Unbekannte Hacker sind im vergangenen Jahr in Systeme der US-Börsenaufsicht SEC eingedrungen und haben erbeutete Informationen möglicherweise für verbotene Insidergeschäfte benutzt. Die Schwachstelle, die das ermöglicht habe, sei schnell gestopft worden, betonte die SEC in der Nacht zum Donnerstag. Die Cyberattacke auf eine Datenbank namens Edgar habe vermutlich die Grundlage für illegalen Aktienhandel gebildet, teilte der Vorsitzende der Börsenaufsicht, Jay Clayton, auf der Webseite der SEC mit. Eine Überprüfung des Sicherheitsprofils der Behörde habe ergeben, das ein zuvor entdeckter „Vorfall“ durch eine Schwäche im Edgar-Eingabesystem entstanden sei.
Bei der Börsenaufsicht werden Geschäftszahlen und für den Aktienkurs relevante Informationen von Unternehmen veröffentlicht. Sie lagern dafür zum Teil auf den Servern bereits bevor sie freigeschaltet werden. Der Angriff sei der SEC bereits 2016 aufgefallen, erst im August dieses Jahres habe sie aber festgestellt, dass die Daten möglicherweise für Aktiengeschäfte verwendet wurden, hieß es. Die Schwachstelle sei im System für Test-Mitteilungen gewesen. Bei der US-Börsenaufsicht müssen Unternehmen relevante Finanzmarktdaten über das System Edgar angeben, die dann beispielsweise Aktionären zur Verfügung stehen. Pro Jahr werden mehr als 1,7 Millionen elektronische Eingaben gemacht.
Die Behörde machte keine Angaben dazu, welche Informationen genau den Angreifern in die Hände gefallen sein könnten. Es hieß lediglich, darunter seien keine persönlichen Daten gewesen. Es liefen Untersuchungen.
Große Hacker-Angriffe der vergangenen Jahre
Bei der im Mai 2014 bekanntgewordenen Attacke verschafften sich die Hacker Zugang zu Daten von rund 145 Millionen Kunden, darunter E-Mail- und Wohnadressen sowie Login-Informationen. Die Handelsplattform leitete einen groß angelegten Passwort-Wechsel ein.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers machte Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
Beim Angriff auf die amerikanischen Baumarktkette gelangten Kreditkarten-Daten von 56 Millionen Kunden in die Hand unbekannter Hacker, wie im September 2014 mitgeteilt wurde. Später räumte Home Depot ein, dass auch über 50 Millionen E-Mail-Adressen betroffen waren.
Die Hacker erbeuteten bei der im August 2014 bekanntgewordenen Attacke auf die US-Großbank die E-Mail- und Postadressen von 76 Millionen Haushalten und 7 Millionen Unternehmen.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurde die E-Mail-Korrespondenz aus mehreren Jahren erbeutet. Die Veröffentlichung vertraulicher Nachrichten sorgte für höchst unangenehme Momente für mehrere Hollywood-Player.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, waren die Enthüllungen für viele Kunden schockierend.
Der Spezialist für Lernspielzeug räumte einen Hacker-Angriff im November 2015 ein. Später wurde bekannt, dass fast 6,4 Millionen Kinder-Profile mit Namen und Geburtsdatum betroffen waren - davon gut 500 000 in Deutschland.
Die SEC greift bei sogenanntem Insiderhandel - Aktiengeschäften auf Basis öffentlich nicht verfügbarer Informationen - traditionell hart durch. Zu den prominenteren Fällen gehörte die amerikanische Lifestyle-Ikone Martha Stewart, die Aktien eines Pharmaunternehmens nach dem Hinweis des befreundeten Firmenchefs verkaufte und ins Gefängnis musste. Meist werden Mitarbeiter von Unternehmen überführt, wie etwa eine Disney-Sekretärin, die noch vertrauliche Quartalszahlen an ihren Freund weiterreichte. Im vergangenen Jahr verklagte die SEC aber auch chinesische Händler, die in Computersysteme von Anwaltsfirmen eingedrungen und mit den gestohlenen Informationen von deren Firmenkunden mehrere Millionen Gewinn gemacht haben sollen.
Die Enthüllung des SEC-Hacks folgt auf den vor kurzem bekanntgewordenen Datenklau bei der Wirtschaftsauskunftei Equifax, wo möglicherweise hochsensible Daten von über 40 Prozent der US-Bevölkerung in die Hände der Angreifer gelangt sind. Darunter fielen demnach unter anderem Sozialversicherungsnummern, Geburtsdaten, Adressen und Kreditkartendaten. Das könnte Pläne der SEC für eine umfassende Datenbank mit Daten zu allen Aktien- und Optionsgeschäften („Consolidated Audit Trail“) bremsen. Es gab bereits Sicherheitsbedenken, die nun neuen Auftrieb bekommen dürften. Die erste Stufe der neuen Datenbank soll bereits im November starten.