wechselnd bewölkt
DE | FR
Digital
Schweiz

Finaport-Hack betrifft Finanzinstitute und vermögende Kunden weltweit

Nach einem Hackerangriff hat die Ransomware-Bande ALPHV im Februar 2023 Daten der Schweizer Finanzdienstleisterin Finaport geleakt.
Kriminelle Hacker haben massenhaft gestohlene Daten im Darknet veröffentlicht.Bild: watson / Shutterstock
Analyse

Daten-Leak bei Finaport – warum dieser Ransomware-Fall so brisant ist

Die Schweizer Vermögensverwalterin Finaport hat weiter mit den Folgen einer Ransomware-Attacke zu kämpfen. Dabei geht es auch um besonders heikle Daten, wie watson-Recherchen zeigen.
15.02.2023, 15:1718.12.2023, 15:57
Mehr «Digital»

Die Ransomware-Bande ALPHV kennt keine Gnade gegenüber ihren zahlungsunwilligen Opfern. Das musste nun die Schweizer Vermögensverwalterin Finaport herausfinden.

Am 5. Februar veröffentlichten die Internet-Erpresser auf ihrer Leak-Seite im Darknet eine grosse Menge an Daten, die sie mutmasslich bei einem Hackerangriff erbeutet haben: Laut den Angaben im Darknet sind es 1,2 Terabyte.

Als watson den Hackerangriff und das damit verbundene Leak am 7. Februar publik machte, schrieben wir von einer potenziell gravierenden Ransomware-Attacke. Unsere Recherchen zeigen, dass für die vermögenden Kundinnen und Kunden, aber auch für Geschäftspartner und Banken im Inland und Ausland Grund zur Sorge besteht.

watson hat juristischen Rat eingeholt und verzichtet auf eine detaillierte Berichterstattung zum Leak. Denn seit 2015 droht Schweizer Journalistinnen und Journalisten ein Strafverfahren, wenn sie über geleakte Bankdaten schreiben.

Im Folgenden geht der watson-Redaktor auf die wichtigsten Fragen ein, die für die Öffentlichkeit relevant sind. Und das betroffene Unternehmen nimmt Stellung.

Warum berichtet watson erneut über den Fall?

Wegen der potenziellen Tragweite.

«Es wurden in erheblichem Umfang Personendaten über Kunden und Mitarbeitende gestohlen»
Fabian Jenny, CEO

Auf der LinkedIn-Seite von Finaport heisst es:

«Wir arbeiten immer im Interesse unserer Kunden – Punkt. Unser Versprechen ist es, vollen Einblick in das zu gewähren, was wir mit ihrem Geld tun, und welche Produkte und Dienstleistungen wir nutzen. Aus diesem Grund vertrauen uns Anleger aus aller Welt Milliarden von Dollar an.»
quelle: linkedin (aus dem Englischen übersetzt)

Der Internetauftritt der Firma ist über eine Woche nach Bekanntwerden des Cyberangriffs nicht öffentlich erreichbar. Und weder bei LinkedIn noch auf einer anderen Plattform informiert das Unternehmen über den Datenabfluss.

Für watson stellte sich die Frage, ob die von dem Leak betroffenen Personen und Institutionen im In- und Ausland gewarnt wurden. Ob sie sich der Risiken und Gefahren bewusst sind, die nun bestehen: Heikle Informationen könnten schnell in falsche Hände fallen – und es ist zu befürchten, dass sie für weitere, gezielte Angriffe eingesetzt werden.

Wie der Geschäftsführer von Finaport, der frühere UBS-Banker Fabian Jenny, gegenüber watson erklärt, hat das Unternehmen seine Krisenkommunikation hochgefahren.

In einer ersten Stellungnahme hatte es geheissen, «die zentralen Kundendatenbanken der Schweizer und Liechtensteiner Geschäftseinheiten» seien nicht betroffen. An dieser Darstellung hält das Unternehmen fest.

Auf Nachfrage erklärt der Finaport-CEO:

«Es wurden trotzdem in erheblichem Umfang Personendaten über Kunden und Mitarbeitende gestohlen. Da wir Dritten, welche die gestohlenen Daten in missbräuchlicher Weise nutzen könnten, die Arbeit nicht erleichtern wollen, äussern wir uns gegenüber den Medien und der Öffentlichkeit dazu nicht näher. Wir wollen ja keine Suchanleitung publizieren.»

Was macht die Angreifer so gefährlich?

Die Ransomware-Bande, die hinter dem «erfolgreichen» Hackerangriff auf Finaport steht, hat wegen ihres perfiden Vorgehens wiederholt für Schlagzeilen gesorgt.

ALPHV zählt zu den aktivsten und gefährlichsten Gruppierungen, die «Ransomware as a Service» (RaaS) anbieten. Die Anführer werden in Russland vermutet, sie kooperieren angeblich nur mit russischsprachigen «Partnern», wie ein hochrangiges Mitglied in einem früheren Interview erklärte.

Im Mai 2022 legten die Hacker das österreichische Bundesland Kärnten fast komplett lahm. Sämtliche IT-Systeme der öffentlichen Verwaltung mussten herunter­gefahren werden und es herrschte während Tagen Notbetrieb, um die unverzichtbaren Dienstleistungen zu erbringen.

ALPHV verfügt aber nicht nur über das Know-how und die Tools, um sich über längere Zeit unbemerkt in fremden Netzwerken zu bewegen, möglichst viele wertvolle Daten zu stehlen und anschliessend die Systeme mit Malware lahmzulegen. Die Bande versucht auch, zahlungsunwilligen Opfern den grösstmöglichen Schaden zuzufügen.

Erbeutete Daten werden nicht einfach als komprimierte Dateien über einen Link im Darknet zugänglich gemacht: Vielmehr betreiben die Kriminellen neben der normalen Leak-Seite, wo sie ihre Opfer an den Pranger stellen, ein eigentliches Online-Archiv mit einer mächtigen Suchfunktion. Dort lässt sich gezielt nach Dateitypen und Inhalten suchen.

Die Kriminellen selbst liessen 2022 verlauten, dass sie diese erweiterte Suchfunktion eingeführt hätten, um die von fremden Servern gestohlenen Daten «für die Gemeinschaft der Cyberkriminellen besser nutzbar zu machen».

Welche Finaport-Kundendaten haben die Kriminellen geleakt?

Dazu darf watson wegen des oben erwähnten «Maulkorb-Artikels» des Schweizer Bankengesetzes nichts sagen. Nur schon das Recherchieren ist juristisch heikles Terrain.

Finaport bestätigte gegenüber watson, dass neben dem Hauptsitz in Zürich auch die Niederlassung in Singapur betroffen sei. Unsere Recherchen zeigen, dass der «Datenabfluss» zahlreiche weitere Länder tangieren dürfte.

Anzumerken ist, dass die Hacker beim «Plündern» der Finaport-Server auch Outlook-Postfächer von aktuellen und früheren Angestellten erbeutet haben. Die geleakten Mail-Backups könnten ebenfalls sensible Daten enthalten.

Was die vermögenden Kundinnen und Kunden des Unternehmens betrifft, können wir nicht ins Detail gehen. Nur so viel: Es geht um Finanzinstitute in aller Welt, aber auch um renommierte Privatbanken und Grossbanken hierzulande.

Alle Kundinnen und Kunden seien über den Cyberangriff informiert worden, versichert Finaport. Aber:

«Welche Daten betreffend welche Kunden vom Datendiebstahl betroffen sind, können wir noch nicht abschliessend beurteilen. Wir haben jedoch Anhaltspunkte dafür, dass die Kunden sehr unterschiedlich betroffen sein dürften.»

Wie hat das Unternehmen die Betroffenen informiert?

Mitarbeitende, Geschäftspartner und Kunden seien «im direkten, persönlichen Kontakt» informiert worden.

Gegenüber watson präzisiert Finaport:

«Wir haben nicht nur unsere Aufsichtsträger und unsere Geschäftspartner, vor allem im Finanzsektor tätige Unternehmen, informiert und stehen mit diesen in regem Austausch betreffend die Bewältigung des Cyberangriffs.

Unsere Mitarbeitenden wurden über den Abfluss von sie betreffenden Personendaten informiert. Auch haben wir sie betreffend die möglichen Gefahren, die ein solcher Datenabfluss für sie persönlich mit sich bringen kann, aufgeklärt und sie über Methoden zu sicherem Verhalten im Nachgang zu einer solchen Attacke informiert.»

Hingegen habe man sich dagegen entschieden, die Öffentlichkeit über die eigene LinkedIn-Firmen-Seite oder über eine andere, vergleichbare Plattform zu informieren.

Wie war ein solch massiver Cyberangriff möglich?

Dazu erklärt Finaport:

«Wir sind weiterhin der Auffassung, dass unsere Server nach dem Stand der Technik ausreichend geschützt waren.

Die umfassende Analyse durch ein von uns beauftragtes, auf Fragen der Cybersicherheit spezialisiertes Unternehmen zu den eingesetzten Angriffsmethoden, der genauen Vorgehensweise der Täterschaft, namentlich auch zu den beim Datenabfluss eingesetzten Methoden und Techniken, ist noch nicht abgeschlossen. Wir erwarten den entsprechenden Bericht in den kommenden Tagen.»

Man werde die Lehren daraus «mit den betroffenen Personen, Geschäftspartnern und Aufsichtsträgern teilen».

Das bisherige Abwehrdispositiv für Cyberangriffe sei in zahlreichen Punkten verändert und ergänzt worden.

«Welche Massnahmen wir genau ergriffen haben, teilen wir nicht mit den Medien und der Öffentlichkeit.»

Welche Konsequenzen hat der Fall?

Die Auswirkungen des Cyberangriffs sind nicht absehbar.

Die Aufsichtsbehörde des Bundes, die Eidgenössische Finanzmarktaufsicht (FINMA), kann sich nicht zu Einzelfällen äussern, wie ein Sprecher gegenüber watson sagte.

Geschäftsführer Fabian Jenny erklärt:

«Eine solche Cyberattacke ist eine sehr grosse Belastung für ein KMU wie Finaport. Alle Mitarbeitenden sind stark gefordert. Der Zeitaufwand, der für die Bewältigung eingesetzt werden muss, ist in allen Bereichen des Unternehmens und auf allen Stufen der Mitarbeitenden immens. »

Finaport habe den Angriff zwar hinter sich und sei – mit Ausnahme der Firmenwebsite – «auf allen Ebenen wieder uneingeschränkt operabel». Aber die Bewältigung des Vorfalls werde noch einige Zeit in Anspruch nehmen.

Aufsichtsbehörde erhöht den Druck
Die Eidgenössische Finanzmarktaufsicht (FINMA) hat im Dezember 2022 ihr Rundschreiben zu operationellen Risiken für Banken revidiert und veröffentlicht, wie FINMA-Sprecher Tobias Lux gegenüber watson erklärt. Dieses Rundschreiben löse per 1. Januar 2024 die vorherige Version ab. Zu den inhaltlichen Vorgaben sagt er:
• Die beaufsichtigten Schweizer Finanzinstitute müssten ein Konzept vorlegen, wie sie mit Bedrohungen im Bereich der Cyberattacken umgehen und wie sie ihre Systeme und Dienstleistungen vor solchen Attacken schützen.
• Das Abwehrkonzept müsse aufzeigen, wie man Risiken identifiziere, Attacken rasch erkenne und darauf reagiere, und wie man den ordentlichen Geschäftsverlauf nach allfälligen Problemen wieder herstellen wolle.
• Zudem seien die Banken verpflichtet, regelmässig Verwundbarkeitsanalysen und Penetration Testing durchzuführen. Dies solle gewährleisten, dass das Schutzdispositiv gegen Cyberattacken «à jour gehalten» werde.

Als Bank gilt gemäss Bankengesetz (BankG), «wer hauptsächlich im Finanzbereich tätig ist und gewerbsmässig Publikumseinlagen von mehr als hundert Millionen Franken entgegennimmt oder sich öffentlich dafür empfiehlt».

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Cyberwaffen und ihre Folgen
1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Mit der Entdeckung von Stuxnet geriet erstmals eine von staatlichen Hackern entwickelte Cyberwaffe ungewollt in private Hände. Die Schadsoftware war sehr wahrscheinlich von den USA und Israel um 2006 entwickelt worden – auch wenn die beteiligten Verantwortungsträger bis heute schweigen.
Auf Facebook teilenAuf X teilen
Wenn Erwachsene mit Geld umgehen würden, wie es Kinder tun
Video: watson
Das könnte dich auch noch interessieren:
14 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
TBD
15.02.2023 15:58registriert März 2020
Maulkorb Artikel, cheibe praktisch :-)

Kann bitte jemand aus einem anderen Land das mal durchschauen und Berichten, danke.
397
Melden
Zum Kommentar
14
So verteidigt sich Apple gegen die europäischen Kartell-Vorwürfe

Vor einer mit Spannung erwarteten Entscheidung der EU-Kommission über ein hohes Bussgeld gegen Apple hat der iPhone-Konzern jegliche Verstösse gegen europäisches Wettbewerbsrecht zurückgewiesen.

Zur Story