Twitter reagierte erst mit erheblicher Verzögerung. Bis die Tweets gelöscht und die Accounts gesichert wurden, hatten die Betrüger bereits eine beträchtliche Summe erbeutet. Der Vorfall offenbarte eklatante Sicherheitslücken bei einem der weltweit größten Social-Media-Konzerne – nicht in der technischen Infrastruktur, sondern in der menschlichen Komponente.
Keine Ersttat: SIM-Swapping bereits 2019
Für Graham Ivan Clark war der Twitter-Hack jedoch nicht der erste Ausflug in die Cyberkriminalität. Bereits 2019 hatte er einen sogenannten SIM-Swap-Angriff gegen den Angel-Investor Gregg Bennett durchgeführt und dabei 164 Bitcoins gestohlen.
Bei dieser Methode überredet oder besticht der Täter Mitarbeiter eines Mobilfunkanbieters, die Telefonnummer des Opfers auf eine neue SIM-Karte zu übertragen, die sich in seinem Besitz befindet. Damit erhält der Angreifer Zugriff auf alle SMS-basierten Zwei-Faktor-Authentifizierungen und kann Konten übernehmen, die mit dieser Nummer verknüpft sind.
Verurteilung als Minderjähriger
Clark wurde noch 2020 verhaftet und im März 2021 zu drei Jahren Haft verurteilt, nachdem er sich im Rahmen eines Plea Agreements – einer Verständigung mit der Staatsanwaltschaft gegen Geständnis – schuldig bekannt hatte. Die beschlagnahmten Kryptowährungen sollten zur Entschädigung der Opfer verwendet werden.
Da Clark zum Tatzeitpunkt minderjährig war, wurde er nach Jugendstrafrecht verurteilt. Ihm drohte allerdings die Überstellung in ein Erwachsenengefängnis, falls er gegen seine Bewährungsauflagen verstoßen würde – ein starker Anreiz, sich nach der Haftentlassung an die Regeln zu halten.
Social Engineering als größte Schwachstelle
Der Twitter-Hack von 2020 wurde in der IT-Sicherheitsbranche zum Paradebeispiel dafür, wie verwundbar selbst große Technologiekonzerne durch Social Engineering sind. Die Angreifer mussten keine komplexen technischen Sicherheitssysteme überwinden – sie mussten nur Menschen davon überzeugen, dass sie legitime Kollegen seien.
Twitter verschärfte nach dem Vorfall seine internen Sicherheitsprotokollen erheblich und führte zusätzliche Schutzmaßnahmen für hochrangige Accounts ein. Der Fall wird heute in Cybersecurity-Schulungen weltweit als Lehrstück verwendet: Die stärkste Firewall nützt nichts, wenn Mitarbeiter ihre Zugangsdaten an vermeintliche Kollegen weitergeben.
Lehren aus dem Hack
Der Fall Graham Ivan Clark zeigt eindrücklich, dass Cyberkriminalität längst nicht mehr nur von hochspezialisierten Hackern mit jahrelanger Erfahrung ausgeübt wird. Ein Teenager mit rudimentären Kenntnissen in Social Engineering konnte binnen Stunden einen der größten Social-Media-Hacks der Geschichte durchführen – nicht durch technische Brillanz, sondern durch psychologische Manipulation.
Die relativ milde Strafe von drei Jahren reflektiert sowohl Clarks Status als Minderjähriger als auch seine Kooperationsbereitschaft mit den Behörden. Ob die Abschreckungswirkung ausreicht, bleibt fraglich: Die Bitcoin-Wallets, die beim Twitter-Hack verwendet wurden, erhielten ihre Überweisungen innerhalb von nur zwei Stunden – ein Zeitfenster, in dem digitale Kriminalität immensen Schaden anrichten kann, bevor Gegenmaßnahmen greifen.
