Am Donnerstag wurden Geschäfte, die von der weltweit größten Bank abgewickelt wurden, auf einem USB-Stick über Manhattan transportiert.
Die US-Einheit der Industrial & Commercial Bank of China Ltd., der größten Bank der Welt auf dem größten Markt der Welt, war von einem Cyberangriff betroffen und konnte deshalb große Teile des US-Schatzhandels nicht abwickeln, nachdem die für die Abwicklung der Transaktionen zuständigen Stellen die angeschlagenen Systeme schnell abgeklemmt hatten. Das zwang ICBC dazu, die erforderlichen Abwicklungsdetails per Kurier auf einem USB-Stick an diese Parteien zu senden, während sich die staatliche Bank bemühte, den Schaden zu begrenzen.
Der Notbehelf – wie von Marktteilnehmern beschrieben – folgte dem Angriff durch den vermuteten Täter Lockbit, eine produktive kriminelle Bande mit Verbindungen nach Russland, die auch Boeing Co., ION Trading U.K. und die britische Royal Mail angegriffen hat. Der Angriff verursachte sofort Störungen, da Market Maker, Brokerhäuser und Banken gezwungen waren, Geschäfte umzuleiten, mit vielen Ungewissheiten, wann der Zugang wiederhergestellt würde.
Der Vorfall beleuchtet eine Gefahr, vor der Bankchefs zugeben, dass sie sie nachts wach hält – die Möglichkeit eines Cyberangriffs, der eines Tages ein wichtiges Stück der vernetzten Finanzinfrastruktur lahmlegen könnte und eine Kaskade von Störungen auslösen würde. Selbst kurze Episoden veranlassen Bankchefs und ihre Aufsichtsbehörden zu mehr Wachsamkeit aufzurufen.
“Dies ist ein echter Schock für große Banken auf der ganzen Welt”, sagte Marcus Murray, Gründer der schwedischen Cybersicherheitsfirma Truesec. “Der ICBC-Hack wird große Banken auf der ganzen Welt dazu bringen, ihre Verteidigungen ab heute zu verbessern.”
Als Details des Angriffs bekannt wurden, hielten Mitarbeiter der Zentrale in Peking dringende Treffen mit der US-Abteilung der Bank ab und informierten die Aufsichtsbehörden, während sie die nächsten Schritte diskutierten und die Auswirkungen bewerteten, so eine informierte Person. ICBC erwägt, sich an Chinas Ministerium für Staatssicherheit zu wenden angesichts der Risiken eines möglichen Angriffs auf andere Einheiten, sagte die Person.
Am späten Donnerstag bestätigte die Bank, dass sie am Vortag einen Ransomware-Angriff erlitten hatte, der einige Systeme der Tochtergesellschaft ICBC Financial Services gestört hatte. Das Unternehmen sagte, es habe die betroffenen Systeme isoliert und dass die Systeme in der Zentrale und anderen ausländischen Einheiten nicht betroffen waren, ebenso wenig wie die New Yorker Filiale der ICBC.
Das Ausmaß der Störung war zunächst nicht eindeutig, aber Marktteilnehmer berichteten von Liquiditätsengpässen. Die Securities Industry and Financial Markets Association (Sifma) führte am Donnerstag Mitgliedergespräche zu diesem Thema.
ICBC FS bietet Festzinsabwicklung, Treasury-Repo-Kreditvergabe und einige Aktienleihgeschäfte. Zum Jahresende 2022 verwaltete die Tochtergesellschaft Vermögenswerte in Höhe von 23,5 Milliarden US-Dollar, wie aus ihrem letzten Jahresbericht an die US-Aufsichtsbehörden hervorgeht.
Der Angriff ist nur der jüngste, der Teile des globalen Finanzsystems lahmgelegt hat. Vor acht Monaten wurde ION Trading U.K. – ein wenig bekanntes Unternehmen, das weltweit Derivate-Händler bedient – von einem Ransomware-Angriff gelähmt, der die Märkte zum Erliegen brachte und Trading-Shops zwang, die Hunderte Milliarden Dollar an Transaktionen pro Tag abwickeln, Geschäfte manuell abzuwickeln. Das hat die Finanzinstitute in Alarmbereitschaft versetzt.
Die ICBC, die weltweit größte Bank gemessen an den Vermögenswerten, hat ihre Cybersicherheit in den letzten Monaten verbessert und damit die zunehmenden Herausforderungen durch potenzielle Angriffe angesichts der Ausweitung von Online-Transaktionen, der Einführung neuer Technologien und des Open Banking hervorgehoben.
“Die Bank reagierte aktiv auf neue Herausforderungen der Finanzcybersicherheit, hielt sich an die Grundlinie für die Produktionssicherheit und vertiefte die intelligente Transformation des Betriebs und der Wartung”, sagte die ICBC in ihrem Zwischenbericht im September.
Ransomware-Angriffe auf chinesische Unternehmen scheinen selten zu sein, zum Teil weil China Krypto-bezogene Transaktionen verboten hat, so Mattias Wåhlén, Spezialist für Bedrohungsaufklärung bei Truesec. Das macht es für die Opfer schwieriger, Lösegeld zu zahlen, das häufig in Kryptowährung gefordert wird, da diese Form der Zahlung mehr Anonymität bietet.
Aber der jüngste Angriff legt wahrscheinlich Schwächen in den Verteidigungen der ICBC bloß, sagte Wåhlén. “Es scheint, dass die Sicherheit der ICBC weniger effektiv war, möglicherweise weil chinesische Banken in der Vergangenheit weniger getestet wurden als ihre westlichen Pendants.”
Rekordniveau
Ransomware-Hacker sind inzwischen so produktiv, dass die Angriffe in diesem Jahr Rekordniveau erreichen könnten.
Die Blockchain-Analysefirma Chainalysis hatte bis Ende September bereits Ransomware-Zahlungen in Höhe von etwa 500 Millionen US-Dollar erfasst, eine Zunahme von fast 50 Prozent im Vergleich zum gleichen Zeitraum des Vorjahres. Ransomware-Angriffe nahmen in den ersten drei Quartalen dieses Jahres im Vergleich zum gleichen Zeitraum 2022 um 95 Prozent zu, so Corvus Insurance.
Im Jahr 2020 wurde die Website der New Zealand Stock Exchange von einem Cyberangriff lahmgelegt, der den Verkehr so stark drosselte, dass sie wichtige Marktmitteilungen nicht veröffentlichen konnte, was die gesamte Operation zum Stillstand brachte. Später wurde enthüllt, dass mehr als 100 Banken, Börsen, Versicherer und andere Finanzunternehmen weltweit gleichzeitig Ziel derselben Art von sogenannten DDoS-Angriffen waren.
Zu den Unternehmen, die in den letzten Monaten von Ransomware-Hackern angegriffen wurden, gehören Caesars Entertainment Inc., MGM Resorts International und Clorox Co.
Die ICBC wurde getroffen, während die US-Börsenaufsichtsbehörde SEC daran arbeitet, Risiken im Finanzsystem durch eine Reihe von Vorschlägen zu verringern, darunter die vorgeschlagene Verpflichtung zum zentralen Clearing aller US-Staatsanleihen. Zentrale Clearing-Plattformen sind Intermediäre zwischen Käufern und Verkäufern, die die Verantwortung für den Abschluss von Transaktionen übernehmen und damit verhindern, dass ein Ausfall einer Gegenpartei weitreichende Probleme auf dem Markt verursacht.
Der Vorfall unterstreicht die Vorteile des zentralen Clearings auf dem 26-Billionen-Dollar-Markt, sagte der Finanzprofessor Darrell Duffie von der Stanford University.