Cybersecurity ist Pflicht, nicht Kür

Lernen aus dem Twitter-Hack der letzten Nacht

Was ist passiert?

In der Nacht vom 15. auf den 16. Juli 2020 überschlugen sich im sozialen Netzwerk Twitter die Ereignisse. Zwischen 21 und 22 Uhr deutscher Zeit vermeldeten vermeintlich die großen Kryptobörsen wie Binance und Coinbase eine Partnerschaft mit „CryptoForHealth“ und 5.000 Bitcoin an die Community „zurückgeben“ zu wollen. Der Betrachter der Tweets wurde zunächst auf eine Website geleitet.

V

V

Hier war noch nicht ganz eindeutig, was auf der Website folgte. Sehr schnell folgten jedoch Tweets von Twitter-Nutzern, die vor dem Anklicken warnten.

Der Angriff bekam daraufhin eine große Dynamik und Flexibilität. Diese zeigen, dass hier Menschen und nicht etwa Bots am Werk waren. Die Aufrufe in den Tweets veränderten sich vor allem inhaltlich: Recht schnell wechselten die Angreifer das Thema hin zu COVID-19-Unterstützung und weg vom Link hin zur direkten Angabe einer Bitcoin-Adresse. An diese sollten Bitcoins gesandt werden, um das versprochene „Geschenk“, ein Mehrfaches des transferierten Bitcoin-Betrages, auszulösen. Nun erinnerten die Aufrufe an bekannte Scam-Tweets, die in immer wiederkehrenden Abständen in den Timelines der Twitter-Nutzer auftauchen. In 2018 gab es beispielsweise einen vergleichbaren „Hack“, bei dem mehrere Verified-Accounts gekapert und als solche von Elon Musk ausgegeben wurden. Durch diese Aktion wurde fast das Doppelte, rund 170.000 USD, erbeutet.[1]

In dem Fall vom 15./16. Juli 2020 war jedoch eines anders: Hier wurde die Kontrolle über die echten, verifizierten Accounts erlangt und dies in hoher Zahl. Die Twitter-Accounts von Tech-Unternehmern wie Musk und Bill Gates wurden beispielsweise für falsche Versprechungen verwendet, Bitcoin-Sendungen zu verdoppeln. Kurz darauf folgten die Accounts von großen Tech-Unternehmen wie Apple und Uber. Mit dem Uber-Account wurde gar ein Geschenk von insgesamt 10 Millionen USD in Aussicht gestellt. Etwa nach 2 Stunden, kurz nach Überschreiten der 100.000 USD-Marke, halbierte sich der Bitcoin-Kontostand.

Während die Eingänge auf der Bitcoin-Adresse, die man live verfolgen konnte, weiterhin sprunghaft anstiegen, wurde der nunmehr unbestreitbare Angriff skurril. Jetzt folgten Scam-Tweets von den Accounts von Barack Obama, einem Twitter-Account von „God“, Kanye West und Kim Kardashian. Noch heute Mittag gingen auf der Bitcoin-Adresse Kleinbeträge ein. Die 119.000 USD-Marke wurde allerdings nicht durchbrochen. Mittlerweile ist die benutzte Bitcoin-Adresse nahezu komplett „geräumt“.

V

V

Wie konnten so viele Twitter-Accounts gehackt werden?

Recht schnell wurde klar, hier wurden nicht einzelne, ggf. schlecht gesicherte Twitter-Accounts kompromittiert. Hier muss an zentraler Stelle Zugriff auf die Accounts erlangt worden sein. Das konnte eigentlich nur Twitter selbst oder ein Tweet-Dienst sein.

Twitter erklärte gegen 5 Uhr morgens, dass man Schritte unternommen habe, um den Zugang zu internen Systemen während der Dauer der Untersuchung einzuschränken.

V

V

Die New York Times benennt als Ursache Social Engineering:[2] Mehrere Twitter-Mitarbeiter wurden im Vorfeld dazu gebracht, ihre Zugangsdaten preiszugeben. Zugangsdaten also, die den Angreifern Administratoren-gleiche Rechte verschafften.

V

Was war das Ziel?

Auf den ersten Blick natürlich: Bitcoins erlangen. Das Vorgehen war hier insoweit bemerkenswert, als dass es eine extrem hohe Streuung der als Bitcoin-Scam bekannten Geschenkangebote binnen kurzer Zeit erlaubte. Und damit viele Empfänger über – eigentlich – vertrauenswürdige Twitter-Accounts erreichen konnte. Der Anteil derjenigen, die darauf noch hereinfallen, war damit zwar geringer, aber in Summe womöglich noch hoch genug. Im Vergleich zu den ähnlichen Angriffen im Jahr 2018 war die Ausbeute allerdings mau. Was vermuten lässt, dass der geldwerte Gewinn nicht im Vordergrund stand.

Fakt ist: Diese Art von Scam ist seit Jahren bekannt. Der Angriff auf Twitter war nicht der erste dieser Art. Der Angriff auf Unternehmen mit hoher Vernetzung zwecks Nutzung deren Einflusses wird auch nicht der letzte sein. Vielmehr sollte der Angriff als Warnung verstanden werden. Als Weckruf: „Schaut, was möglich ist mit wenig Aufwand und einfachsten Mitteln!“

V

Was ist zu tun?

Der Twitter-Hack sollte vor allem eine Warnung an die Wirtschaftsunternehmen sein. Alle können auf einfachem Wege im Interesse Dritter instrumentalisiert werden. Selbst bei Twitter war eine hinreichende Informationssicherheit nicht gegeben. Es war offensichtlich sehr einfach, durch Einwirken auf wenige Mitarbeiter viel Wirbel zu erzeugen. Auch das bei Angreifern beliebte Thema „COVID-19“ kam nicht zu kurz.

Drei Kernaufgaben sollte sich nun jedes Unternehmen auf die Agenda setzen:

V

1. Ermittlung und Bewertung des Status der eigenen Informationssicherheit

 In den letzten Monaten der COVID-19-Pandemie wurde viel und vor allem schnell „digitalisiert“, um die sog. Business Continuity zu gewährleisten. Doch welche konkreten Gefahrenquellen dabei eröffnet wurden, dürfte den wenigsten bewusst sein.

Um die Gefahrenquellen einzugrenzen könnte zunächst damit begonnen werden, mit den Mitarbeitern zu sprechen, ob es in der Vergangenheit seltsame Vorkommnisse gab. Sodann könnten spezialisierte Dienstleister mit der zielgerichteten Suche beauftragt werden.

V

2. Beseitigung von Gefahrenquellen und Unterbrechung von Zugriffen; Meldepflicht 

Werden die Gefahrenquelle und gar ein Datenleck entdeckt, sind diese schnellstmöglich zu schließen. Das betroffene Unternehmen wird sehr wahrscheinlich gesetzlichen Meldepflichten nachkommen müssen.

V

3. Awareness-Trainings für Mitarbeiter als Teil einer umfassenden Cybersecurity-Strategie

Auch im Falle des Twitter-Hacks der letzten Nacht wurde die bekannteste IT-Schwachstelle ausgenutzt: Der mit der Informationstechnik interagierende Mensch. Angreifer sind im seltensten Fall bestrebt, Sicherungssysteme mit hohem Aufwand zu knacken, wenn man nur nett um das Öffnen der Tür bitten muss.

Die Vorgehensweisen sind dabei vielfältig. Sie ändern sich im Wesentlichen in ihrem inhaltlichen Bezug. Themen, die aktuell alle Menschen bewegen, sind ein hervorragender Gesprächseinstieg für die Manipulation. Ganz unabhängig von der individuellen Persönlichkeit. Diese muss also nicht erst aufwändig erforscht werden.

Verpflichtende Informations-Videos und Multiple-Choice-Tests sind nicht genug, um ein Unternehmen vor Cyber-Angriffen zu schützen. Zu schnell sind die Inhalte vergessen oder schlicht nicht auf aktuell auftretende Gestaltungen übertragbar. Ebensowenig dürfen Mitarbeiter in einem Angstklima arbeiten, wo Fehler oder seltsame Vorkommnisse aus Sorge um persönliche Konsequenzen nicht gemeldet werden.

Wichtig ist also:

  • die regelmäßige und aktualisierte Information über Cyber-Risiken, die es Mitarbeitern erlaubt, Entwicklungen nachvollziehen und weiterdenken zu können;
  • die aktive Anwendung des Erlernten ermöglichen. Dies ist wichtig, um es behalten und anwenden zu können.
  • eine funktionierende Meldekultur und -infrastruktur im Unternehmen.

Gleiches gilt für Arbeitskräfte, die auch ohne Angestelltenstatus Zugriff auf die IT-Infrastruktur des Unternehmens haben. Nicht zuletzt braucht das Unternehmen eine ansprechbare und im Falle des Sicherheitsvorfalls handlungsfähige Leitung.

Benötigen Sie Unterstützung? Gerne biete ich Ihnen, in Zusammenarbeit mit Rechtsanwältin und Fachanwältin für Strafrecht Mirjam Steinfeld (Website wird derzeit überarbeitet), Awareness-Trainings und juristische Unterstützung an.

V

V

[1] https://de.cointelegraph.com/news/fake-elon-musk-accounts-on-twitter-promote-bitcoin-scams-one-collects-170k.

[2] https://www.nytimes.com/2020/07/15/technology/twitter-hack-bill-gates-elon-musk.html.