Gary Gensler ist gerade nicht zu beneiden. Der Chef der US-Börsenaufsicht SEC muss erklären, wie es dazu kommen konnte, dass der Account seiner Behörde auf der Plattform X (früher Twitter) in der Nacht auf Mittwoch Fake-News verkündete. Um kurz nach 22 Uhr deutscher Zeit postete die SEC dort eine von Millionen Bitcoin-Fans lang ersehnte Nachricht: "Die SEC erteilt heute die Genehmigung für Bitcoin-ETFs. Sie können damit an allen registrierten Wertpapierhandelsplätzen gelistet werden."
Seit Monaten wird über eine solche Genehmigung spekuliert, nachdem sie die SEC vorher - aus Sicht von Bitcoin-Fans völlig unbegründet - mehrfach abgelehnt hatte. Jetzt sollte es endlich so weit sein. Große Investmentfirmen positionieren sich seit Tagen, um ihre jeweiligen Bitcoin-Produkte schnell an Kunden zu bringen. Und als Datum für die Genehmigung kursierte seit Monaten der 10. Januar. Die Nachricht des SEC-Accounts war also keineswegs unrealistisch, doch sie entpuppte sich schnell als falsch. Gut 30 Minuten später war der Post nicht mehr auffindbar. Noch einmal zehn Minuten später meldete sich die SEC erneut per X. Ihr Konto sei kompromittiert - sprich gehackt - worden.
Für die US-Börsenaufsicht ist das Ganze mehr als nur peinlich. Die Behörde und ihr Chef betonen selbst bei jeder Gelegenheit, wie wichtig IT-Sicherheit für Unternehmen und Institutionen ist, die mit Wertpapierhandel zu tun haben. Dabei postete die SEC auch regelmäßig gute Ratschläge: Starke Passwörter, regelmäßige Updates und Multifaktorauthentifizierung (MFA) seien unerlässlich. Wenn MFA bei einem Internetkonto aktiviert ist, dann müssen Inhaber der Konten bei der Anmeldung nicht nur ihr Passwort eingeben, sondern zusätzlich einen Einmal-Code, der entweder per SMS an ihr Handy geschickt oder in einer App generiert wird. Alternativ ist auch die Verwendung eines Security Keys möglich.
Doch offenbar nahm es die Wertpapieraufsichtsbehörde selbst nicht ganz so genau mit ihren Sicherheitsratschlägen. Denn wenig später meldete sich die Sicherheitsabteilung von X zu Wort und verkündete, eben jene MFA sei beim Account der SEC nicht aktiviert gewesen - und das bei einer Behörde, deren Mitteilungen massive Kursbewegungen an den weltweiten Börsen auslösen können.
Der SEC muss auch klar gewesen sein, dass es insbesondere X-Accounts sind, die für Kursmanipulationen verwendet werden können. Die Behörde hatte 2019 Tesla-Gründer Elon Musk wegen irreführender Tweets angeklagt, die den Kurs des Elektroherstellers nach oben trieben. Seitdem muss sich Musk Tweets mit Tesla-Bezug von einem Anwalt absegnen lassen, und das, obwohl er mittlerweile Besitzer der Plattform ist. Musk ist der Auffassung, die Regelung mit dem "Twitter-Sitter" schränke sein Recht auf Meinungsfreiheit ein und geht seit Monaten gerichtlich dagegen vor. Dass die SEC nun selbst ein Problem mit einem Post auf X hat, entbehrt nicht einer gewissen Ironie.
Dabei ist nicht ganz klar, ob X nicht eine kleine Mitschuld an dem Problem trägt. Denn vor wenigen Monaten hatte X den Support für MFA per SMS für nichtzahlende X-Nutzer eingestellt. Wer die Option zuvor ausgewählt hatte, der war auf einmal nicht mehr geschützt.
Der Post der SEC hatte Auswirkungen auf die Märkte, wenn auch keine allzu massiven. Der Preis von Bitcoin ging kurzfristig um drei Prozent nach oben, um kurz darauf wieder zu fallen - und zwar noch bevor die SEC den Tweet für Fake erklärte. Damit reagierte der Bitcoin auf die falsche Nachricht so, wie Fachleute die Reaktion auf die echte Nachricht vorausgesagt hatten. Viele Beobachter gingen davon aus, dass die Vollzugsnachricht am Kurs der Internetwährung nicht viel verändern dürfte. Nach Monaten der Spekulation über die Genehmigung dürfte das Event selbst längst eingepreist sein, so die gängige Theorie.
Über die Motivation der Angreifer lässt sich derweil nur spekulieren. Möglich ist, dass sie es auf finanziellen Gewinn abgesehen hatten. Und das kann trotz des mageren Kursgewinns auch funktioniert haben. Bitcoin-Käufe lassen sich auf vielen Plattformen stark hebeln, sodass sich auch mit drei Prozent Kurssteigerung ein ordentlicher Gewinn machen lässt.
Welche Auswirkungen der Hack auf die Kryptowährung selbst haben wird, ist unklar. Reuters zitiert zwar einen Manager, der befürchtet, die SEC könnte die Genehmigung für die Bitcoin-ETFs wegen des Hacks erneut verschieben, doch dem widersprechen in der gleichen Meldung Firmen, die auf die Genehmigung ihrer ETFs warten.
