Es war eine totale Blamage für die renommierte Behörde: Anfang Januar vermeldete die SEC, die Börsenaufsicht in den USA, die Zulassung von Bitcoin-ETFs. Das kam überraschend, hatten die SEC-Verantwortlichen doch zuvor stets vor den Risiken der Kryptowährung gewarnt und die Zulassung von Bitcoin-ETFs 20 Mal abgelehnt.
Tatsächlich war es nicht die SEC, die die Mitteilung am 9. Januar über ihren Account bei der Plattform X (früher Twitter) verschickte, sondern eine Hackergruppe, die sich Zugriff auf den Account der SEC verschafft hatte.
Die Hacker kamen der Behörde um einen Tag zuvor. Am 10. Januar ließ die SEC die Bitcoin-ETFs tatsächlich zu. Der Vermögensverwalter Grayscale und elf weitere Anbieter durften von da an die neuartigen Fonds auf den Markt bringen. Sie sollen den Bitcoin-Kurs nahezu in Echtzeit abbilden und funktionieren damit ähnlich wie normale ETFs.
Die SEC wirkte wie ein Getriebener, der Schaden war riesengroß. Und nicht wenige in der US-Regierung fragten: Wie konnte das passieren? Zudem bei einer Behörde, die den börsennotierten Unternehmen, die sie beaufsichtigen soll, stets strenge Cybersicherheitsanforderungen auferlegt.
Jetzt hat sich die SEC erklärt - und bestätigt, was vom Experten schon zuvor vermutet worden war. Man sei, so sagte ein SEC-Sprecher am Montag (Ortszeit) Oper eines sogenannten SIM-Swapping geworden.
Cybersicherheit:Hacker blamieren US-Börsenaufsicht mit Bitcoin-Tweet
Die SEC betont gern, wie wichtig IT-Sicherheit ist. Nun wurde sie mit einer gefälschten Nachricht zu Bitcoin-ETFs selbst zum Opfer - und das ziemlich fahrlässig.
Beim SIM-Swapping erlangt der Hacker die Kontrolle über das Konto, indem er die mit dem Benutzerkonto verknüpfte Telefonnummer einem Gerät des Angreifers zuweist. "Sobald der Unbefugte die Kontrolle über die Telefonnummer erlangt hat, setzt er das Passwort für das @SECGov-Konto (das Twitter-Konto) zurück", so der SEC-Sprecher.
Für die Hacker kam ein weiterer Vorteil dazu: Die oberste Aufsichtsbehörde der Wall Street habe ein halbes Jahr vor dem Angriff wegen technischer Probleme eine zusätzliche Schutzebene, die sogenannte Multi-Faktor-Authentifizierung, deaktiviert und erst nach dem Angriff am 9. Januar wieder aktiviert.
Die Strafverfolgungsbehörden arbeiteten nun daran, herauszufinden, wie die Hacker den Mobilfunkanbieter der SEC dazu gebracht hätten, den Wechsel vorzunehmen, teilte die SEC mit, ohne den Anbieter zu nennen.
Die SEC erklärte, dass sie bei der Untersuchung des Vorfalls mit Strafverfolgungsbehörden und Regierungsstellen zusammenarbeite.