US-Börsenaufsicht SEC räumt Hackerangriff ein

Die US-Börsenaufsicht Securities and Exchange Commission (SEC) wurde Opfer eines Hackerangriffs. Einer Pressemitteilung zufolge hat die Behörde den unerlaubten Zugriff auf seine Systeme zwar schon im vergangenen Jahr entdeckt – auf die möglichen Folgen des Einbruchs wurde man allerdings erst im August aufmerksam.

Betroffen war demnach eine Datenbank für Pflichtmeldungen von börsennotierten Unternehmen. Sie enthält auch sogenannte Insider-Informationen, also Daten, die normalerweise nicht öffentlich zugänglich sind. Die SEC schließt nun nicht mehr aus, dass diese Informationen auch für illegale Aktiengeschäfte, sprich Insiderhandel benutzt wurden.

Zu dieser Einschätzung kam die SEC, nachdem der aktuelle Chairman Jay Clayton im Mai eine Neubewertung möglicher Cyberrisiken für die Börsenaufsicht angeordnet hatte. Der unerlaubte Zugriff wiederum erfolgte 2016 aufgrund eines Softwarefehlers in einer Komponente des Meldesystems EDGAR (Electronic Data Gathering, Analysis, and Retrieving System), die eigentlich für Test-Einreichungen gedacht ist. Der direkt nach seiner Entdeckung beseitigte Bug machte nicht öffentliche Informationen offenbar für jedermann verfügbar.

„Wir nehmen an, dass der Einbruch nicht zu einem unautorisierten Zugriff auf persönliche Daten führte, den Geschäftsbetrieb der SEC gefährdete oder zu einem systemischen Risiko führte“, heißt es in der Stellungnahme der Börsenaufsicht. Der SEC-Vorsitzende Jay Clayton ergänzte zudem: „Ich gebe zu, dass selbst die gewissenhaftesten Cybersicherheitsmaßnahmen nicht alle Cyberrisiken ansprechen, denen Unternehmen ausgesetzt sind. Die Realität macht angemessene Offenlegungen umso wichtiger.“

Wie Reuters berichtet, machte bereits im Juli das Government Accountability Office auf mögliche Sicherheitslücken bei der SEC aufmerksam. In einem 27-seitigen Bericht kritisierte die Kontrollbehörde, dass die SEC vertrauliche Daten nicht immer verschlüssele, nicht mehr unterstützte Software einsetze und ein System zur Erkennung von Eindringversuchen nicht vollständig implementiert habe. Auch die Firewalls der SEC seien nicht richtig konfiguriert.

Unklar ist, wieso die Börsenaufsicht den Einbruch nicht schon früher öffentlich gemacht hat. Ihre Regeln für börsennotierte Unternehmen sehen nämlich auch die Offenlegung von Hackerangriffen vor, da es sich dabei um für Anleger wichtige Informationen handeln kann. Gegen einige Firmen leitete die SEC sogar Ermittlungen ein, um zu prüfen, ob sie ihren Informationspflichten zeitnah nachgekommen sind.

Vertrauliche und börsenrelevante Unternehmensdaten sind unter Umständen ein lukratives Ziel für Hacker. Vor zwei Jahren klagte die SEC US-Aktienhändler sowie Hacker aus der Ukraine an, weil sie Tausende Pressemitteilungen börsennotierter Unternehmen gestohlen haben sollen. Die Gewinne aus den illegalen Aktiengeschäften schätzte die SEC allein in dem Fall auf mehr als 100 Millionen Dollar.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago