. Sobald die Firma „ein besseres Verständnis“ von dem habe, was passiert sei, werde man die Öffentlichkeit so ausführlich wie möglich darüber informieren.

Viele der Twitter-Accounts wurden zeitweise gesperrt, waren aber kurze Zeit später ohne die betrügerischen Nachrichten wieder online. Mehrere Stunden lang konnten verifizierte Twitter-Profile größtenteils gar nicht twittern, weil der Dienst so eine weitere Verbreitung der Bitcoin-Betrugsmasche stoppen wollte. Auf ein in den Twitter-Nachrichten genanntes Bitcoin-Konto war relativ schnell Kryptowährung im Wert von über 100 000 Dollar eingezahlt worden.

Twitter hatte in der Vergangenheit immer wieder Probleme mit dem Kapern von Accounts, aber noch nie auf so breiter Front und bei so vielen prominenten Namen auf einmal. Schon das Ausmaß der Attacke legte nahe, dass diesmal nicht wie bei früheren Fällen etwa eine mit Twitter-Accounts verknüpfte App ausgenutzt wurde, sondern dafür direkt Systeme von Twitter eingesetzt wurden.

Die Accounts der Prominenten dürften mit komplexen Passwörtern sowie der so genannten Zwei-Faktor-Authentifizierung geschützt sein, bei der zusätzlich ein frisch zugeschickter Code für die Anmeldung auf einem weiteren Gerät erforderlich ist. Über den Zugriff auf Twitter-Systeme ließ sich dies jedoch ganz offensichtlich aushebeln. dpa

Das Twitter-Konto doppelt absichern

Fast alle Onlinedienste bieten ihren Nutzern zur zusätzlichen Absicherung ihrer Konten die Zwei-Faktor-Authentifizierung (2FA) an. 

Zwei mögliche Wege, um eine Anmeldung beim Twitter-Konto zu bestätigen, sind eine Authentifizierungs-App auf dem Smartphone oder ein Sicherheits-­USB-Stick am Rechner – oft auch als Authenticator-App oder U2F-Security-Key bezeichnet. Auf das Konto zugreifen kann man nach Passworteingabe erst, wenn auch ein Code aus der App eingegeben wurde oder der Stick im Rechner steckt. Die 2FA-Methode muss in den Einstellungen des Twitter-Kontos aktiviert werden, bevor man sich damit anmelden kann.