Einbruch bei J.P. Morgan Chase Bank

J.P. Morgan Chase ist die größte US-Amerikanische Bank und das zweitgrößte an einer Börse notierte Unternehmen.

Im Sommer wurde die Bank Ziel eines Cyber Angriffs. Die Einbrecher haben Daten von 76 Millionen Retail Kunden (Privatpersonen) – und etwa 7 Millionen Firmen gestohlen. Betroffene sind Kunden, die sich mit J.P. Morgen in den vergangenen Jahren über Mobile Geräte oder das Internet verbunden haben.

Gestohlen wurden nur persönliche Daten (Name, Adresse, Telefonnummer, e-Mail Adresse etc.) aber keine Passwörter oder Kontoinformationen.

Die Bank versucht die Kunden zu beruhigen. Es wurden keine Kontodaten oder Kennwörter gestohlen. Es kann daher kein Geld von den Konten betroffener Kunden behoben werden.

Die Bank teilt Ihren Kunden nicht mit, wer genau betroffen ist, und welche Daten genau kompromittiert wurden. Diese Vorgehensweise ist aus meiner Sicht Haarsträubend. Wenn einer Bank derartiges widerfährt wäre auf jeden Fall eine penible Information der Kunden notwendig.

Auch wenn die Diebe keine Kontoinformationen gestohlen haben, ist damit zu rechnen, dass die Informationen dazu genutzt werden um an Geld zu gelangen. Die Wahrscheinlichste Variante ist die Versendung sogenannter Phishing Mails. Der Kunde Erhält dann eine Mail mit der Aufforderung sich über Telebanking anzumelden. Der Link der in der Mail enthalten ist, leitet den Kunden jedoch auf eine andere Seite – auf der dann die Login Informationen abgefangen werden. Damit erhalten die Diebe endgültig Zugang auf das Konto. Die erbeuteten Daten können genutzt werden um die Mail authentischer zu machen.

Angeblich sind von der gleichen Hackergruppe auch eine Reihe anderer Finanzdienstleister in den USA gehackt worden. Darunter angeblich auch Fidelity – bei der auch ich Kunde bin. Fidelity ist eine Investmentbank die Aktienkonten auch für sehr viele Mitarbeiterbeteiligungsprogramme verwaltet. So auch unter anderem für Microsoft.

Anders als in Österreich wo von den Banken Einmalpasswörter (TAN’s) verwendet werden – gibt es am Fidelity Konto nur einen PIN für den Handel mit Aktien. Sollte also jemand diesen PIN ergattern und an die Login Informationen gelangen – könnte er meine Aktien die im Depot von Fidelity liegen auch verkaufen und auch eine Anforderung des Verkaufserlöses auf ein beliebiges Konto machen.

US Banken (und auch Österreichische) verifizieren z.B. bei Telefongesprächen ob man tatsächlich der Anrufer ist, der man vorgibt zu sein darüber persönliche Informationen abzufragen. Wenn man diese Informationen weiß, geht der Bankmitarbeiter davon aus, dass man tatsächlich der Kontoinhaber ist. Genau auch dafür können die gestohlenen Informationen dienen. D.h. könnten die Angreifer auch beim Callcenter der Bank anrufen – und Phone Banking betreiben. Die erbeuteten Informationen können eben auch dazu dienen – die Verifikation beim Telefonanruf zu überstehen.

J.P. Morgan Chase ist bemüht das Problem herunterzuspielen. Die U.S. Behörden sind jedoch sehr besorgt. Das sollten sie auch sein. Der Einbruch ist – wenn auch bisher noch kein Schaden bekannt geworden ist, der größte Bankraub aller Zeiten. Er zeigt auch auf wie Notwendig es ist – dass sowohl die Bank – als auch die Kunden sehr sorgsam mit dem Thema Telebanking umgehen. Ich glaube, dass die Österreichischen Banken in diesem Thema wesentlich weiter sind, als die U.S. Banken. Dass aber auch bei uns etwas passieren kann, zeigte der Einbruch bei der Bank Austria aus dem vorigen Jahr.