bedeckt München 23°

IT-Sicherheit:Trump twittert mit einem alten, ungeschützten Smartphone

Donald Trump

Ein Bild aus dem Februar 2016, damals war Trump noch Präsidentschaftskandidat - sein altes, ungeschütztes Smartphone nutzt er immer noch.

(Foto: picture alliance / AP Photo)
  • Donald Trump nutzt womöglich ein fünf Jahres altes Android-Smartphone - ein Einfallstor für Kriminelle und fremde Geheimdienste.
  • Der offizielle Twitter-Account des Präsidenten @POTUS war zwischenzeitlich mit einer Gmail-Adresse verknüpft.
  • Mehrere Mitglieder der aktuellen US-Regierung scheinen IT-Sicherheit nicht allzu ernst zu nehmen.

Von Marvin Strathmann

Ein kleiner Nebensatz in der New York Times hat ein großes Echo unter IT-Experten und Journalisten ausgelöst. In einem Artikel über den neuen US-Präsidenten heißt es, dass Trump nach seiner Ernennung sein altes, ungesichertes Android-Smartphone weiter benutze.

Das Betriebssystem Android hat viele Schwachstellen. Insbesondere ältere Geräte erhalten meist keine Sicherheitsupdates mehr, obwohl diese dringend nötig wären. Daher sind sie anfällig für Hackerangriffe. Auch normale Nutzer sollten veraltete Android-Smartphones meiden - in den Händen des mächtigsten Mannes der Welt ist so ein Gerät eine Einladung für Kriminelle und fremde Geheimdienste.

Das Tech-Blog Android Central hat Fotos von Trumps Smartphone analysiert. Die Android-Experten vermuten, dass es sich um ein Galaxy S3 von Samsung handelt, ein etwa fünf Jahre altes Gerät. Demnach liefe auf dem Smartphone vermutlich Android-Version 4.4 oder 4.3. Aktuell ist Android bei Version 7.1 angelangt, das Galaxy S3 erhält seit Jahren keine Software-Aktualisierungen mehr. Bislang galten vor allem Trumps impulsive und aggressive Tweets als potenzielles Sicherheitsrisiko. Doch möglicherweise ist das Smartphone, von dem aus er seine nächtlichen 140-Zeichen-Botschaften verschickt, mindestens ebenso gefährlich.

Geheimdienste könnten Trumps Handy in eine Wanze verwandeln

Trump müsste nur einen vermeintlich harmlosen E-Mail-Anhang öffnen oder auf einen manipulierten Link tippen, den er etwa auf Twitter sieht. Schon hätten Hacker Zugriff auf sein Gerät. "Er ist von allen Seiten gefährdet", schreibt der renommierte Sicherheitsforscher Bruce Schneier in seinem Blog. "Von einzelnen Hackern bis zu den besser finanzierten Nachrichtendiensten weltweit."

Bereits Trumps echte Tweets lösen Milliardengewinne und -verluste an der Börse aus - eine E-Mail oder ein Tweet, die Hacker von Trumps Handy aus absenden, könne die Aktienmärkte noch stärker beeinflussen, warnt Schneier. Für weitaus gefährlicher hält er aber das eingebaute Mikrofon im Smartphone. Es könne in eine Wanze verwandelt werden und so Gespräche im Raum mithören.

Dabei soll der Secret Service Trump bereits ein sicheres, verschlüsseltes Smartphone mit einer neuen Nummer gegeben haben, berichtete die New York Times vergangene Woche. Aber Sicherheit geht oft zu Lasten der Bequemlichkeit: Solche Spezial-Handys können meist deutlich weniger als normale Consumer-Geräte. Als Trumps Vorgänger Barack Obama 2009 sein Amt antrat, wollte er unbedingt seinen gewohnten Blackberry behalten. Er bekam das gleiche Modell mit speziellen Sicherheitsfeatures.

Mitte 2016 musste sich Obama dann doch auf ein neues Smartphone einstellen: ein besonders abgesichertes Samsung Galaxy S4, also der Nachfolger des mutmaßlichen Trump-Handys. Mit dem neuen Handy konnte Obama keine Bilder aufnehmen, keine SMS versenden, keine Musik abspielen und niemanden anrufen - aus Sicherheitsgründen.

@POTUS-Account ist mit einer Gmail-Adresse gesichert

Ein weiteres Sicherheitsrisiko ist Trumps Twitter-Account. Nicht nur, weil er damit selbst die Börse beeinflusst und die guten Beziehungen zu anderen Ländern aufs Spiel setzt. Trumps offizieller Account @POTUS (President of the United State) ist auch schlecht gesichert. Ein Hacker, der sich auf Twitter @WauchulaGhost nennt und nach eigenen Angaben bereits mehr als 500 Accounts des sogenannten Islamischen Staats gekapert hat, konnte Informationen über die E-Mail-Adressen und Telefonnummern sammeln, mit denen der Account verknüpft ist.

Dafür musste er lediglich die Passwort-Zurücksetzen-Funktion von Twitter aufrufen und @POTUS eingeben. Aus diesen Daten lassen sich E-Mail-Adressen erraten. Die Gmail-Adresse, die mit "sc" beginnt, gehört wohl Dan Scavino, Trumps Social-Media-Manager.

Sobald Hacker die E-Mail-Adresse eines Accounts kennen, versuchen sie mit Hilfe von Malware das Passwort dafür zu erbeuten. Und wer im Names des US-Präsidenten ungefiltert zur Öffentlichkeit spricht, kann schnell enormen wirtschaftlichen und politischen Schaden anrichten.

Der Hacker @WauchulaGhost konnte außerdem die E-Mail-Adressen von First Lady Melania Trump, Pressesprecher Sean Spicer und Vizepresident Mike Pence erraten. Immerhin: Trumps privater Account @realDonaldTrump und @POTUS44, der neue Account von Obama, sind nicht betroffen.

Spicer und die beiden Trumps könnten ihre E-Mailadresse mit wenig Aufwand vor neugierigen Hackern schützen: Ein Haken in den Sicherheitseinstellungen des Twitter-Kontos würde verhindern, dass Teile der Mailadresse über die Passwort-Zurücksetzen-Funktion bekannt werden. Vizepräsident Pence hat das mittlerweile getan, die anderen Betroffenen haben nur andere E-Mail-Adressen mit den Accounts verknüpft - doch auch die neuen Adressen sind teilweise sichtbar.

Twitter schützt die Führungsriege der USA auf der Plattform nicht besser als andere Nutzer. Es läge also an den Spitzenpolitikern oder ihren Beratern, Vorsichtsmaßnahmen zu treffen, etwa indem sie die Zwei-Faktor-Authentifizierung (2FA) einschalten. Dadurch müssen sie nicht nur das Twitter-Passwort eingeben, wenn sie sich einloggen, sondern auch einen Code, der per App oder SMS an das Smartphone geschickt wird. Trump und Spicer scheinen diesen zusätzlichen Sicherheitsschritt jedoch nicht zu nutzen: Hätten sie ihn aktiviert, wäre es für Dritte nicht möglich, Teile der E-Mail-Adresse über die Passwort-Zurücksetzen-Funktion einzusehen.

Pressesprecher twittert wohl sein Passwort

Besonders hilfreich ist die 2FA für Menschen, die versehentlich Passwörter an Hunderttausende Follower schicken. Pressesprecher Sean Spicer hat innerhalb von 24 Stunden gleich zweimal unverständliche Nachrichten abgesetzt. Die Tweets bestehen aus acht scheinbar willkürlich generierten Kombinationen auch Buchstaben und Ziffern. Das entspricht typischen, zufällig generierten Passwörtern - allerdings vergleichsweise unsicheren, da Sonderzeichen fehlen und mindestens zwölf Zeichen ratsam wären. Die Seite Techcrunch spekuliert, dass Spicer per SMS twittert und das Passwort eigentlich direkt an eine andere Person schicken wollte.

Trump hat schon einmal die Erfahrung gemacht, dass sein Twitter-Account gehackt wird. 2013 verbreitete er unfreiwillig Songzeilen des Rappers Lil'Wayne. "Twitter wird bald irrelevant sein, wenn Verbrecher so einfach Accounts hacken können", polterte der echte Trump. Damals war er nur ein reicher Unternehmer, heute können seine Tweets das Weltgeschehen beeinflussen.

© SZ.de/sih
Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB