Cyber-Kriminelle, die rasch an eine grosse Menge wertvoller Daten gelangen wollen, greifen immer öfters Finanzinstitute an. Datenschutzverletzungen können für Banken sehr teuer werden.
Die Schweizer Grossbank Credit Suisse kommt aus den Negativschlagzeilen nicht heraus. Nach zahlreichen Skandalen und dunkelroten Zahlen im Jahresabschluss 2022 sorgt nun ein ehemaliger Mitarbeiter für neue Horrormeldungen. So soll ein IT-Mitarbeiter über Jahre hinweg persönliche Daten von CS-Angestellten entwendet haben.
Die Bank hat zwar bisher keine Beweise dafür gefunden, dass die Daten in irgendeiner Weise verwendet wurden. «Nach einer gründlichen Untersuchung haben wir Massnahmen - einschliesslich rechtlicher Schritte - ergriffen und werden dies auch weiterhin tun, um den Vorfall angemessen einzudämmen», sagte eine CS-Sprecherin gegenüber finews.ch.
Dennoch schadet der Sicherheitsvorfall dem Image des krisengeschüttelten Finanzinstituts erneut.
Immenser Datenschatz
Datensicherheit muss im Sicherheitskonzept einer Bank oberste Priorität haben. Vor allem Finanzdaten gehören zu den sensibelsten Informationen überhaupt. Gelangen beispielsweise Cyber-Kriminelle an solche Daten, kann dies verheerende Folgen für Kundinnen und Kunden haben, die ihr Vertrauen in ein Finanzinstitut gesetzt haben, das über keine angemessenen Sicherheitsvorkehrungen verfügt.
Schon seit Jahren sind Finanzinstitute ein beliebtes Ziel für Datenschutzverletzungen und Datendiebstahl. Banken verfügen über einen riesigen Datenschatz, der im Sinne von Big Data von unschätzbarem Wert ist. Mit Informationen über Bankkonten, Kreditkarten, Wertpapierdepots und anderen Daten sind sie denn auch ein begehrtes Ziel für Hacker und Cyber-Kriminelle.
Finanzindustrie ein beliebtes Angriffsziel
Laut einer Studie des Sicherheitsunternehmens Proxyrack, in der Datenschutzverletzungen seit 2004 ausgewertet wurden, ist der Finanzsektor das dritthäufigste Ziel von Hackern. Vor allem die US-Grossbank Citigroup stand in der Vergangenheit im Visier der Angreifer. Sie wurde seit 2004 dreimal Opfer von Hacker-Angriffen mit gut 4,4 Millionen gestohlenen oder kompromittierten Datensätzen.
Häufiger betroffen als Finanzinstitute waren gemäss Proxyrack nur Unternehmen aus der Web- und der Gesundheitsbranche. Die drei häufigsten Ursachen für Sicherheitsvorfälle: Hacker-Angriffe, mangelnde Sicherheitsmassnahmen und verlorene/gestohlene Datenträger.
Zu einem ähnlichen Ergebnis kommt das Cybersicherheits-Unternehmen Flashpoint. Seinen Daten zufolge verzeichnete der Finanzsektor im Jahr 2022 weltweit die zweithöchste Zahl an Datenschutzverletzungen nach staatlichen Behörden. Am stärksten betroffen waren Banken in den USA, gefolgt von Instituten in Argentinien, Brasilien und China. Mindestens 79 US-Finanzinstitute meldeten im vergangenen Jahr Datenschutzverletzungen, von denen 1’000 oder mehr Kunden betroffen waren.
Kosten in Millionenhöhe
Datenlecks und Datenklau können sehr teuer werden. Laut einem IBM-Bericht über die Kosten von Datenschutzverletzungen im Jahr 2022 verzeichnete der US-Finanzsektor nach dem Gesundheitswesen in den Vereinigten Staaten die zweithöchsten Durchschnittskosten pro Sicherheitsvorfall. Während die durchschnittlichen Kosten für Datenschutzverletzungen im Gesundheitswesen ein Rekordhoch von 10,1 Millionen Dollar erreichten (ein Anstieg von fast 42 Prozent seit 2020), betrugen sie bei Finanzunternehmen knapp 6 Millionen Dollar.
Die bisher grösste bekannte Datenpanne bei einem Finanzinstitut betrifft die First American Financial Corp. Im Jahr 2019 entdeckte der Sicherheitsspezialist Brian Krebs 885 Millionen Dokumente von First American, die online veröffentlicht wurden. Diese Dokumente enthielten hochsensible Informationen wie Kontonummern, Kontoauszüge, Steuerunterlagen und Überweisungsbelege. Die Daten von Millionen von Kunden waren frei zugänglich.
Drastische Strafzahlung
Einen Supergau erlebte auch der US-Finanzdienstleister Equifax. Im September 2017 informierte das Unternehmen seine Kunden, dass Cyber-Kriminelle auf 147 Millionen Konten zugegriffen hatten. Equifax hatte bereits einen Monat zuvor von der Sicherheitsverletzung erfahren, es aber versäumt, seine Kunden umgehend zu informieren. Dies führte zu einer drastischen Strafzahlung von 700 Millionen Dollar an die US-Behörden.
Die drittgrösste Datenpanne betrifft ebenfalls ein US-Unternehmen. 2009 gab Heartland Payment Systems bekannt, dass es im Jahr 2008 Opfer einer Sicherheitsverletzung in seinem Verarbeitungssystem geworden war. Ein Webformular auf der Website des Unternehmens ermöglichte unbemerkt den Zugriff auf das Unternehmensnetzwerk. Russische Hacker erlangten Zugang zu mehr als 100 Millionen Kredit- und Debitkartennummern.