Datenleck bei UBS und Pictet: Hacker erbeuten sensible Mitarbeiterinformationen
UBS
Ein gravierender Cyberangriff hat zu einem massiven Datenleck bei mehreren Schweizer Finanzinstituten geführt. Besonders betroffen sind dabei die Großbank UBS sowie die Genfer Privatbank Pictet. Im Zuge des Angriffs gelangten personenbezogene Daten von zehntausenden Mitarbeitenden – darunter auch interne Kontaktdaten hochrangiger Führungskräfte – in Umlauf. Die Daten wurden inzwischen im Darknet veröffentlicht.
Nach Medienberichten, unter anderem der Westschweizer Zeitung Le Temps, umfasst das Leak personenbezogene Informationen zu rund 130.000 UBS-Beschäftigten. In den veröffentlichten Dateien finden sich unter anderem vollständige Namen, geschäftliche E-Mail-Adressen, Festnetz- und Mobilnummern, Funktionsbezeichnungen, Standortkennungen, bevorzugte Sprachen sowie Etagenangaben innerhalb der Bürogebäude. Selbst die interne Durchwahl von UBS-CEO Sergio Ermotti soll Teil der geleakten Daten sein – laut Bank ist die Nummer allerdings nicht von außen erreichbar. Die Privatbank Pictet meldet ebenfalls einen Datenabfluss. Im Zentrum stehen hierbei laut Aussagen der Bank Rechnungsdaten aus den vergangenen fünf Jahren im Zusammenhang mit externen Dienstleistern, darunter IT-Anbieter und Berater. Auch hier sollen keine Kundendaten betroffen sein. Die veröffentlichten Datensätze umfassen rund 230.000 Rechnungspositionen.
Die betroffenen Banken betonten in ersten Stellungnahmen, dass keine kundenbezogenen Informationen kompromittiert worden seien. Dennoch ist das Ausmaß des Leaks beträchtlich und wirft sicherheitsstrategische Fragen auf: Die Veröffentlichung so umfangreicher und strukturierter Mitarbeiterdaten birgt Risiken für gezielte Phishing-Kampagnen, Social Engineering und andere Folgeangriffe. Interne Nummern, Funktionsbezeichnungen und Hierarchiedaten können in falschen Händen erhebliche Schadenspotenziale entfalten. UBS erklärte, nach Bekanntwerden des Vorfalls rasch reagiert und interne Maßnahmen zur Schadensbegrenzung eingeleitet zu haben. Auch Pictet betonte, sämtliche erforderlichen Schritte in Abstimmung mit den zuständigen Behörden unternommen zu haben. Eine direkte Stellungnahme zu den operativen Auswirkungen oder möglichen Reputationsschäden gab es dagegen nicht.
Angriff auf Beschaffungsdienstleister Chain IQ
Verursacht wurde der Datenabfluss durch einen Cyberangriff auf den Beschaffungsdienstleister Chain IQ, ein in Baar ansässiges Unternehmen mit globaler Präsenz, das 2013 als Spin-off der UBS gegründet wurde. Chain IQ erbringt für rund 60 Unternehmen weltweit Dienstleistungen im Bereich der indirekten Beschaffung, darunter IT, Infrastruktur, Facility Services und Personalmanagement. Der Angriff ereignete sich laut Medienberichten in der vergangenen Woche.
Chain IQ bestätigte den Vorfall und teilte mit, dass insgesamt rund 910 Gigabyte an Daten entwendet wurden – verteilt auf über 1,9 Millionen Dateien. Neben UBS und Pictet sind auch weitere Unternehmen betroffen. Insgesamt sollen 20 Firmen Ziel des Angriffs gewesen sein. Laut Chain IQ wurden die Daten zwischenzeitlich im Darknet veröffentlicht. In Zusammenarbeit mit den Sicherheitsunternehmen InfoGuard und Kyndryl seien anschließend Maßnahmen zur Eindämmung ergriffen worden. Der Zugriff auf die Daten sei am Freitagvormittag gestoppt worden. Die Behörden wurden informiert, und betroffene Kunden kontaktiert.
Auch wenn scheinbar keine Kundendaten betroffen sind, ist der Vorfall ein klares Beispiel dafür, wie Cyberkriminelle durch Angriffe auf Dritte – sogenannte Supply-Chain-Attacken – wertvolle Informationen erlangen können. Was viele unterschätzen: Auch Angriffe, bei denen scheinbar keine Kundendaten kompromittiert werden, können Teil größerer, koordinierter Kampagnen sein.”
Paulius Vanagas, Country Manager A-CH, Nord-VPN
Tätergruppe „World Leaks“ bekennt sich zur Tat
Für den Angriff verantwortlich zeigt sich die Ransomware-Gruppe World Leaks, die sich bereits zu mehreren bekannten Cyberangriffen bekannt hat. Die Gruppe verfolgt nach Einschätzung von Sicherheitsexperten inzwischen einen neuen Ansatz: Sie verzichtet zunehmend auf klassische Datenverschlüsselung und setzt stattdessen auf reine Datenerpressung durch Veröffentlichung. Ob es im vorliegenden Fall zu einer Lösegeldforderung kam, wurde von den betroffenen Unternehmen nicht kommentiert. Allerdings erfolgt bekanntermaßen bei professionellen Angreifern häufig nur im Falle einer Nichtzahlung eine Veröffentlichung, weshalb davon ausgegangen werden kann, dass entweder keine Einigung erzielt wurde oder die Veröffentlichung Teil eines gestaffelten Druckszenarios ist.
Der Vorfall macht erneut deutlich, wie anfällig komplexe Strukturen in der Lieferkette der Finanzwelt sind. Zwar verfügen Banken über ausgefeilte Sicherheitsvorkehrungen, doch geraten externe Dienstleister immer häufiger ins Visier von Cyberangriffen – insbesondere dann, wenn sie eine Verbindung zu internen Prozessen herstellen. Dass es sich bei Chain IQ nicht um ein typisches IT-Unternehmen, sondern um einen spezialisierten Beschaffungsdienstleister handelt, verdeutlicht die enorme Bandbreite möglicher Angriffsziele.
Nord-VPN
Im Finanzsektor sind digitale Netzwerke hochkomplex und stark verflochten. Ein einziger Schwachpunkt kann die gesamte Infrastruktur gefährden. Daher ist es entscheidend, Sicherheitsprozesse kontinuierlich zu überwachen und auf die sich immer wieder verändernden Bedrohungslagen anzupassen.”
Marijus Briedis, CTO Nord-VPN
Interne Sicherheitsvorgaben müssen auf den Prüfstand
Für die betroffenen Banken hat das Ereignis weitreichende Auswirkungen – nicht nur in Bezug auf den laufenden Betrieb, sondern auch hinsichtlich regulatorischer Vorgaben, Vertrauensfragen und interner Sicherheitsvorgaben. Selbst wenn keine sensiblen Kundendaten kompromittiert wurden, wirft der Vorfall kritische Fragen zur Datensicherheit, zu Zugriffsbeschränkungen und zur Überprüfung externer Partner auf. Der Datenabfluss bei UBS, Pictet und weiteren Schweizer Finanzunternehmen zeigt deutlich, dass Angriffe auf die Lieferkette kein theoretisches Szenario mehr sind, sondern reale Schwachstellen aufdecken – mit erheblichen Folgen für Sicherheit, Reputation und Regulatorik. Für Finanzinstitute wird es damit noch dringlicher, Drittanbieter konsequent in das eigene Cybersecurity-Management zu integrieren und verbindliche Maßstäbe für Risikoanalysen externer Dienstleister zu etablieren. Der Vorfall sollte daher nicht nur die betroffenen Institute wachrütteln, sondern als Warnsignal für die gesamte Branche verstanden werden.tw
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/228914
Schreiben Sie einen Kommentar