Hacker erbeuten 83 Millionen Datensätze von JPMorgan-Kunden

Bei einem Cyberangriff auf die amerikanische Großbank JPMorgan Chase wurden in diesem Sommer die Konten von 76 Millionen Haushalten sowie 7 Millionen kleineren Unternehmen kompromittiert. Das geht aus einer offiziellen Meldung an die US-Börsenaufsicht SEC hervor, die die Bank am Donnerstag einreichte.

Wie die New York Times von Insidern erfuhr, gingen die Verantwortlichen der Bank noch vor wenigen Wochen davon aus, dass lediglich eine Million Konten betroffen waren. Das Eindringen begann im Juni, wurde jedoch erst im Juli bemerkt. Neben JPMorgan Chase wurden offenbar mindestens vier weitere US-Banken Opfer einer Serie von Hackerattacken. Der erfolgreiche Angriff auf JPMorgan wiegt noch deutlich schwerer als Angriffe auf Einzelhandelsketten wie Target und Home Depot, bei denen millionenfach Kreditkartendaten abgegriffen wurden, da die größte amerikanische Bank in ihren Computersystemen weit umfangreichere Finanzinformationen vorhält – und potenziell weit sensiblere Daten.

Wie die Bank jetzt einräumt, bekamen die Hacker Zugang zu Namen, Anschriften, Telefonnummern und E-Mail-Adressen der insgesamt 83 Millionen Kontoinhaber. Der offiziellen Meldung zufolge gibt es jedoch keine Belege dafür, dass Kontoinformationen einschließlich Passwörtern oder Sozialversicherungsnummern entwendet wurden. Auch seien keine Betrugsfälle bekannt, bei denen die Kundeninformationen eine Rolle spielten.

Die Angreifer kamen offenbar jedoch auch an eine Liste der Anwendungen, die auf JPMorgans Computern laufen. Sie können jetzt jedes Programm und jede Webanwendung auf bekannte Schwachstellen untersuchen, um einen Einstiegspunkt für ein erneutes Eindringen in die Banksysteme zu finden. Das erfuhr die Times von „mehreren Personen, die mit den Ergebnissen der forensischen Untersuchung der Bank vertraut sind“ – aber nur Auskunft geben wollten, wenn sie nicht namentlich genannt werden.

Als das Sicherheitsteam der Bank im Juli auf das Eindringen aufmerksam wurde, hatten die Angreifer bereits die höchste Ebene administrativer Rechte bei Dutzenden von Bankservern erlangt. Die Hacker sollen weit in die umfangreichen Computersysteme der Bank eingedrungen sein und über 90 Server erreicht haben. Wie tief sie letztlich eindringen konnten, scheint noch immer unklar.

Behördliche Ermittler rätseln der Zeitung zufolge auch noch immer über den Hintergrund der Attacke, zumal es bislang keine Hinweise auf eine finanzielle Plünderung von Kundenkonten gibt. Erste Berichte über die Angriffe hatten russische Hacker verdächtigt: Es handle sich um eine Vergeltungsmaßnahme Russlands für die im Ukraine-Konflikt verhängten Sanktionen. Adam Myers von Crowdstrike hingegen bezeichnete dies als „voreilig“. Andere Experten wollten aufgrund des verdeckten Vorgehens der Angreifer eine politische Motivation gänzlich ausschließen.

Den Ermittlern zufolge wird die Bank Monate benötigen, um ihre Programme und Anwendungen auszutauschen, was den Hackern Zeit gibt, weiter nach ungepatchten oder noch nicht entdeckten Schwachstellen zu suchen. Über seine offizielle SEC-Meldung hinaus, an der eine Anwaltskanzlei mitwirkte, wollte JPMorgan keine Stellungnahme abgeben. JPMorgan-Sprecherin Kristin Lemkau wies lediglich den Vergleich mit den umfangreichen Kreditkartendiebstählen bei Target sowie Home Depot als einen „Vergleich von Äpfeln und Birnen“ zurück.