Hacker greifen V-Bank über IT-Dienstleister an

Zu keinem Zeitpunkt hatten die Täter Zugriff auf Konten der V-Bank. — V-Bank

Die Münchner V-Bank teilt mit, Opfer eines Hackerangriffs geworden zu sein. Nach Angaben des Instituts erfolgte der unbefugte Datenzugriff infolge einer Attacke auf einen externen IT-Dienstleister. Dabei wurden personenbezogene Daten von Kundinnen und Kunden sowie Geschäftspartnern kompromittiert. Doch noch ist die wichtigste Frage nicht beantwortet…

Die Bank betont, dass ihre Sicherheitssysteme gegriffen hätten und zu keinem Zeitpunkt ein Zugriff auf Konten oder Kontozugangsdaten möglich gewesen sei. Auch Benutzernamen, Passwörter und weitere Legitimationsdaten seien nicht betroffen gewesen. Zudem habe es keinen Abfluss von Geldern gegeben. Der Geschäftsbetrieb laufe uneingeschränkt weiter, sämtliche IT-Systeme seien stabil und voll funktionsfähig. Nach Angaben der V-Bank arbeiten derzeit interne und externe Spezialisten gemeinsam an der vollständigen Aufklärung des Vorfalls. Die laufenden forensischen Untersuchungen sollen den genauen Umfang des Datenabflusses und den Ablauf des Angriffs rekonstruieren. Die Bank kündigte an, betroffene Kunden und Geschäftspartner fortlaufend sowie transparent über den aktuellen Stand zu informieren.

Die Sicherheitssysteme haben gegriffen. Zu keinem Zeitpunkt hatten die Täter Zugriff auf Konten der V-Bank. (…) Bedauerlicherweise ist es den Tätern jedoch gelungen, einzelne personenbezogene Daten von Kundinnen, Kunden und Geschäftspartnern zu entwenden.“

Aus einer Mitteilung der V-Bank München

Bislang wohl kein Datenmissbrauch – Ermittlungen dauern an

Hacker, Schlepper, Banking-Trojaner — Bigstock

Die Täter verschafften sich den Angaben zufolge nicht direkt Zugang zur Infrastruktur der V-Bank, sondern nutzten den Cyberangriff auf einen externen IT-Dienstleister als Einfallstor. Der Vorfall verdeutlicht die wachsenden Risiken entlang der digitalen Lieferkette, da auch ausgelagerte IT-Prozesse zu potenziellen Angriffspunkten für Cyberkriminelle werden können. Die V-Bank zählt zu den führenden Depotbanken für unabhängige Vermögensverwalter im deutschsprachigen Raum, ist also eine dieser Banken, die für zahlreiche Depots als Dienstleister fungiert. Sie verwaltet rund 73.000 Konten und Depots mit einem Anlagevolumen von etwa 66 Milliarden Euro und betreut neben unabhängigen Vermögensverwaltern auch Family Offices und Stiftungen.

Bislang liegen nach Angaben des Instituts keine Hinweise darauf vor, dass die entwendeten personenbezogenen Daten missbräuchlich verwendet wurden. Die Ermittlungen dauern jedoch an. Aktuell ist noch nicht bekannt, um welchen Dienstleister es sich handelt und wie genau der Datenabfluss stattgefunden hat.

Der Vorfall zeigt einmal mehr, dass die größten Risiken für Finanzinstitute nicht zwingend in den eigenen Rechenzentren entstehen müssen. Denn immer häufiger geraten externe IT-Dienstleister in den Fokus professioneller Angreifer, weil sie als Teil der digitalen Lieferkette Zugang zu sensiblen Informationen zahlreicher Unternehmen besitzen. Gelingt dort ein Einbruch, können die Auswirkungen weit über den eigentlichen Dienstleister hinausreichen. Für Banken und andere regulierte Institute rückt damit die Absicherung ihrer ausgelagerten IT-Prozesse zunehmend in den Mittelpunkt des Risikomanagements.tw