Die 10 größten Datenlecks im Finanzsektor [2026]

1. Einleitung: Warum sind Datenlecks eine kritische Bedrohung für den Finanzsektor?#

Der Finanzsektor ist zunehmend zum Hauptziel für Cyberangriffe geworden und lockt Angreifer mit der Aussicht auf sofortige finanzielle Gewinne und wertvolle personenbezogene Daten an. Im Jahr 2023 machten Finanzinstitute 27 % aller Datenlecks weltweit aus und übertrafen damit sogar das Gesundheitswesen als die am häufigsten betroffene Branche.

Die finanziellen Verluste durch diese Vorfälle sind enorm: Bis 2024 stiegen die durchschnittlichen Kosten pro Datenleck im Finanzsektor auf 6,08 Mio. US-Dollar (22 % höher als der weltweite, branchenübergreifende Durchschnitt). Bösartige Angriffe, insbesondere Phishing und Ransomware, sind nach wie vor die von Cyberkriminellen bevorzugten Methoden, bei denen sie Schwachstellen in Drittanbieter-Integrationen, veralteten Systemen und menschliche Fehler ausnutzen.

In diesem Artikel betrachten wir zehn der größten weltweiten Datenlecks, die sich im Finanzsektor ereignet haben, und beleuchten, wie es zu diesen Vorfällen kam, welche kritischen Schwachstellen ausgenutzt wurden und welche wesentlichen Präventionsstrategien Unternehmen anwenden müssen.

2. Warum sind Datenlecks im Finanzsektor so häufig?#

Cyberangriffe zielen häufig auf Banken, Versicherer und Zahlungsverkehrsdienste ab, da diese Institutionen im Zentrum der digitalen Wirtschaft stehen. Ein erfolgreicher Angriff kann mit einem Schlag sowohl Gelder als auch vertrauliche Kundendaten liefern und bietet Kriminellen somit eine starke Motivation für einen Versuch. Sich schnell verändernde Onlinedienste, komplexe Technologien und hohe öffentliche Erwartungen an eine Verfügbarkeit rund um die Uhr machen die Finanzbranche zu einem schwer zu verteidigenden Bereich. Hier sind einige der Gründe, warum Angreifer den Finanzsektor häufig ins Visier nehmen:

2.1 Direkte finanzielle Anreize#

Angreifer konzentrieren sich auf Banken und Zahlungsverkehrsunternehmen, weil sie ein Datenleck sehr schnell zu Geld machen können. Erstens können sie, wenn sie Zugang erhalten, Geld direkt von Kundenkonten abheben oder „Cash-out“-Aktionen an Geldautomaten organisieren, die innerhalb von Stunden Bargeld liefern (oft werden nur kleine Beträge von einer großen Anzahl von Konten abgehoben, um keinen Verdacht zu erregen). Zweitens erzielen die Kartennummern und persönlichen Daten, über die Banken verfügen, hohe Preise auf Untergrundmärkten, sodass jeder gestohlene Datensatz ebenfalls garantierte Einnahmen bringt. Drittens können Kriminelle, indem sie kritische Systeme mit Ransomware verschlüsseln, Banken unter Druck setzen, die den Betrieb wiederherstellen und Bußgelder vermeiden wollen, sodass diese oft Lösegelder in Millionenhöhe zahlen.

2.2 Hochwertige Daten#

Finanzinstitute sind vor allem wegen der schieren Menge und Sensibilität der von ihnen gespeicherten Kundendaten ein Hauptziel für Cyberangriffe. Heutzutage hat fast jeder ein Bankkonto, um Geld einzuzahlen, abzuheben und zu überweisen, sodass Banken und verwandte Organisationen umfangreiche Aufzeichnungen führen, darunter Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern, detaillierte Finanzhistorien, Beschäftigungsdetails und bei den meisten Bürgern sogar Steuerinformationen. Diese Fülle an Daten ermöglicht es Angreifern, Datenlecks schnell zu monetarisieren, indem sie sofort die Kontrolle über Kundenkonten übernehmen, betrügerische Transaktionen durchführen oder Gelder abziehen. Darüber hinaus erzielen gestohlene Informationen hohe Preise auf Marktplätzen im Dark Web, wo umfassende Identitätspakete (bekannt als „Fullz“) oder individuelle Bankkontozugangsdaten für beträchtliche Summen verkauft werden. Dieses Risiko wird durch strenge regulatorische Richtlinien wie Know Your Customer (KYC) und Anti-Geldwäsche-Gesetze (AML) noch verschärft, die Finanzinstitute dazu verpflichten, Kundendaten über viele Jahre sicher aufzubewahren, was das Zeitfenster für Schwachstellen erheblich verlängert. Zusammengenommen schaffen diese Faktoren ein Umfeld, in dem jeder erfolgreiche Einbruch nicht nur sofortige Gewinne, sondern auch langfristige Möglichkeiten für raffinierten Identitäts- und Finanzbetrug bietet, was Finanzinstitute für Cyberkriminelle besonders attraktiv macht und sie wiederholt ins Visier nehmen lässt.

2.3 Einfacher Zugang durch veraltete IT-Systeme (Legacy-Systeme)#

Die meiste Kern-Bankensoftware läuft auf Plattformen, die von den Anbietern Jahre später nicht mehr unterstützt werden, sodass bekannte Sicherheitslücken noch lange nach der Verfügbarkeit von Patches für neuere Plattformen offen bleiben. Jahrzehntelange aufgesetzte Patches, wie Mainframes, die mit Webportalen, kundenspezifischer Middleware und Ad-hoc-Skripten verbunden sind, können ein verworrenes Netz schaffen, bei dem das Durchbrechen eines einzigen schwachen Gliedes alles von Kundensalden bis hin zu Zahlungssystemen kompromittieren kann. Da diese veralteten Systeme oft neuere Sicherheitsfunktionen wie Multifaktor-Logins oder ständige Überwachungsagenten nicht unterstützen können, sind Sicherheitsteams zu Workarounds gezwungen, die Angreifer zu umgehen lernen. Strenge Change-Control-Richtlinien erhöhen das Risiko: Das Testen von Patches kann Wochen, sogar Monate dauern, bevor sie implementiert werden, was den Angreifern ein beträchtliches Zeitfenster bietet, um sie auszunutzen.

2.4 Menschliche Fehler und Insider-Bedrohungen#

Trotz fortschrittlicher Sicherheitstools bleibt menschliches Verhalten eine kritische Schwachstelle im Finanzsektor. Finanzinstitute sind große Organisationen mit Tausenden von Mitarbeitern, Auftragnehmern und Partnern, von denen jeder versehentlich oder böswillig die Tür für Angreifer öffnen kann. Phishing, die Wiederverwendung von Anmeldedaten und Social Engineering bleiben die wichtigsten Einfallstore für Datenlecks. Darüber hinaus können Insider mit privilegiertem Zugriff, wie z. B. IT-Administratoren oder verärgerte Mitarbeiter, viele standardmäßige Sicherheitskontrollen umgehen, was es besonders schwierig macht, interne Bedrohungen zu erkennen und zu verhindern.

3. Die größten Datenlecks im Finanzsektor#

Im Folgenden finden Sie eine weltweite Liste der größten Datenlecks im Finanzsektor. Die Datenlecks sind absteigend nach der Anzahl der betroffenen Konten sortiert.

3.1 Datenleck bei der First American Financial Corporation (2019)#

Im Mai 2019 legte die First American Financial Corporation, einer der größten Anbieter von Eigentums-Versicherungen und Abwicklungsdiensten in den USA, durch eine Schwachstelle auf ihrer Website etwa 885 Millionen sensible Datensätze offen. Aufgrund einer unzureichenden Zugriffskontrolle konnte jeder mit einem gültigen URL-Link zu einem Dokument andere, nicht damit zusammenhängende Dokumente einsehen, indem er einfach Ziffern in der URL änderte – ganz ohne Authentifizierung.

Die geleakten Dokumente enthielten wichtige finanzielle und persönliche Informationen, wie z. B. Sozialversicherungsnummern, Bankkontodaten, Hypothekenunterlagen und Steuerdokumente, wodurch Kunden einem erheblichen Risiko für Betrug und Identitätsdiebstahl ausgesetzt waren. Das Datenleck war angesichts der hochsensiblen Natur der Immobilientransaktionsdaten besonders alarmierend und verdeutlichte große Lücken in den Sicherheitspraktiken für Webanwendungen im gesamten Finanzsektor.

Präventionsmethoden:

• Implementieren Sie robuste Zugriffskontrollen und Authentifizierungsprüfungen für Dokumenten-Repositories.

• Führen Sie gründliche Sicherheitstests (z. B. Penetrationstests) durch, bevor Sie Anwendungen öffentlich bereitstellen.

• Überwachen und überprüfen Sie die Zugriffsmuster auf Anwendungen, um abnormales Verhalten frühzeitig zu erkennen.

3.2 Equifax Datenleck (2017)#

Das Equifax-Datenleck, das im September 2017 öffentlich bekannt gegeben wurde, bleibt einer der folgenreichsten Vorfälle im Bereich der Cybersicherheit in der Finanzgeschichte. Angreifer nutzten eine bekannte Schwachstelle (CVE-2017-5638) in Apache Struts, einem Open-Source-Webanwendungs-Framework, aus. Obwohl im März 2017 ein Sicherheits-Patch veröffentlicht wurde, versäumte es Equifax, sein US-Online-Streitfallportal zu aktualisieren, wodurch die Systeme über zwei Monate lang anfällig blieben.

Die Angreifer führten umfangreiche Aufklärungsmaßnahmen durch, sendeten über 9.000 Abfragen an 48 unzusammenhängende Datenbanken und extrahierten 265 Mal erfolgreich sensible personenbezogene Daten. Erschwerend kam hinzu, dass ein abgelaufenes Sicherheitszertifikat kritische Überwachungstools deaktivierte, was die Entdeckung des Datenlecks erheblich verzögerte.

Die Folgen waren gravierend: Equifax sah sich mit Klagen und behördlichen Untersuchungen konfrontiert und zahlte letztendlich einen Vergleich in Höhe von 1,38 Mrd. US-Dollar, der die Entschädigung von Verbrauchern und die Verbesserung der Cybersicherheit abdeckte. Das Datenleck führte zu Gesetzesänderungen in den USA, die es Verbrauchern ermöglichen, Kreditauskünfte kostenlos sperren zu lassen. Im Februar 2020 klagten die USA vier chinesische Militärangehörige wegen der Durchführung des Hacks an, obwohl China jegliche Beteiligung abstritt.

Präventionsmethoden:

• Wenden Sie Sicherheitspatches und Updates für Software und Frameworks umgehend an.

• Halten Sie aktive Überwachungstools aufrecht und überprüfen Sie regelmäßig die Sicherheitszertifikate.

• Implementieren Sie eine umfassende Verschlüsselung und robuste Zugriffskontrollen für sensible Daten.

• Führen Sie fortlaufend Sicherheitsbewertungen durch und ergreifen Sie proaktive Maßnahmen zur Bedrohungserkennung.

3.3 Heartland Payment Systems Datenleck (2008–2009)#

Das Datenleck bei Heartland Payment Systems, das im Januar 2009 aufgedeckt wurde, zählt zu den größten Lecks von Kartendaten, die jemals verzeichnet wurden. Angreifer verschafften sich Ende 2007 zunächst über eine SQL-Injection-Schwachstelle auf der Unternehmenswebsite von Heartland Zugang. Anschließend setzten sie Malware im Zahlungsverarbeitungsnetzwerk des Unternehmens ein, die während der Transaktionen sensible Kartendaten erfasste, darunter Kartennummern, Namen, Ablaufdaten und Sicherheitscodes.

Die Malware blieb monatelang unentdeckt und kompromittierte etwa 130 Millionen Karten. Verdächtige Transaktionen, die von Visa und MasterCard zurückverfolgt wurden, führten zur Entdeckung des Lecks, und Heartland legte den Vorfall öffentlich offen und kooperierte umfassend mit den Strafverfolgungsbehörden. Das Datenleck kostete Heartland zwischen 170 und 200 Mio. US-Dollar, einschließlich Bußgeldern, Vergleichen und dem Verlust der geschäftlichen Glaubwürdigkeit. Albert Gonzalez, der Cyberkriminelle hinter dem Angriff, wurde zu 20 Jahren Gefängnis verurteilt, was zu dieser Zeit die längste Haftstrafe für Cyberkriminalität war.

Präventionsmethoden:

• Führen Sie regelmäßig Schwachstellenscans und Penetrationstests durch, um kritische Schwachstellen wie SQL-Injections zu erkennen und zu beheben.

• Implementieren Sie eine Ende-zu-Ende-Verschlüsselung für sensible Transaktionsdaten, um sicherzustellen, dass die Daten sowohl im Ruhezustand als auch bei der Übertragung geschützt bleiben.

• Etablieren Sie proaktive, kontinuierliche Überwachungs- und fortschrittliche Bedrohungserkennungssysteme, um Malware oder unbefugten Netzwerkzugriff schnell zu identifizieren.

• Stellen Sie sicher, dass Compliance-Standards umfassende Cybersicherheitspraktiken und -protokolle ergänzen und nicht ersetzen.

3.4 Capital One Datenleck (2019)#

Das Datenleck bei Capital One, das sich im März 2019 ereignete und vier Monate später entdeckt wurde, war das Ergebnis einer falsch konfigurierten Web Application Firewall in der Amazon Web Services (AWS) Cloud-Umgebung der Bank. Paige Adele Thompson, eine ehemalige AWS-Mitarbeiterin, nutzte ihr Insiderwissen, um auf fast 30 GB sensibler Kundeninformationen zuzugreifen und diese herunterzuladen.

Die offengelegten Daten umfassten persönliche Identifikatoren, detaillierte Kreditverläufe, Sozialversicherungsnummern und Bankkontoinformationen, wovon über 106 Millionen Menschen in den USA und Kanada betroffen waren. Capital One sah sich mit schwerwiegenden regulatorischen und rechtlichen Konsequenzen konfrontiert und zahlte letztendlich über 300 Mio. US-Dollar an Bußgeldern, Vergleichen und für Behebungsmaßnahmen, darunter ein Bußgeld von 80 Mio. US-Dollar wegen unzureichendem Risikomanagement seiner Cloud-Infrastruktur.

Das Datenleck beschädigte den Ruf von Capital One erheblich und führte zu beträchtlichen Investitionen in die Verbesserung der Cybersicherheit, insbesondere in eine verbesserte Cloud-Konfiguration und robuste Zugriffskontrollen.

Präventionsmethoden:

• Überprüfen Sie regelmäßig Cloud-Umgebungen und -Konfigurationen, um Fehlkonfigurationen zu vermeiden, die zu unbefugtem Zugriff führen könnten.

• Implementieren Sie strenge Zugriffskontrollmaßnahmen, insbesondere zur Überwachung der Aktivitäten von Personal mit Insiderwissen oder administrativen Berechtigungen.

• Behalten Sie eine kontinuierliche Sicherheitsüberwachung bei, um Schwachstellen und Datenlecks schnell zu erkennen.

• Bieten Sie umfassende Schulungen zum Thema Cybersicherheit an, die Cloud-Sicherheitspraktiken für das gesamte IT-Personal hervorheben.

3.5 Experian Datenlecks (2012–2020)#

Experian, ein globaler Riese für Bonitätsprüfungen, hat mehrere schwerwiegende Datenlecks erlitten, die Dutzende Millionen von Menschen weltweit betrafen.

• Court Ventures Datenleck 2012–2013: Nach der Übernahme von Court Ventures durch Experian griff ein Hacker, der sich als Privatdetektiv ausgab, unrechtmäßig auf sensible personenbezogene Daten zu und verkaufte diese online, was Millionen Menschen betraf.

• T-Mobile Datenleck 2015: Hacker griffen auf einen Experian-Server zu, auf dem Kreditanträge von T-Mobile-Kunden gespeichert waren, und kompromittierten so die persönlichen Daten von etwa 15 Millionen Personen. Trotz Verschlüsselung sollen die Angreifer die Schutzmechanismen umgangen und sensible Identitätsinformationen erlangt haben.

• Datenleck in Südafrika 2020: Eine betrügerische Person brachte Experian dazu, Daten über etwa 24 Millionen Bürger und fast 800.000 Unternehmen preiszugeben, was ernsthafte Bedenken hinsichtlich Identitätsdiebstahl weckte.

Diese Vorfälle beschädigten die Glaubwürdigkeit von Experian erheblich, zogen umfassende regulatorische Untersuchungen nach sich und zeigten das Risiko von Verbrauchern für Identitätsdiebstahl und Finanzbetrug. Als Reaktion darauf verbesserte Experian seine Sicherheitsmaßnahmen, kooperierte mit den Behörden und stellte den betroffenen Personen Dienste zur Bonitätsüberwachung zur Verfügung.

Präventionsmethoden:

• Verbessern Sie Protokolle zur Identitätsprüfung und interne Kontrollen, um Social Engineering und betrügerische Zugriffsversuche zu verhindern.

• Wenden Sie Verschlüsselungsstandards in Verbindung mit regelmäßigen Sicherheitsaudits an, um sicherzustellen, dass Daten auch dann geschützt bleiben, wenn auf sie zugegriffen wird.

• Führen Sie bei Fusionen und Übernahmen eine gründliche Due-Diligence-Prüfung der Cybersicherheit durch und halten Sie auch nach der Übernahme eine konsequente Überwachung aufrecht.

• Aktualisieren und verbessern Sie regelmäßig die Schulungsprogramme zur Sensibilisierung von Mitarbeitern für Cybersicherheit.

3.6 JPMorgan Chase Datenleck (2014)#

Im Jahr 2014 meldete JPMorgan Chase eines der größten Datenlecks, das jemals den US-Finanzsektor getroffen hat. Es betraf etwa 76 Millionen Haushalte und 7 Millionen kleine Unternehmen. Angreifer verschafften sich Zugang über ein kompromittiertes Mitarbeiterkonto und nutzten Schwächen in der Netzwerkinfrastruktur der Bank aus. Obwohl keine finanziellen Informationen wie Kontonummern, Passwörter oder Sozialversicherungsnummern gestohlen wurden, erlangten die Angreifer Namen, Adressen, E-Mail-Adressen und Telefonnummern.

Der Vorfall zog aufgrund der entscheidenden Rolle der Bank in der US-Wirtschaft große Aufmerksamkeit auf sich und löste in der gesamten Branche für Finanzdienstleistungen Alarm hinsichtlich der Bereitschaft zur Cybersicherheit aus. Es führte zu einer verstärkten behördlichen Prüfung und veranlasste viele Finanzinstitute, ihre Cybersicherheits-Frameworks neu zu bewerten, insbesondere in Bezug auf den Schutz von Mitarbeiterkonten und die Netzwerksegmentierung.

Präventionsmethoden:

• Erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) für alle internen und externen Konten.

• Implementieren Sie eine robuste Netzwerksegmentierung, um laterale Bewegungen im Falle einer Kompromittierung zu begrenzen.

• Testen und aktualisieren Sie regelmäßig Sicherheitsprotokolle für das Access Management von Mitarbeitern.

3.7 Block, Inc. (Cash App Investing) Datenleck (2021)#

Im Dezember 2021 erlebte Block, Inc. (ehemals Square) ein Datenleck, das etwa 8,2 Millionen Kunden seines Cash App Investing-Produkts betraf. Das Datenleck betraf einen ehemaligen Mitarbeiter, der nach seiner Kündigung weiterhin unbefugten Zugriff behielt, was auf erhebliche Schwächen in den Offboarding- und Access Management-Prozessen von Block hindeutete.

Der ehemalige Mitarbeiter lud Berichte herunter, die sensible brokeragebezogene Daten enthielten, wie z. B. Namen, Kontonummern und bei einigen Kunden detaillierte Portfolio- und Handelsaktivitäten. Sensible finanzielle Identifikatoren wie Sozialversicherungsnummern und Zahlungsinformationen wurden nicht kompromittiert.

Block legte den Vorfall vier Monate später, im April 2022, öffentlich offen, was Kritik und Sammelklagen wegen verspäteter Benachrichtigung und unzureichender Sicherheitsvorkehrungen auslöste. Der Vorfall veranlasste Block, seine internen administrativen Kontrollen zu stärken, Maßnahmen zur Verhinderung von Datenverlusten zu verbessern und eng mit Strafverfolgungsbehörden und Aufsichtsbehörden zusammenzuarbeiten.

Präventionsmethoden:

• Entziehen Sie ausscheidenden Mitarbeitern sofort den Systemzugriff und die Anmeldeinformationen, um Insider-Bedrohungen zu minimieren.

• Implementieren Sie robuste Frameworks zur Zugriffskontrolle, die das Prinzip des geringsten Privilegs (Least Privilege) durchsetzen.

• Führen Sie regelmäßig Audits durch und wenden Sie strenge Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) an, um unbefugten Datenzugriff oder Exfiltration schnell zu erkennen.

• Sorgen Sie für eine sofortige Offenlegung und Transparenz bei der Benachrichtigung über Datenlecks, um das Vertrauen der Kunden und die Einhaltung gesetzlicher Vorschriften zu wahren.

3.8 Desjardins Group Datenleck (2016–2019)#

Die Desjardins Group, eine der größten Finanzgenossenschaften Kanadas, wurde Opfer eines massiven, von Insidern verursachten Datenlecks, das die persönlichen und finanziellen Daten von fast 9,7 Millionen Personen preisgab. Das Leck wurde entdeckt, nachdem eine interne Untersuchung ergeben hatte, dass ein inzwischen ehemaliger Mitarbeiter über einen Zeitraum von mindestens 26 Monaten Daten gesammelt und weitergegeben hatte. Die Informationen wurden nach außerhalb der Organisation transferiert und von den Überwachungssystemen von Desjardins nicht erkannt, bis sich der Bundesdatenschutzbeauftragte einschaltete.

Die Art dieses Datenlecks, das auf dem Missbrauch legitimer interner Zugänge beruhte, zeigte systemische Schwächen in den internen Kontrollen von Desjardins auf, insbesondere in den Bereichen Überwachung der Benutzeraktivitäten, Zugriffsrechte und Warnungen bei Datenexfiltration. Es bleibt eines der bedeutendsten Beispiele für eine Insider-Bedrohung in der kanadischen Unternehmensgeschichte, vor allem wegen der Dauer des Datenlecks und der Sensibilität der kompromittierten Daten.

Präventionsmethoden:

• Setzen Sie strenge Zugriffskontrollen und Richtlinien für das geringste Privileg durch.

• Überwachen und überprüfen Sie regelmäßig den Datenzugriff von Mitarbeitern.

• Nutzen Sie Verhaltensanalysen (Behavioral Analytics), um ungewöhnliche Aktivitäten zu erkennen.

3.9 Westpac Banking Corporation Datenlecks (2019–2024)#

Westpac, eine große australische Bank, sah sich zwischen 2019 und 2024 mit mehreren datenbezogenen Vorfällen konfrontiert, insbesondere im Zusammenhang mit ihrer PayID-Plattform.

• Anfang 2019 wurden durch ein Datenleck bei LandMark White, einem mit Westpac zusammenarbeitenden Immobilienbewertungsunternehmen, Immobilienbewertungsdaten und Kundenkontaktinformationen offengelegt. Westpac suspendierte den Anbieter umgehend und benachrichtigte die betroffenen Personen.

• Im Mai 2019 nutzten Angreifer Enumeration-Techniken, um über den PayID-Dienst von Westpac etwa 98.000 Kundennamen und zugehörige Handynummern zu extrahieren. Obwohl keine Anmeldedaten für das Bankwesen oder Kontonummern kompromittiert wurden, bargen die offengelegten Daten das Risiko von massivem Betrug und Identitätsdiebstahl.

• Im Oktober 2024 kam es bei Westpac zu erheblichen Störungen im Online- und Mobile-Banking, die mehrere Tage andauerten und zunächst Bedenken hinsichtlich möglicher Cyberangriffe aufkommen ließen. Obwohl die Ausfälle konsistent mit Denial-of-Service (DoS)-Angriffen zu sein schienen, bestätigte Westpac, dass keine Kundendaten kompromittiert wurden.

Diese Vorfälle unterstrichen insgesamt die Bedeutung von robuster Datensicherheit, Drittanbieter-Risikomanagement und proaktiven Strategien zur Reaktion auf Vorfälle.

Präventionsmethoden:

• Stärken Sie die Abwehrmaßnahmen gegen Enumeration-Angriffe durch verbesserte Ratenbegrenzung, Anomalieerkennung und mehrschichtige Authentifizierungsmaßnahmen.

• Implementieren Sie umfassende Protokolle für das Risikomanagement von Drittanbietern, einschließlich kontinuierlicher Überwachung und regelmäßiger Cybersicherheitsbewertungen von Anbietern.

• Erhalten Sie robuste Cyber-Resilienz-Frameworks aufrecht, die in der Lage sind, schnell auf Denial-of-Service-Angriffe zu reagieren und diese einzudämmen, um die Kontinuität der Dienste sicherzustellen.

• Erhöhen Sie die Transparenz gegenüber Kunden und die Kommunikation bezüglich Cybersicherheitsrisiken und Reaktionen auf Vorfälle.

3.10 Flagstar Bank Datenlecks (2021–2023)#

Die Flagstar Bank, ein prominentes US-Finanzinstitut, erlitt zwischen 2021 und 2023 mehrere schwerwiegende Datenlecks, von denen Millionen von Kunden betroffen waren:

• Datenleck im Dezember 2021: Angreifer verschafften sich direkten Zugang zum Netzwerk von Flagstar und kompromittierten die persönlichen Daten, einschließlich Namen und Sozialversicherungsnummern, von etwa 1,5 Millionen Kunden. Die Aufsichtsbehörden verhängten gegen Flagstar eine Geldstrafe von 3,5 Mio. US-Dollar wegen unzureichender Offenlegung und irreführender Kommunikation über das Datenleck.

• MOVEit Transfer Datenleck im Mai 2023: Der Drittanbieter Fiserv, der Dienstleistungen für Flagstar erbringt, erlebte ein Datenleck über die MOVEit Transfer-Schwachstelle, das etwa 837.390 Kunden von Flagstar betraf. Bei dem Vorfall wurden umfangreiche persönliche Daten wie Adressen, Telefonnummern und möglicherweise Sozialversicherungsnummern und Steuerunterlagen offengelegt.

• Accellion Datenleck Anfang 2021: Flagstar gehörte zu mehreren Institutionen, die von Schwachstellen in der veralteten File Transfer Appliance von Accellion betroffen waren, wodurch sensible Daten von fast 1,5 Millionen Kunden, wie Sozialversicherungsnummern und Steuerdokumente, kompromittiert wurden.

Diese Vorfälle führten zu behördlichen Strafen, erheblichen Behebungsbemühungen und Zusagen von Flagstar, die Cybersicherheitsmaßnahmen deutlich zu verbessern.

Präventionsmethoden:

• Stärken Sie interne Cybersicherheitspraktiken mit Schwerpunkt auf schneller Erkennung, Behebung und klaren Offenlegungsverfahren.

• Führen Sie regelmäßige Cybersicherheitsbewertungen von Drittanbietern durch und setzen Sie strenge Protokolle für das Anbietermanagement durch.

• Ersetzen Sie veraltete Systeme umgehend und wenden Sie kritische Sicherheitspatches an, sobald diese verfügbar sind.

• Bieten Sie fortlaufende Cybersicherheitsschulungen für das Personal an und implementieren Sie umfassende Lösungen zur Verhinderung von Datenverlusten (DLP) und zur Bedrohungsüberwachung.

4. Häufige Muster bei Datenlecks im Finanzsektor#

Die Analyse dieser bedeutenden Datenlecks im Finanzsektor zeigt mehrere wiederkehrende Schwachstellen und Cybersicherheitslücken auf. Finanzinstitute müssen diese häufigen Muster erkennen und proaktiv angehen, um sensible Informationen und das Vertrauen der Kunden besser zu schützen:

4.1 Ausnutzung bekannter Schwachstellen und ungepatchter Systeme#

Viele große Datenlecks, wie z. B. bei Equifax und der Flagstar Bank, traten auf, weil verfügbare Software-Patches nicht umgehend angewendet wurden. Equifax versäumte es monatelang, eine gut dokumentierte Apache-Struts-Schwachstelle zu patchen, was zu einem katastrophalen Datenleck führte, das fast 148 Millionen Menschen betraf. In ähnlicher Weise veranschaulichen die Datenlecks der Flagstar Bank über die MOVEit Transfer- und Accellion FTA-Schwachstellen die kostspieligen Folgen eines verzögerten Patchings. Finanzorganisationen müssen strenge Patch-Management-Verfahren einführen, einschließlich kontinuierlicher Schwachstellenscans, schneller Software-Updates und gründlicher Tests vor der Bereitstellung, um Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.

4.2 Schwächen in der Zugriffskontrolle und im Management von Insider-Bedrohungen#

Unzureichende interne Zugriffskontrollen haben wiederholt dazu geführt, dass Insider-Bedrohungen erheblichen Schaden anrichten konnten, wie bei den Datenlecks der Desjardins Group und Block (Cash App Investing) zu sehen war. Bei Desjardins ermöglichte eine unzureichende Aufsicht einem Mitarbeiter, Kundendaten über zwei Jahre hinweg systematisch zu exfiltrieren. Ebenso versäumte es Block, einem ehemaligen Mitarbeiter den Zugriff umgehend zu entziehen, was zu einer unbefugten Datenextraktion führte, die Millionen von Nutzern betraf. Diese Datenlecks betonen die Notwendigkeit, ein strenges Access Management durchzusetzen, Anmeldedaten beim Ausscheiden von Mitarbeitern umgehend zu widerrufen, den internen Datenzugriff genau zu überwachen und das Personal regelmäßig darin zu schulen, Insider-Risiken zu erkennen und zu mindern.

4.3 Unzureichende Überwachung und verzögerte Erkennung#

Eine verzögerte Erkennung verschlimmerte den Schaden bei den Datenlecks von Heartland Payment Systems, Desjardins Group und Equifax erheblich. Die Angreifer von Heartland blieben monatelang unentdeckt und fingen Kartendaten ohne Unterbrechung ab. Desjardins erlebte eine Datenexfiltration, die sich über zwei Jahre erstreckte, bevor sie entdeckt wurde. Der Vorfall bei Equifax verdeutlichte ein Versäumnis, bei dem abgelaufene Zertifikate die Überwachungssysteme 19 Monate lang deaktivierten. Um solche Risiken zu mindern, müssen Finanzinstitute eine robuste Echtzeitüberwachung, kontinuierlich aktualisierte Sicherheitszertifikate und fortschrittliche Tools zur Anomalieerkennung implementieren, um Bedrohungen schnell zu erkennen und darauf zu reagieren.

4.4 Langsame oder ineffektive Reaktion auf Vorfälle und Offenlegung#

Eine schlechte Reaktion auf Vorfälle und eine verzögerte Offenlegung verstärkten die Konsequenzen für die Datenlecks bei Block, Equifax und der Flagstar Bank enorm. Block sah sich mit Kritik wegen einer viermonatigen Verzögerung der Offenlegung konfrontiert, während die langsame Reaktion von Equifax behördliche Untersuchungen und massive Vergleichszahlungen anheizte. Die unzureichenden Offenlegungen der Flagstar Bank führten zu erheblichen behördlichen Strafen. Ein effektives Incident Management erfordert klar definierte und geübte Reaktionsprotokolle, eine transparente und zeitnahe Kommunikation mit Aufsichtsbehörden und Kunden sowie eine entschlossene interne Koordination, um Reputationsschäden und behördliche Auswirkungen zu begrenzen.

5. Fazit#

Die Analyse der größten Datenlecks im globalen Finanzsektor zeigt klare Muster auf: Die meisten Datenlecks wurden nicht durch komplexe Hacking-Techniken verursacht, sondern vielmehr durch grundlegende Versäumnisse in der Cybersicherheit wie verzögertes Patching, unzureichende interne Kontrollen, mangelhafte Überwachung und ineffektive Reaktionen auf Vorfälle. Diese wiederholten Schwachstellen heben eine wichtige Lektion hervor: Finanzinstitute müssen über die grundlegende Compliance hinausgehen und Cybersicherheit proaktiv in ihre Betriebskultur einbetten. Die Priorisierung von Patch-Management, die Verbesserung der Prävention von Insider-Bedrohungen, die Implementierung einer Echtzeitüberwachung und die Vorbereitung klarer Pläne zur Reaktion auf Vorfälle sind nicht nur Best Practices. Sie sind unerlässlich, um das Vertrauen der Kunden zu erhalten und die langfristige Widerstandsfähigkeit von Finanzorganisationen sicherzustellen.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen#

Was war das größte Datenleck im Finanzsektor nach Anzahl der offengelegten Datensätze?#

Beim Datenleck der First American Financial Corporation im Mai 2019 wurden etwa 885 Millionen sensible Datensätze offengelegt, darunter Sozialversicherungsnummern, Bankverbindungen und Hypothekendokumente. Die Offenlegung geschah, weil jeder ohne Authentifizierung auf vertrauliche Dateien zugreifen konnte, indem lediglich Ziffern in einer URL geändert wurden.

Wie kam es zum Equifax-Datenleck und was kostete es das Unternehmen?#

Equifax versäumte es, mehr als zwei Monate nach Veröffentlichung im März 2017 einen Patch für eine Apache-Struts-Schwachstelle (CVE-2017-5638) zu installieren. Angreifer sendeten über 9.000 Abfragen an 48 Datenbanken und extrahierten 265 Mal Daten. Equifax zahlte letztendlich einen Vergleich in Höhe von 1,38 Mrd. US-Dollar zur Entschädigung der Verbraucher und für Verbesserungen der Cybersicherheit.

Wie verursachen Insider-Bedrohungen Datenlecks bei Finanzinstituten?#

Insider-Bedrohungen verursachten zwei große finanzielle Datenlecks durch den Missbrauch legitimer interner Zugänge. Bei Desjardins exfiltrierte ein Mitarbeiter über 26 Monate hinweg unbemerkt Daten und kompromittierte 9,7 Millionen Personen. Bei Block (Cash App Investing) behielt ein ehemaliger Mitarbeiter nach seiner Kündigung den Systemzugriff und lud Brokerage-Daten herunter, was 8,2 Millionen Kunden betraf.

Was sind die vier häufigsten Muster bei Datenlecks im Finanzsektor?#

Vier wiederkehrende Muster treiben die meisten Datenlecks im Finanzsektor an: das Versäumnis, bekannte Schwachstellen umgehend zu patchen, schwache Zugriffskontrollen, die Insider-Bedrohungen ermöglichen, unzureichende Echtzeit-Überwachung, die zu einer verzögerten Erkennung führt, und eine langsame oder unzureichende Reaktion auf Vorfälle. Die Überwachungstools von Equifax waren aufgrund eines abgelaufenen Zertifikats 19 Monate lang deaktiviert, was die Entdeckung des Datenlecks erheblich verzögerte.