Bekannter Schweizer Vermögensverwalter gehackt – Daten im Darknet geleakt

Die Schweizer Vermögensverwalterin Finaport ist von einer potenziell gravierenden Ransomware-Attacke betroffen.

Das Unternehmen bestätigte am Dienstag, dass von den Servern gestohlene Daten im Darknet veröffentlicht worden sind. "Watson"-Recherchen zeigen, dass es sich unter anderem um Outlook-Postfächer von aktuellen und früheren Angestellten handelt. Die Veröffentlichungen tauchten am Sonntag auf der Leak-Site der berüchtigte Ransomware-Bande ALPHV auf.

Die Kriminellen, die auch unter der Bezeichnung "Black Cat" bekannt sind, gelten als eine der gefährlichsten und aggressivsten Ransomware-Banden überhaupt. Sie gehören in die Kategorie “Ransomware as a Service” (RaaS). Das heisst, sie bieten die für die Internet-Erpressungen erforderliche IT-Infrastruktur gegen Bezahlung Dritten an.

"Zentrale Systeme" betroffen

Man habe innert 24 Stunden nach Entdecken des Cyberangriffs die zuständige Bewilligungsbehörde orientiert, teilt das Unternehmen auf Anfrage von Watson mit. Dieses Vorgehen entspreche den Praxisvorgaben der Eidgenössischen Finanzmarktaufsicht (FINMA).

Die Attacke habe sich "gegen zentrale Systeme" der eigenen IT gerichtet. In der Stellungnahme, die vom CEO der Finaport Ltd., Fabian Jenny, übermittelt wurde, heisst es: "Unsere IT-Spezialisten haben umgehend nach Entdecken des Angriffs alle laufenden Systeme vom Netz genommen und abgeschaltet." Alle Computersysteme seien in der Folge "von Grund auf in einer sicheren Umgebung neu aufgesetzt" worden und sie würden seit einer Woche wieder laufen.

Der Internetauftritt des Unternehmens unter finaport.com war in den letzten Tagen nicht erreichbar.

Die Finaport-Niederlassung in Singapur sei von der Cyberattacke ebenfalls betroffen, heisst es. Die dortige Geschäftsleitung bearbeite die Angelegenheit.

Finaport bezeichnet sich als unabhängige und regulierte Schweizer Vermögensverwaltungsgesellschaft mit Niederlassungen in der Schweiz, Singapur und Liechtenstein. Das Unternehmen betätigt sich unter anderem als Tennis-Sponsor und ist Namensgeber für ein ATP-Turnier in Zug. Seinen Hauptsitz hat Finaport in der Stadt Zürich.

Was sind die Folgen des Hackerangriffs?

Das lässt sich noch nicht abschätzen. Das Unternehmen schreibt:

"Wir wurden in der Nacht auf den Montag, 6. Februar, von unseren Experten darüber informiert, dass im Darknet von unseren Servern gestohlene Daten geleakt werden. Unsere Experten analysieren die zugänglich gemachten Daten zum jetzigen Zeitpunkt noch. Wir können aber bestätigen, dass auch Mail-Dateien betroffen sind. Zum genauen Umfang der geleakten Daten können wir derzeit aber noch keine abschliessenden Angaben machen."

Die zentralen Kundendatenbanken der Schweizer und Liechtensteiner Geschäftseinheiten seien nicht betroffen. Bei allen von der Attacke betroffenen Daten gebe es Backups, die laut Finaport nicht angegriffen werden konnten.

Das Darknet-Leak lässt darauf schliessen, dass Finaport nicht auf die erpresserischen Forderungen der mutmasslich aus Russland stammenden Hacker eingegangen ist.

Was sagt die Finanzaufsicht?

Bei der Eidgenössischen Finanzmarktaufsicht (Finma) heisst es, man könne sich zum Einzelfall nicht äussern.

Die Aufsichtsbehörde des Bundes sieht das Thema "Cyber" generell als "eines der Top-Risiken für den Finanzplatz" und man gewichte das Thema in den internen Prozessen entsprechend hoch, betont Finma-Sprecher Tobis Lux.

"Am Schluss sind es die Institute, welche Cyberattacken abwehren müssen. Und hier stellen wir eine grosse Sensibilität für das Thema fest. Die Verteidigungslinien sind professioneller als noch vor einigen Jahren. Die allermeisten Finanzinstitute haben Notfallpläne und wissen, wie sie reagieren müssen, sollten sie von einer Attacke betroffen sein."

Klar sei: Attacken werde es weiter geben und deren Quantität und Qualität sowie Komplexität nehme zu. Ein wichtiges Instrument zur Erkennung solcher Cybervorfälle sei die Meldepflicht der Beaufsichtigten gegenüber der Finma.

Dieser Beitrag ist zuerst bei Watson erschienen.