Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise

Ende 2023 kam es zu einer großen Disruption auf dem 26 Billionen US-Dollar schweren Markt für US-Staatsanleihen. Der Bankhandel kam zum Erliegen. Die Kommunikationssysteme brachen zusammen. Milliarden von Dollar standen auf dem Spiel.  

Die Quelle? Ein Ransomware-Angriff zielte auf eine der größten Banken der Welt ab: die Industrial and Commercial Bank of China (ICBC).  

Weniger als ein Jahr später sah sich die Bank mit einem weiteren Verstoß konfrontiert – diesmal in ihrer Londoner Filiale.  

"ICBC sah sich mit dem Schlimmsten aus beiden Welten konfrontiert", erklärt Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio. "Im Jahr 2023 kam es zu Serviceunterbrechungen, gefolgt von einer Datenschutzverletzung im Jahr 2024."

Beide Vorfälle deckten systemische Schwachstellen im globalen Bankgeschäft auf und warfen Fragen über die Widerstandsfähigkeit des Finanzsektors gegenüber ausgeklügelten Cyberbedrohungen auf.

Ein genauerer Blick: Anatomie von zwei Verstößen  

November 2023: Ransomware-Angriff auf ICBC in den USA

Im November 2023 startete die LockBit-Gruppe ihren kalkulierten Ransomware-Angriff auf die US-amerikanische Broker-Dealer-Einheit der ICBC.  

Dieser Streik störte wichtige Systeme, die für die Verwaltung von US-Staatsanleihen und Repo-Finanzierungen von entscheidender Bedeutung sind.  

Infolgedessen wurden die Handelsabfertigungen gestoppt und Zahlungsverzögerungen wirkten sich auf dem gesamten Markt aus.

Wichtige Details zu den operativen und finanziellen Auswirkungen

• Systemabschaltungen: Kernplattformen für die Abwicklung von Zahlungen und das Clearing von Geschäften waren tagelang nicht zugänglich.
• Notfallmaßnahmen: ICBC führte Kapital in seine US-Abteilung ein, um den Betrieb zu stabilisieren, nachdem sie Schulden in Höhe von 9 Mrd. $ bei BNY Mellon aufgenommen hatte, was mehr war als das Nettokapital der Division.
• Problemumgehungen: Bankmitarbeiter verließen sich auf USB-Laufwerke, um Trades manuell zu verarbeiten. Während der Krise nutzten sie Gmail anstelle ihrer Unternehmens-E-Mails, was Sicherheitsbedenken aufwarf.​

Die Antwort der SEC

Die U.S. Securities and Exchange Commission (SEC) untersuchte den ICBC-Verstoß 2023 und stellte Probleme mit der Führung von Aufzeichnungen und der Kommunikation fest.  

Sie verhängten keine Geldstrafen. Aber der Vorfall machte deutlich: Operative Resilienz ist nicht verhandelbar.

"Die Reaktion der SEC war interessant – ein kleiner Schlag auf das Handgelenk und sagte: 'Lasst das nicht noch einmal passieren.' Aber auch die Transparenz und die schnelle Reaktion der ICBC anerkennen." – Raghu Nandakumara

September 2024: Datenpanne in der Londoner Niederlassung der ICBC

Weniger als ein Jahr später drang die Ransomware-Gruppe Hunters International in die Londoner Niederlassung der ICBC ein.  

Die Angreifer stahlen 6,6 Terabyte an Daten, darunter sensible Kundeninformationen und interne Betriebsdateien.

"Die Herausforderung bei der Datenexfiltration ist das Unbekannte – wie werden Angreifer diese Daten in Zukunft verwenden?" – Raghu Nandakumara

Wichtige Details zum ICBC-Vorfall 2024

• Lösegeldforderungen: Die Angreifer drohten mit der Freigabe der Daten, wenn ihre finanziellen Forderungen nicht erfüllt würden.
• Weltweite Reputation: Die Sicherheitsverletzung verdeutlichte die systemischen Schwachstellen der ICBC und warf Fragen zur grenzüberschreitenden Betriebssicherheit auf.

"Sowohl die ICBC-Verstöße 2023 als auch 2024 haben kritische Lücken in ihren Sicherheitsvorkehrungen aufgedeckt – und gezeigt, dass sich Veränderungen trotz der Verpflichtung zur Verbesserung nicht über Nacht vollziehen." – Raghu Nandakumara

Ist das globale Banking gefährdet?

Wie konnte eine Schwäche in einer Filiale eine ganze Institution – und ihre globalen Aktivitäten – gefährden?

Die ICBC-Verstöße, zuerst in den USA und dann in London, zeigten genau, wie: Die Angriffe störten den Betrieb, schädigten den Ruf der Bank und deckten kritische Lücken in ihren Cybersicherheitsmaßnahmen auf.  

Raghu erklärt: "Die ICBC-Verstöße haben eine harte Wahrheit gezeigt: Eine einzige Schwachstelle in einem Zweig oder System kann das gesamte Netzwerk gefährden."  

Beide ICBC-Verstöße zeigten große Schwächen in der Funktionsweise ihrer Finanzoperationen auf:

• Systemabhängigkeiten: Der US-Angriff hat gezeigt, wie fragil vernetzte Handelssysteme sind, bei denen ein Single Point of Failure die Märkte weltweit stören kann.
• Grenzüberschreitende Inkonsistenzen: Der Londoner Verstoß zeigte Lücken in harmonisierten Cybersicherheitsprotokollen.
• Krisenschwachstellen: Beide Vorfälle zeigten die operationellen Risiken der Verwendung temporärer, unsicherer Lösungen wie manueller Handel oder ungesicherter E-Mail-Plattformen.

"Gehen Sie davon aus, dass die Sicherheitsverletzung die Realität ist. Angriffe sind unvermeidlich. Die Verstöße gegen die ICBC sind ein Beispiel dafür." – Raghu Nandakumara

Verfolgung schwerwiegender finanzieller Verstöße

Die Sicherheitsverletzungen der ICBC sind Teil eines wachsenden Trends von Cyberangriffen auf Finanzinstitute.  

Zu den wichtigsten Vorfällen gehören:

• 2015 Carbanak Gang: Diese Cybercrime-Gruppe stahl über 1 Milliarde US-Dollar, indem sie Malware einsetzte, um Banken zu hacken und Kontostände zu verändern.
• 2016 Bangladesh Bank Heist: Hacker stahlen 81 Millionen US-Dollar vom Konto der Bangladesh Bank bei der Federal Reserve Bank, indem sie Schwachstellen im SWIFT-Zahlungssystem ausnutzten.
• 2017 Equifax Data Breach: Dies war eine der größten Datenschutzverletzungen in der Geschichte, von der 147 Millionen Menschen betroffen waren. Hacker fanden eine Schwachstelle in der Webanwendung von Equifax und nutzten sie, um Zugriff auf sensible persönliche Informationen zu erhalten.
• Angriff auf die Cosmos Bank 2018: Cyberkriminelle stahlen 13,5 Millionen US-Dollar und hackten den Geldautomatenserver der Bank, um gefälschte Transaktionen auszulösen.
• 2019 Capital One Data Breach – Ein ehemaliger Mitarbeiter nutzte eine falsch konfigurierte Firewall aus, um auf die persönlichen Daten von mehr als 100 Millionen Kunden zuzugreifen.
• Finastra Ransomware-Angriff 2020: Der Fintech-Riese wurde von einem Ransomware-Angriff getroffen, der seine Dienste und seinen Betrieb störte.
• CNA Financial Ransomware-Angriff 2021: Eine der größten US-Versicherungsgesellschaften zahlte 40 Millionen US-Dollar, nachdem ein Cyberangriff ihre Daten verschlüsselt hatte.
• 2022 Ronin Network Hack: Hacker stahlen 625 Millionen US-Dollar aus dem Blockchain-basierten Gaming-Netzwerk, was sich auf Finanztransaktionen im Ökosystem auswirkte.
• ICBC-Ransomware-Angriff 2023: Die LockBit-Gruppe hat die US-Finanzdienstleistungssparte von ICBC mit Ransomware angegriffen und den Handel mit US-Staatsanleihen gestört.  
• 2023 MOVEit Transfer-Datenschutzverletzung: Eine Schwachstelle in der MOVEit Transfer-Software legte sensible Daten von mehreren Finanzinstituten offen.
• 2024 ICBC London Ransomware-Angriff: Die Ransomware-Gruppe Hunters International stahl 6,6 Terabyte an Daten aus der Londoner Niederlassung von ICBC und drohte, sie freizugeben, wenn ihre Forderungen nicht erfüllt würden.
• 2024 Cloud IT Service Provider Attack: Ein Ransomware-Angriff auf einen Cloud-IT-Anbieter verursachte Ausfälle bei 60 US-Kreditgenossenschaften, was die Risiken verdeutlicht, die mit der Abhängigkeit von Dritten verbunden sind. ‍

Der Banküberfall in Bangladesch 2016: Ein Wendepunkt

• Was ist passiert: Im Februar 2016 nutzten Cyberkriminelle Schwachstellen im SWIFT-Zahlungssystem aus, um 81 Millionen US-Dollar vom Konto der Bangladesh Bank bei der Federal Reserve Bank of New York zu stehlen.
• Wie sie es gemacht haben: Hacker installierten Malware, um die Systeme der Bank auszuspionieren. Sie beobachteten SWIFT-Transaktionen, manipulierten sie und schickten betrügerische Überweisungsanfragen. Sie zielten auf fast 1 Milliarde US-Dollar ab, aber ein Tippfehler in einer Anfrage löste Verdacht aus und stoppte den Angriff vorzeitig.
• Auswirkungen: Der Raubüberfall führte zu erheblichen finanziellen Verlusten und Reputationsschäden, wodurch Schwachstellen in Interbanken-Überweisungsprotokollen und die Notwendigkeit stärkerer Sicherheitsmaßnahmen aufgedeckt wurden.
• Wichtige Erkenntnisse:
  • Sichere Zahlungssysteme sind von entscheidender Bedeutung: Interbankensysteme wie SWIFT erfordern robuste Sicherheitsprotokolle, um Manipulationen zu verhindern.
  • Eine ständige Überwachung ist unerlässlich: Eine frühzeitige Erkennung durch Überwachung und Anomaliewarnungen hätte die Auswirkungen verringern können.

Wie DORA die Cyber-Resilienz für den Finanzsektor gestaltet

Der EU-Rechtsakt zur digitalen Betriebsstabilität (DORA) bietet einen Rahmen für die Behebung vieler Schwachstellen, die bei diesen Verstößen aufgedeckt wurden.  

DORA betont:

• Prüfung der Belastbarkeit: Sicherstellen, dass Systeme ausgeklügelten Cyberangriffen standhalten können​  
• Meldung von Vorfällen: Schaffung von Transparenz und Rechenschaftspflicht für Verstöße​  
• Proaktives Risikomanagement: Identifizierung und Minderung betrieblicher Risiken, bevor es zu Vorfällen kommt​  

"Das Ziel von Regulierungen wie DORA ist einfach: Cyberangriffe daran zu hindern, großen Schaden anzurichten – sei es für ein einzelnes Unternehmen oder das gesamte Finanzsystem." – Raghu Nandakumara  

Die Serie von Cyberangriffen auf den Finanzsektor von 2015 bis 2024 unterstreicht zwei dringende Notwendigkeiten: starke regulatorische Rahmenbedingungen und eine größere Cyberresilienz bei Finanzdienstleistern und ihren wichtigsten Dienstleistern.

Sind Sie daran interessiert, mehr über DORA-Compliance zu erfahren? Laden Sie unser kostenloses E-Book herunter: Strategien für DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung.

Quellen:

• Reuters
• Das Register