FTC schließt Untersuchung von Datenklau bei Morgan Stanley ab

Die US-Bundesbehörde Federal Trade Commission (FTC) hat ihre Untersuchung des letztjährigen Cyber-Einbruchs bei der Bank Morgan Stanley abgeschlossen. Ihrem Bericht zufolge (PDF) entdeckte sie zwar unangemessen konfigurierte Zugangskontrollen, zugleich lobte sie die die Bank aber für ihre schnelle Reaktion nach Entdeckung des Vorfalls und für ihre bedarfsgerechten internen Sicherheitsrichtlinien.

Ziel der Untersuchung war es gewesen, zu ermitteln, ob die Bank mit mangelhaften Sicherheitspraktiken gegen Abschnitt 5 des Federal Trade Commission Act verstoßen und ihren Kunden eine falsche Sicherheit vorgespiegelt hat. Im Januar musste die Bank melden, dass ein Angestellter Kontodaten von 350.000 Vermögensverwaltungskunden entwendet hatte. Teile dieser Dokumente bot er online zum Kauf an. Der Dieb wurde entlassen, und die Bank bot den betroffenen Kunden kostenfreie Betrugsüberwachung an.

Der jetzt veröffentlichte Bericht der FTC mit Datum 10. August vermerkt, die Bank habe angemessene Richtlinien, um die Befugnisse einzelner Angestellter einzuschränken und diese zu überwachen. Beispielsweise kann kein Angestellter auf persönliche Daten von Kunden zugreifen, die er nicht für seine Arbeit benötigt. Der konkrete Datendiebstahl sei dadurch ermöglicht worden, dass „eine begrenzte Zahl Berichte“ nicht korrekt eingestuft worden war.

Morgan Stanley habe auch schnell reagiert, nachdem es von dem Diebstahl erfuhr, heißt es. Das Ende der Untersuchung bedeute allerdings nicht, dass erwiesen sei, dass kein Verstoß vorlag. Genauso wenig lasse sich schon aus dem Beginn einer Untersuchung schließen, dass ein Fehlverhalten vorlag. Die Behörde behalte sich weitere Maßnahmen aufgrund neuer Informationen vor.

Datensicherheit sei ein ständiger Prozess, betont die FTC auch. Firmen wie Morgan Stanley müssten ihre Praktiken regelmäßig aktualisieren. Risiken, Techniken und Umstände seien konstantem Wandel unterworfen.

Der Fall des Datendiebstahls bei Morgan Stanley unterscheidet sich wesentlich von ähnlichen Vorfällen etwa bei einer Reihe US-Krankenversicherungen. Dort waren Hacker aus der Ferne (mutmaßlich von China aus) ins Netz eingedrungen und hatten über Monate hinweg Kundendaten entwendet.

[mit Material von John Fontana, ZDNet.com]