Die US-Börsenaufsicht Securities and Exchange Commission (SEC) wurde Opfer eines Hackerangriffs. Einer Pressemitteilung zufolge hat die Behörde den unerlaubten Zugriff auf seine Systeme zwar schon im vergangenen Jahr entdeckt – auf die möglichen Folgen des Einbruchs wurde man allerdings erst im August aufmerksam.
Zu dieser Einschätzung kam die SEC, nachdem der aktuelle Chairman Jay Clayton im Mai eine Neubewertung möglicher Cyberrisiken für die Börsenaufsicht angeordnet hatte. Der unerlaubte Zugriff wiederum erfolgte 2016 aufgrund eines Softwarefehlers in einer Komponente des Meldesystems EDGAR (Electronic Data Gathering, Analysis, and Retrieving System), die eigentlich für Test-Einreichungen gedacht ist. Der direkt nach seiner Entdeckung beseitigte Bug machte nicht öffentliche Informationen offenbar für jedermann verfügbar.
„Wir nehmen an, dass der Einbruch nicht zu einem unautorisierten Zugriff auf persönliche Daten führte, den Geschäftsbetrieb der SEC gefährdete oder zu einem systemischen Risiko führte“, heißt es in der Stellungnahme der Börsenaufsicht. Der SEC-Vorsitzende Jay Clayton ergänzte zudem: „Ich gebe zu, dass selbst die gewissenhaftesten Cybersicherheitsmaßnahmen nicht alle Cyberrisiken ansprechen, denen Unternehmen ausgesetzt sind. Die Realität macht angemessene Offenlegungen umso wichtiger.“
Wie Reuters berichtet, machte bereits im Juli das Government Accountability Office auf mögliche Sicherheitslücken bei der SEC aufmerksam. In einem 27-seitigen Bericht kritisierte die Kontrollbehörde, dass die SEC vertrauliche Daten nicht immer verschlüssele, nicht mehr unterstützte Software einsetze und ein System zur Erkennung von Eindringversuchen nicht vollständig implementiert habe. Auch die Firewalls der SEC seien nicht richtig konfiguriert.
Unklar ist, wieso die Börsenaufsicht den Einbruch nicht schon früher öffentlich gemacht hat. Ihre Regeln für börsennotierte Unternehmen sehen nämlich auch die Offenlegung von Hackerangriffen vor, da es sich dabei um für Anleger wichtige Informationen handeln kann. Gegen einige Firmen leitete die SEC sogar Ermittlungen ein, um zu prüfen, ob sie ihren Informationspflichten zeitnah nachgekommen sind.
Vertrauliche und börsenrelevante Unternehmensdaten sind unter Umständen ein lukratives Ziel für Hacker. Vor zwei Jahren klagte die SEC US-Aktienhändler sowie Hacker aus der Ukraine an, weil sie Tausende Pressemitteilungen börsennotierter Unternehmen gestohlen haben sollen. Die Gewinne aus den illegalen Aktiengeschäften schätzte die SEC allein in dem Fall auf mehr als 100 Millionen Dollar.
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…