Börsensturz nach Falschmeldung von AP Wenn Computer auf Tweets reinfallen

Explosive Mischung: Eine Falschmeldung über Detonationen im Weißen Haus lässt Computer an den Börsen ausrasten. Hacker hatten den Twitter-Account der Nachrichtenagentur AP gekapert - der Vorfall setzt den Kurznachrichtendienst unter Druck, endlich mehr für die Sicherheit zu tun.

Von Bastian Brinkmann, Jannis Brühl und Antonie Rietzschel

Der Tweet kam um 13:08 Uhr New Yorker Zeit: Darin hieß es, im Weißen Haus hätte es zwei Explosionen gegeben, US-Präsident Barack Obama sei verletzt. Abgesetzt hatte ihn der verifizierte Account der Nachrichtenagentur AP - eigentlich eine seriöse, vertrauenswürdige Quelle. Die erklärte Minuten später, dass es sich um einen gefälschten Tweet handle, Hacker hätten den Account geknackt. Doch da war es schon zu spät: Die Kurse der im S&P-500-Index notierten Aktien waren abgesackt. Sie hatten innerhalb kürzester Zeit 136,5 Milliarden Dollar an Wert verloren, der Dow-Jones-Index sank um 145 Punkte.

Verantwortung für die gezielte Falschmeldung übernahmen die Nutzer eines Twitter-Accounts, der angeblich zur "Syrischen Elektronischen Armee" gehört, die den Diktator Assad unterstützt. Die Falschmeldung selbst war schnell aufgeklärt. Skeptische Börsenhändler griffen zum Telefon und riefen Bekannte an, die einen Blick aufs Weiße Haus werfen konnten: keine Anzeichen für einen Anschlag. Nach ein paar Minuten erholten sich die Kurse wieder. Mittlerweile ist auch der Account @AP wieder online.

Twitter ist weltweit zu einer der wichtigsten Nachrichtenquellen geworden - auch für Händler an der Börse. Besonders in den USA kommunizieren Unternehmen immer stärker per Twitter oder Facebook mit Investoren - und beeinflussen dadurch das Börsengeschäft. Vor Kurzem hat etwa der Geschäftsführer von Tesla Motors getweetet, dass bei dem Hersteller von Elektroautos große Neuigkeiten anstehen - schon diese 120 Zeichen kurze Ankündigung ließ den Wert der Aktie stark steigen, bevor die Händler erfuhren, dass Tesla sein Leasing-Angebot ausweitet.

Die US-Börsenaufsicht SEC hatte Anfang April auf den Trend reagiert und gestattete den Firmen offiziell, in sozialen Netzwerken kursrelevante Informationen bekanntzugeben. Die SEC warnte aber gleichzeitig vor Hackern, die Accounts knacken und falsche Daten verbreiten könnten. Und das passiert peinlich oft: Als der Twitter-Account von Burger King geknackt wurde, erklärten die Hacker fälschlicherweise, die Fast-Food-Kette würde an McDonald's verkauft.

Nun traf es die Nachrichtenagentur AP. Erstmals hat ein falscher Tweet die Aktienkurse erschüttert. Das lag vermutlich daran, dass die Explosions-Falschmeldung auch von Maschinen gelesen wurde. Algorithmen durchsuchen Mitteilungen der Konzerne und auch das Netz nach Schlagwörtern, die sie in zwei Schubladen einordnen: positiv oder negativ - kaufen oder verkaufen. Die Computer reagieren dann automatisch in Millisekundenschnelle. So lief es auch in diesem Fall, vermuten die Börsianer. "Kein menschliches Wesen hat diese Story geglaubt", sagt ein Händler. Ein Journalist des Wall Street Journals postete das ironische Zitat eines beteiligten Computers: "01110011 01100101 01101100 01101100".

Und die Algorithmen können auch komplett daneben liegen: Wird ein Film der Schauspielerin Anne Hathaway positiv rezensiert, steigt der Börsenkurs von Warren Buffetts Firma Berkshire-Hathaway, hat die Huffington Post beobachtet. Die Computer können die Darstellerin Hathaway und die Firma Hathaway nicht auseinanderhalten.

Die Börsenaufsicht SEC will nun die genaueren Umstände des AP-Hacks untersuchen: "Ich weiß nicht genau, wonach wir suchen, aber natürlich wollen wir große Veränderungen wie diese verstehen", sagte Daniel Gallagher von der SEC.

Sich blind auf Tweets zu verlassen, ist zudem schwierig, weil auch überprüfte Accounts keinen absoluten Schutz vor Reinfällen geben. Haben Nutzer ein Häkchen neben ihren Usernamen, sind sie laut Twitter "verifiziert". Das ist bei vielen Prominenten der Fall. In der Regel kontaktiert Twitter dafür die Person - mit einer E-Mail, die Tipps gibt, wie man schöne Tweets schreibt. Dann bekommt der User das Häkchen, eine Ausweiskopie oder Ähnliches muss er nicht einschicken. Wer sicher gehen will: Offizielle Accounts sind aber in der Regel auf den offiziellen Webseiten der Organisationen geführt.

Immerhin will Twitter das Anmelden sicherer und das Einbrechen schwieriger machen, schreibt das Magazin Wired. Der Nachrichtendienst setzt demnach auf die sogenannte Zwei-Schritt-Verifikation: Sobald sich der Nutzer einloggen will, wird zusätzlich ein Code zum Beispiel auf sein Handy verschickt, den er dann eingeben muss. Google und Microsoft bieten das bereits an. Einen absoluten Schutz kann auch diese Methode nicht bieten, aber viele Versuche abblocken.

Denn da die Nutzernamen bisher offen einsehbar sind, brauchen Einbrecher bisher nur das Passwort - das lässt sich auch durch das bloße Ausprobieren herausbekommen, richtige Hackerkenntnisse sind dafür nicht nötig. Profis haben Twitter schon ganz anders auseinandergenommen: 250.000 Nutzerkonten wurden Anfang Februar auf einen Schlag gehackt, die Einbrecher hatten Zugriff auf alle Zugangsdaten.

Twitter hat aktuell eine Stelle ausgeschrieben, die darauf hinweist, dass das Kurznachrichtenportal an einer Lösung arbeitet. In ihr fragt der Konzern: "Mögen Sie Sicherheit?" Für die Nutzer kann man die Frage auch ohne Bewerbungsgespräch beantworten: ja.

Linktipp: Twitter ist keine reine Informationsschleuder, sondern kann auch ganz anders genutzt werden. Nachdem in Brüssel ausgehandelt wurde, dass Zyperns Bankkunden für die Krise zahlen sollten, diskutierten Kenner der Materie auf Twitter, was dieser Schritt nun bedeute. Der Dienst brachte Griechischsprecher und Ökonomen zusammen. Die Börsenklatschseite Business-Insider schrieb ein nur leicht überdrehtes Loblied unter der Überschrift: "Twitter Just Crushed Wall Street After The Cyprus Bailout".