FM4-Logo

jetzt live:

Aktueller Musiktitel:

Securities and Exchange Commission

AFP

Erich Möchel

„Cyber“-Einbruchsserie in der US-Hochfinanz

Die Serie von hochkarätigen Datendiebstählen im Finanzsektor geht ungebrochen weiter - und ist ein paar Nummern zu groß für gewöhnliche Kriminelle.

Von Erich Möchel

Am Montag wurde ein Einbruch bei der führenden Beratungsfirma Deloitte bekannt, die Daten von Großkonzernen weltweit verwaltet. Kurz davor war ein erfolgreicher Angriff auf die größte US-Kreditauskunftsfirma Equifax bekannt geworden, 140 Millionen Datensätze von Firmen und Personen kamen laut Angaben der Firma dabei abhanden.

Nicht zuletzt wegen der skandalösen Reaktion von Equifax auf den Einbruch werden Forderungen an die Börsenaufsicht Securities and Exchange Commission (SEC) nach einer Offenlegungspflicht und Sanktionen immer lauter. Das Problem dabei ist, dass gegen die SEC selbst gerade eine Untersuchung im US-Kongress angelaufen ist. Vergangene Woche hatte die SEC einen Großeinbruch in ihrer wichtigsten Datenbank bekanntgeben müssen, der im August schlagend wurde.

Einbruch bei der Börsenaufsicht

Die bei Equifax kompromittierte Datenmenge im Terabyte-Bereich muss auch Millionen von Bonitätsprofilen aus der EU enthalten.

Die kargen Fakten, die zu diesem Angriff bіs jetzt vorliegen, sind in einer langatmigen Stellungnahme von SEC-Chairman Walter J. Clayton zur Datensicherheit und den Kontrollmechanismen der SEC versteckt, die offenbar so gar nicht funktioniert hatten. Im Oktober 2016 war eine Sicherheitslücke im System entdeckt worden, die gleich danach geschlossen wurde. Erst im August 2017 sei die SEC dann auf nicht nähere bezeichnete Manipulationen in der zentralen EDGAR-Datenbank gestoßen, die in Zusammenhang mit dieser Sicherheitslücke standen, so der Chairman.

SEC Headquarter

CC-BY-SA-3.0 / AgnosticPreachersKid

CC BY-SA-3.0

Im EDGAR-Netz der Börsenaufsicht waren also Unbekannte zehn Monate lang umtriebig, wieviele Datensätze nun kompromittiert sind wurde nicht bekanntgegeben. Personenbezogene Daten seien nicht dabei, hieß es, aber das war ohnehin nicht zu erwarten gewesen, weil bei der Börsenaufsicht nun einmal keine Ausweis- sondern Unternehmensdaten landen und zwar solche oberster Qualität.

Datensätze oberster Qualität

2015 wurde die Datenbank aller Angestellten des öffentlichen Dienstes der USA gestohlen, US-Versicherungen und Sexkontaktbörsen wurden gleich seriesweise von staatlichen Akteuren gehackt.Barack Obama hatte China die Verantwortung zugewiesen

Börsennotierte Firmen müssen von Transaktionen, Beteiligungen, bis Krediten, Boni oder Aufsichtsratsitzungen und Personalwechsel - schlichtweg alles - in der EDGAR-Datenbank der SEC melden und so gut wie nichts davon ist für die Öffentlichkeit bestimmt. Diese vertraulichen Daten seien möglicherweise zu Insidergeschäften genützt worden, so die Börsenaufsicht, und das ist noch die freundlichere Variante. Weitaus mehr Gewinn als einmal schnelles Geld an der Wallstreet ist nämlich mit strategischen Beteiligungen und Übernahmen zu lukrieren. Dabei ist es für jeden Interessenten äußerst hilfreich, die momentanen Schwachpunkte der betreffenden Firmen zu kennen, woran natürlich auch Akteure aus Drittstaaten größtes Interesse haben.

Equifax-Führung geht nach Skandal

Zwei Wochen nach Bekanntwerden des Großeinbruchs beim größten US-Bonitätsauskunftsbüro Equifax ist am Dienstag auch der CEO der Firma abgetreten, denn der Umgang der Unternehmensführung mit dem „Hack“ war nachgerade abenteuerlich. Nach seiner Entdeckung - ebenfalls im August - wurde der Vorfall erst einmal sechs Wochen lang geheimgehalten. In dieser Zeit verkauften drei Equifax-Vorstände ein millionenschweres Paket ihrer Vorzugsaktien, lange bevor deren Kurs in Turbulenzen geriet.

Equifax Kurs

Radio FM4

Die Bekanntgabe des Einbruchs am 7. September nach Börsenschluss und die Entwicklung der Aktie seitdem

Dann übernahm Equifax den Kreditschutzversicherer ID Watchdog, der kompromittierte Konten auf unautorisierte Zahlungen überwacht. Diesen Service bot Equifax bei der Bekanntgabe des Einbruchs dann den Betroffenen über eine Website an, die in den ersten 24 Stunden von Webbrowsern als kriminelle „Phishing“-Site eingestuft wurde und Warnungen zur Folge hatte. Auf dieser Site sollten Betroffen ihre Sozialversicherungsnummern eingeben, um zu erfahren, ob sie unter den gestohlen Daten waren.

Einbrecher monatelang im Deloitte-System

Beim Hack und der anschließenden Verheerung des Sony-Netzwerks im Dezember 2014 war die nun für Equifax tätige Firma Mandiant engagiert worden. Die USA schrieben den Angriff später einer „Cyber“-Einheit aus Nordkorea zu

Über den Einbruch bei Deloitte gibt es bis dato kaum mehr Informationen als im Exklusivbereicht des „Guardian“ darüber zu lesen ist. Deloitte hat seinen Hauptsitz zwar in London, unter den Kunden sind aber eine ganz Anzahl großer US-Konzerne denen angeblich dieser Angriff galt. Auch hier wurde der Einbruch bereits monatelang vor seinem Bekanntwerden entdeckt und unter Verschluss gehalten.

Bis jetzt weiß man nur, dass ein mangelhaft gesicherter Webserver das Einfallstor darstellte, wieviele und welche Datensätze abgegriffen wurden, ist hingegen nicht bekannt. In allen drei Fällen wurden an sich überdurchschnittlich gut gesicherte Datenspeicher angegriffen - Deloitte wurde 2012 für seine „Cyber“-Sicherheitsmaßnahmen ausgezeichnet - in allen drei Fällen betrifft der Diebstahl US-Finanzdatenmaterial der obersten Güteklasse.

Ein paar Nummern zu groß für Kriminelle

Die Veröffentlichung eines Mandiant-Berichts an den US-Kongress hatte den schwelenden „Cyber“-Konflikt mit China im Frühjahr 2013 so richtig angeheizt.

Für gewöhnliche Kriminelle ist all das gleich ein paar Nummern zu groß, weil nur ein Bruchteil der von Equifax gestohlenen Datenmenge auf den üblichen Wegen zu vermarkten ist, indem die Datensätze in Lots über einschlägige Foren an Betrüger und andere Kriminelle verkauft werden. Große Erpressungsversuche haben im Rampenlicht der Öffentlichkeit zudem noch nie funktioniert und schon gar nicht wenn - wie hier - vom FBI aufwärts der gesamte US-Geheimdienstkomplex alarmiert ist.

Im Fall Equifax wurde denn auch die Sicherheitsfirma Mandiant engagiert, die auf die Abwehr staatlich gelenkter Angriffe spezialisiert ist. Ein ziemlich klares Indiz dafür ist der Zeitverlauf, denn mit einem bloßen Einbruch in ein internes Netz alleine ist ja noch nichts erreicht. Im Fall von Deloitte drangen die Unbekannten über einen schlecht gesicherten Mailserver ein und gingen danach in Deckung.

Dass die betreffende Sicherheitslücke danach geschlossen wurde, war irrelevant, denn die Angreifer waren bereits drin und hatten an ganz anderen Punkten in der Netztopographie eigene Kommunikationskanäle zu ihren Command/Control-Servern aufgebaut, um Daten unbemerkt zu exfiltrieren. Alle drei Fälle sehen also ganz nach „Cyber“-Akteuren eines oder mehrerer noch unbekannter Drittstaaten aus.

Mehr zu diesem Thema

Die Exklusvstory im „Guardian“ zum Einbruch bei Deloitte

Die Erklärung der SEC zum Einbruch in ihr System

Der Abgang des CEO von Equifax

Die Übernahme von ID Watchdog durch Equifax

Aktuell: