Angeblicher Twitter-Hack War Donald Trumps Passwort wirklich "maga2020!"?

Ein Niederländer behauptet, das Passwort des US-Präsidenten für dessen Twitter-Konto erraten und sich damit eingeloggt zu haben. Seine Belege sind dünn, Twitters Dementi aber ist lückenhaft.
Trumps Twitter-Konto

Trumps Twitter-Konto

Foto: OLIVIER DOULIERY/ AFP

Victor Gevers ist in der IT-Sicherheitsszene kein Unbekannter. Der Niederländer leitet die GDI-Stiftung, eine gemeinnützige Organisation, die auf Sicherheitslücken aufmerksam macht. 2019 etwa machte er Schlagzeilen, als er eine offen zugängliche Datenbank mit Hunderten Millionen Chats und Datensätzen aus chinesischen Internetcafés entdeckte. Nun behauptet Gevers, sich in Donald Trumps persönliches Twitter-Konto  eingeloggt zu haben, indem er im sechsten Versuch das richtige Passwort erraten habe: "maga2020!" lautete es demnach, wie der dem Magazin "Vrij Nederland"  sagte. Als Beleg ist in dem Artikel nur ein Screenshot zu sehen, der aussieht wie die Seite zum Ändern eines Twitter-Profils.

Doch das reicht als Beweis ebenso wenig aus wie Gevers' sonstige Behauptungen. Der Fall zeigt vor allem, wie schwierig es sein kann, glaubhafte Belege für ein erfolgreiches Eindringen in fremde Konten zu liefern, ohne dafür private Daten des Opfers offenlegen zu müssen. So bleibt es bei Behauptungen und Gegenbehauptungen.

Twitter selbst jedenfalls sagte US-Medien: "Wir haben keine Beweise gesehen, die diese Behauptung stützen, auch nicht im niederländischen Artikel." Ein glasklares Dementi ist das nicht.

Das Unternehmen teilte weiter mit, es habe "proaktive Sicherheitsmaßnahmen" für wahlrelevante Twitter-Konten in den USA eingeführt, worunter auch das von Trump fiele, auch wenn Twitter es nicht explizit erwähnte.

Twitters Maßnahmen sollen exakt dieses Szenario verhindern

Die Maßnahmen wurden knapp einen Monat vor dem angeblichen Hack von Gevers in diesem Blogpost  beschrieben. An erster Stelle heißt es dort, dass die entsprechenden Kontoinhaber zur Nutzung eines starken Passworts aufgefordert und zur zusätzlichen Absicherung über eine Zwei-Faktor-Authorisierung gedrängt würden. Ein starkes Passwort besteht nach Twitters Maßstäben  aus mindestens zehn Zeichen und beinhaltet Klein- und Großbuchstaben, Zahlen und Sonderzeichen.

Trump müsste also zum einen diese Sicherheitsmaßnahmen verweigert haben, denn "maga2020!" hat nur neun Zeichen. Auszuschließen ist das nicht.

Zum anderen würde es bedeuten, dass Twitter nicht aufgefallen ist, dass jemand von einem neuen Gerät aus versucht hat, sich in Trumps Konto einzuloggen. Genau so etwas gehört aber zu den weiteren Maßnahmen, die Twitter im September "für die kommenden Wochen" angekündigt hatte: "Ausgefeiltere Erkennungssysteme und Warnungen für uns und die Kontoinhaber, um schnell auf verdächtige Aktivitäten zu reagieren, darunter verbesserte Abwehr von bösartigen Log-in-Versuchen". Sollte Twitter diese Maßnahmen am 16. Oktober, dem Tag von Gevers' angeblichem Hack, noch nicht umgesetzt haben, wäre das angesichts der bevorstehenden Wahl ein kaum nachzuvollziehendes Versäumnis gewesen. Das Unternehmen wollte auf eine entsprechende Nachfrage des SPIEGEL keine weiteren Angaben dazu machen.

Der "Beweis"-Screenshot ist leicht nachzumachen

Der einzige veröffentlichte Screenshot des angeblich erfolgreichen Log-ins könnte eine simple Fälschung sein. Jeder, der sein Twitter-Konto auf Englisch umstellt, kann problemlos exakt den gleichen Screenshot erzeugen. Es reicht, das eigene Profil mit den Bildern und dem Namen von Trump zu versehen - nicht einmal ein Abspeichern ist nötig.

Auf die Frage des SPIEGEL, warum Gevers kein Video vom erfolgreichen Log-in-Vorgang zur Verfügung gestellt hat, hat dieser bisher nicht geantwortet.

Zwar hat er auch seine erfolglosen Versuche, Trump und sein Team zu alarmieren, mit Screenshots dokumentiert, die der SPIEGEL einsehen konnte. Doch auch sie belegen den eigentlichen Hack nicht.

Ein Detail fällt auf - weil es fehlt

Wie "Vice"-Reporter Joseph Cox schrieb , fällt im angeblichen Screenshot der Profilseite zudem eine Abweichung zu Trumps echtem Twitter-Konto auf: In dem steht "45th President of the United States of America", gefolgt von einem Icon, das die US-Flagge zeigt. In Gevers' Screenshot fehlt die Flagge.

Die Erklärung von Gevers lautet verkürzt gesagt: Die von ihm benutzte Software habe dafür gesorgt, dass das Icon nicht sichtbar war - was technisch möglich wäre.

Oder aber er hat die Flagge beim Nachbau des Trump-Accounts vergessen oder ignoriert.

Insgesamt taugt der Screenshot nicht als Beweis für einen erfolgreichen Hack. Das Gleiche gilt auch für Gevers' sonstige Angaben im Artikel von "Vrij Nederland" sowie auf Twitter . Aber auch das Gegenteil lässt sich mit den zur Verfügung stehenden Informationen nicht belegen.

Der Niederländer betont, sein zentrales Anliegen sei die Botschaft, jeder möge die Zwei-Faktor-Authorisierung aktivieren, um seine Konten vor der Übernahme durch Dritte zu schützen.

Zumindest dagegen ist nichts einzuwenden.

Die Wiedergabe wurde unterbrochen.