Capital One ist die zehngrößte US-amerikanische Bank nach Bilanzsumme mit Sitz in McLean in Virginia. Neben dem Privatkundengeschäft verdient man sein Geld vor allem mit der Finanzierung von Autokrediten. Nun wurde die Bank Opfer eines Hackerangriffs – einer der größten Hacks in der nordamerikanischen Finanzbranche.
Der Inhalt im Überblick
Was ist passiert?
Eine amerikanische Hackerin verschaffte sich einen Zugang zu Kreditkartenanträgen und existierenden Kreditkarten von rund 100 Millionen Kunden in den USA der US-Bank Capital One. Weitere sechs Millionen Kunden waren in Kanada betroffen.
Welche Daten sind betroffen?
Der Großteil der Daten stammt laut Capital One von Kreditkartenanträgen aus den vergangenen zehn Jahren. Dies sind vor allem:
- Namen,
- Adressen,
- Telefonnummern,
- E-Mail-Adresse,
- Geburtsdaten
- und angegebenes Einkommen.
Teilweise gesellten sich noch Bonitätsbewertungen, Kreditrahmen, Kontostand, Zahlungsverhalten und weiteren Kontaktdaten hinzu sowie die Umsätze von insgesamt 23 Tagen aus verschiedenen Jahren. Es seien aber keine Kreditkartennummern oder persönliche Login-Daten ausgespäht worden.
Bei der Hackerin handle es sich um eine Software-Entwicklerin aus Seattle, die einst bei Amazon Web Services, dem Cloud-Dienstleister der Bank, gearbeitet hatte. Laut Capital One sei es unwahrscheinlich, dass die Hackerin die erbeuteten Daten weiterverbreitet oder betrügerisch eingesetzt habe. Die Verdächtige soll bereits Informationen über den Hack auf Github veröffentlicht haben, schreibt das US-Justizministerium. Ein Github Nutzer sah den Post am 17. Juli 2019 und meldete Capital One ein potenzielles Datenleck. Zwei Tage später verifizierte die Bank das Datenleck und schaltete das FBI ein, welches die Verdächtige identifizierte und verhaftete.
Nach Informationen des Finanzdienstes Bloomberg handelte es sich bei der Schwachstelle um eine falsch konfigurierte Firewall – „eines der grundlegendsten digitalen Sicherheitswerkzeuge“. Auf beschlagnahmten Datenträgern fanden die Ermittler zudem eine Kopie der Capital-One Daten. Der festgenommenen Hackerin drohen bei einer Verurteilung fünf Jahre Haft und 250.000 Dollar Geldstrafe.
Gefahren für die Betroffenen
In erster Linie leidet darunter am Ende der Kunde, dessen persönliche Daten als Zielscheibe für Hacker dienen. Sollte die Hackerin die abgefangenen Daten von Capital One doch weiterverbreitet haben, könnten diese beispielsweise zum Identitätsdiebstahl oder für Social-Engineering-Angriffe verwendet werden. Doch die Auswirkungen des erfolgreichen Angriffs könnten für die Bank im schlimmsten Fall über den Verlust von Kundendaten oder sogar Geld hinausgehen.
Denn eine tiefgreifende Vertrauenskrise kann anhaltende Folgen haben und zu schwerwiegenden Schäden führen, was selbst große Häuser in ernstzunehmende Bedrängnis bringen kann. Capital One Chef Richard Fairbank entschuldigte sich bei den Kunden für den Datendiebstahl. Zudem kündigte die Bank an, die Betroffenen auf verschiedenen Wegen informieren zu wollen sowie einen Schutz vor Identitätsdiebstahl anzubieten.
Hacker passen sich an
Einem Swift-Bericht zufolge werden Hackerangriffe auf Banken immer professioneller. Hacker nehmen sich laut dem Bericht mehr Zeit, als dies vor einigen Jahren noch der Fall war, um die Systeme der Banken zu erkunden. Auch den Zeitpunkt ihrer Angriffe haben Hacker laut dem Bericht verändert. Sie schlagen während Geschäftszeiten zu, um sich mit dem legitimen Datenverkehr zu vermischen.
Vor diesem Hintergrund ist es richtig, wenn die Bankenaufseher auf die IT der Banken einen strengen Blick werfen. Sie müssen die Institute darauf verpflichten, ihre Systeme mit höchster Sorgfalt zu pflegen und vor unerwünschten Besuchern zu schützen. Eine Blöße in der Sicherheit können sich die Institute nicht leisten. Denn die Folge wäre das Misstrauen der Kunden und damit das Ende der Bank.
Erfreulicher Weise steigt das Sicherheitsbewusstsein. So wollen 69 % laut dem Modern Bank Heists Report der Finanzinstitute ihre Investitionen in Cybersicherheit um 10% oder mehr erhöhen.