Zwei Sicherheitslücken, eine Bank: Lehren aus der ICBC-Cyberkrise

Ende 2023 breitete sich eine große Störung auf dem 26 Billionen Dollar schweren US-Finanzmarkt aus. Der Bankhandel wurde eingestellt. Die Kommunikationssysteme sind zusammengebrochen. Milliarden von Dollar waren gefährdet.

Die Quelle? Ein Ransomware-Angriff zielte auf eine der weltweit größten Banken ab: die Industrial and Commercial Bank of China (ICBC).

Weniger als ein Jahr später sah sich die Bank mit einem weiteren Verstoß konfrontiert — diesmal in ihrer Londoner Filiale.

„ICBC sah sich mit dem Schlimmsten aus beiden Welten konfrontiert“, erklärt Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio. „Im Jahr 2023 kam es zu Serviceunterbrechungen, gefolgt von einer Datenschutzverletzung im Jahr 2024.“

Beide Vorfälle deckten systemische Schwachstellen im globalen Bankbetrieb auf und warfen Fragen zur Widerstandsfähigkeit des Finanzsektors gegenüber ausgeklügelten Cyberbedrohungen auf.

Ein genauerer Blick: Anatomie zweier Vorfälle

November 2023: ICBC-Ransomware-Angriff in den USA

Im November 2023 wurde der LockBit-Gruppe startete seinen kalkulierten Ransomware-Angriff auf die US-Broker-Dealer-Einheit von ICBC.

Dieser Streik störte wichtige Systeme, die für die Verwaltung des Handels mit US-Staatsanleihen und die Repo-Finanzierung von entscheidender Bedeutung sind.

Infolgedessen wurden Handelsabfertigungen eingestellt, und Zahlungsverzögerungen breiteten sich auf dem gesamten Markt aus.

Eckdaten zu den operativen und finanziellen Auswirkungen

• ‍Systemabschaltungen: Kernplattformen für die Zahlungsabwicklung und das Clearing von Geschäften waren tagelang nicht zugänglich.
• ‍Notfallmaßnahmen: ICBC investierte Kapital in seine US-Abteilung, um den Betrieb zu stabilisieren, nachdem es gegenüber BNY Mellon Schulden in Höhe von 9 Milliarden US-Dollar aufgenommen hatte, was mehr war als das Nettokapital der Division.
• ‍Problemumgehungen: Bankangestellte verließen sich auf USB-Laufwerke, um Geschäfte manuell abzuwickeln. Während der Krise verwendeten sie Gmail anstelle ihrer Unternehmens-E-Mails, was Sicherheitsbedenken aufwarf.

Die Antwort der SEC

Die U.S. Securities and Exchange Commission (SEC) untersuchte den ICBC-Verstoß von 2023 und stellte Probleme mit der Führung von Aufzeichnungen und der Kommunikation fest.

Sie haben keine Bußgelder verhängt. Der Vorfall machte jedoch deutlich: Operative Widerstandsfähigkeit ist nicht verhandelbar.

„Die Reaktion der SEC war interessant — eine Art Eins auf den Deckel, zu sagen: 'Lassen Sie das nicht noch einmal passieren'. Aber auch in Anerkennung der Transparenz und der schnellen Reaktion der ICBC. „— Raghu Nandakumara

September 2024: Datenschutzverletzung der ICBC-Filiale in London

Weniger als ein Jahr später drang die Ransomware-Gruppe Hunters International in die Londoner Niederlassung von ICBC ein.

Angreifer stahlen 6,6 Terabyte an Daten, darunter vertrauliche Kundeninformationen und interne Betriebsdateien.

„Die Herausforderung bei der Datenexfiltration ist das Unbekannte — wie werden Angreifer diese Daten in Zukunft nutzen?“ — Raghu Nandakumara

Wichtige Details des ICBC-Vorfalls 2024

• Lösegeldforderungen: Die Angreifer drohten mit der Veröffentlichung der Daten, falls ihre finanziellen Forderungen nicht erfüllt würden.
• ‍Weltweiter Ruf: Der Verstoß verdeutlichte die systemischen Schwachstellen der ICBC und warf Fragen zu ihrer grenzüberschreitenden Betriebssicherheit auf.

„Sowohl die ICBC-Verstöße 2023 als auch 2024 haben kritische Lücken in ihren Sicherheitsvorkehrungen aufgedeckt — was zeigt, dass trotz der Zusagen zur Verbesserung Veränderungen nicht über Nacht geschehen.“ — Raghu Nandakumara

Ist das globale Bankwesen gefährdet?

Wie könnte die Schwäche einer Filiale eine ganze Institution — und ihre globalen Aktivitäten — gefährden?

Die ICBC-Angriffe Vorfälle zuerst in den USA und dann in London, zeigten genau, wie: Die Angriffe störten den Betrieb, schädigten den Ruf der Bank und deckten kritische Lücken in ihrer Cybersicherheitsabwehr auf.

Raghu erklärt: „Die ICBC-Verstöße haben eine harte Wahrheit gezeigt: Eine einzige Schwachstelle in einer Filiale oder einem System kann das gesamte Netzwerk gefährden.“

Bei beiden ICBC-Verstößen wurden erhebliche Schwächen in der Funktionsweise ihrer Finanzgeschäfte aufgedeckt:

• Systemabhängigkeiten: Der Angriff der USA hat gezeigt, wie fragil miteinander verbundene Handelssysteme sind, bei denen ein einziger Ausfallpunkt die Märkte weltweit erschüttern kann.
• ‍Grenzüberschreitende Inkonsistenzen: Der Verstoß in London zeigte Lücken in den harmonisierten Cybersicherheitsprotokollen.
• ‍Krisenanfälligkeiten: Beide Vorfälle zeigten die operationellen Risiken, die der Einsatz temporärer, unsicherer Lösungen wie manueller Handel oder ungesicherter E-Mail-Plattformen mit sich bringt.

„Gehen Sie davon aus, dass ein Verstoß Realität ist. Angriffe sind unvermeidlich. Die ICBC-Verstöße sind ein Beispiel dafür. „— Raghu Nandakumara

Verfolgung schwerwiegender Finanzverstöße

Die Vorfälle von ICBC sind Teil eines zunehmenden Trends von Cyberangriffen gegen Finanzinstitute.

Zu den wichtigsten Vorfällen gehören:

• 2015 Carbanak-Bande: Diese Cyberkriminelle hat über 1 Milliarde US-Dollar gestohlen, indem sie mithilfe von Malware Banken hackte und Kontostände änderte.
• 2016 Banküberfall in Bangladesch: Hacker haben 81 Millionen US-Dollar vom Konto der Bangladesh Bank bei der Federal Reserve Bank gestohlen, indem sie Sicherheitslücken im SWIFT-Zahlungssystem ausnutzten.
• 2017 Equifax-Datenschutzverletzung: Dies war eine der größten Datenschutzverletzungen in der Geschichte, von der 147 Millionen Menschen betroffen waren. Hacker fanden eine Schwachstelle in der Webanwendung von Equifax und nutzten sie, um Zugriff auf vertrauliche persönliche Daten zu erhalten.
• 2018 Angriff auf die Cosmos Bank: Cyberkriminelle haben 13,5 Millionen US-Dollar gestohlen und den ATM-Server der Bank gehackt, um gefälschte Transaktionen auszulösen.
• 2019 Capital One Datenschutzverletzung: Ein ehemaliger Mitarbeiter nutzte eine falsch konfigurierte Firewall aus, um auf die persönlichen Daten von mehr als 100 Millionen Kunden zuzugreifen.
• 2020 Finastra Ransomware-Angriff: Der Fintech-Riese wurde von einem Ransomware-Angriff getroffen, der seine Dienste und Abläufe störte.
• 2021 CNA Financial Ransomware-Angriff: Eine der größten US-Versicherungsgesellschaften zahlte 40 Millionen US-Dollar, nachdem ein Cyberangriff ihre Daten verschlüsselt hatte.
• 2022 Ronin Netzwerk-Hack: Hacker haben 625 Millionen US-Dollar aus dem Blockchain-basierten Gaming-Netzwerk gestohlen, was sich auf Finanztransaktionen im Ökosystem ausgewirkt hat.
• 2023 ICBC-Ransomware-Angriff: Die LockBit-Gruppe griff die US-Finanzdienstleistungsabteilung von ICBC mit Ransomware an und störte damit den Handel mit US-Staatsanleihen.
• 2023 Datenschutzverletzung bei MOVEit Transfer: Durch einen Fehler in der MOVEit Transfer-Software wurden sensible Daten mehrerer Finanzinstitute offengelegt.
• 2024 ICBC-Ransomware-Angriff in London: Die Ransomware-Gruppe Hunters International stahl 6,6 Terabyte an Daten aus der Londoner Niederlassung von ICBC und drohte, sie zu veröffentlichen, falls ihre Forderungen nicht erfüllt würden.
• 2024 Angriff auf Cloud-IT-Dienstleister: Ein Ransomware-Angriff auf einen Cloud-IT-Anbieter führte zu Ausfällen bei 60 US-Kreditgenossenschaften, was die Risiken verdeutlichte, wenn man sich auf Dritte verlässt. ‍

Der Banküberfall in Bangladesch 2016: Ein Wendepunkt

• Was ist passiert: Im Februar 2016 nutzten Cyberkriminelle Schwachstellen im SWIFT-Zahlungssystem aus, um 81 Millionen US-Dollar von Konto der Bangladesh Bank bei der Federal Reserve Bank von New York.
• ‍Wie sie es gemacht haben: Hacker installierten Schadsoftware, um die Systeme der Bank auszuspionieren. Sie beobachteten SWIFT-Transaktionen, manipulierten sie und verschickten betrügerische Überweisungsanfragen. Sie strebten fast 1 Milliarde US-Dollar an, aber ein Tippfehler in einer Anfrage weckte Verdacht und stoppte den Angriff frühzeitig.
• ‍Auswirkung: Der Überfall führte zu erheblichen finanziellen Verlusten und Reputationsschäden, wodurch Schwächen in den Interbanken-Überweisungsprotokollen und die Notwendigkeit stärkerer Sicherheitsmaßnahmen aufgedeckt wurden.
• ‍Die wichtigsten Erkenntnisse:
  • ‍Sichere Zahlungssysteme sind von entscheidender Bedeutung: Interbankensysteme wie SWIFT benötigen robuste Sicherheitsprotokolle, um Manipulationen zu verhindern.
  • ‍Ständige Überwachung ist unerlässlich: Eine frühzeitige Erkennung durch Überwachung und Anomaliewarnungen hätte die Auswirkungen verringern können.

Wie DORA die Cyber-Resilienz für den Finanzsektor gestaltet

Die der EU Gesetz über digitale betriebliche Resilienz (DORA) bietet einen Rahmen für die Behebung vieler Sicherheitslücken, die bei diesen Sicherheitsverletzungen aufgedeckt wurden.

DORA betont:

• Resilienztests: Sicherstellen, dass Systeme ausgeklügelten Cyberangriffen standhalten
• ‍Meldung von Vorfällen: Schaffung von Transparenz und Rechenschaftspflicht bei Vorfälle
• ‍Proaktives Risikomanagement: Identifizierung und Minderung betrieblicher Risiken, bevor es zu Zwischenfällen kommt

„Das Ziel von Vorschriften wie DORA ist einfach: zu verhindern, dass Cyberangriffe großen Schaden anrichten — egal, ob es sich um ein einzelnes Unternehmen oder das gesamte Finanzsystem handelt.“ — Raghu Nandakumara

Angesichts der Weiterentwicklung der Cyberkriminellen zeigt die Serie von Cyberangriffen auf den Finanzsektor von 2015 bis 2024 zwei dringende Bedürfnisse: starke regulatorische Rahmenbedingungen und eine größere Cyberresistenz innerhalb der Finanzdienstleister und ihrer wichtigsten Dienstleister.

‍Möchten Sie mehr über DORA Compliance erfahren? Laden Sie unser kostenloses eBook herunter, Strategien für die DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung.

Quellen: ‍

• ‍Reuters ‍
• Das Register