Das Schweizer Finanzinstitut Habib Bank AG Zürich untersucht Berichte über einen grossen Cyberangriff, nachdem eine Ransomware-Gruppe die Verantwortung für den Diebstahl von rund 2,5 Terabyte interner Daten übernommen hat. Die Angreifer, die als Qilin bekannt sind, sagten, sie hätten fast zwei Millionen Dateien von der Bank erhalten, darunter sensible Kundeninformationen und interne Dokumente.
Die Gruppe veröffentlichte die Behauptung am 5. November auf ihrer Leak-Website und veröffentlichte Screenshots, die Passscans, Kontostände, Transaktionsaufzeichnungen und Abschnitte des internen Softwarecodes der Bank zu zeigen scheinen. Cybersicherheitsforscher, die das durchgesickerte Material überprüft haben, sagten, dass es mit Daten eines Finanzinstituts übereinstimmt, obwohl der Verstoß noch nicht unabhängig verifiziert wurde.
Die 1967 gegründete Habib Bank ist in mehreren Regionen tätig, darunter die Schweiz, Großbritannien, die Vereinigten Arabischen Emirate, Hongkong und Kenia. Das Unternehmen beschäftigt fast 8.000 Mitarbeiter in fast 600 Filialen weltweit und erzielte im vergangenen Jahr einen Umsatz von rund 750 Millionen US-Dollar. Die Bank hat sich noch nicht öffentlich zu dem Vorfall geäußert oder bestätigt, ob ihre Systeme kompromittiert wurden.
Sollte sich der Verstoß bestätigen, wäre dies einer der schwerwiegendsten Angriffe auf ein europäisches Finanzinstitut in diesem Jahr. Das Ausmaß der angeblich erbeuteten Daten deutet darauf hin, dass die Angreifer tiefgreifenden Zugriff auf Betriebssysteme hatten. Cybersicherheitsexperten sagen, dass die Einbeziehung von internem Quellcode weitere Angriffe ermöglichen oder Schwachstellen in der digitalen Infrastruktur der Bank aufdecken könnte.
Die Qilin-Gruppe, die mit mehreren großen Erpressungskampagnen in Verbindung gebracht wurde, verwendet in der Regel ein Modell der doppelten Erpressung. Es verschlüsselt die Systeme der Opfer, stiehlt große Datenmengen und droht dann mit der Freigabe der gestohlenen Informationen, wenn kein Lösegeld gezahlt wird. Die Veröffentlichung auf der Leak-Website der Gruppe wird oft genutzt, um den Druck und den Reputationsschaden für die Opferorganisation zu erhöhen.
Finanzinstitute sind aufgrund der Menge an sensiblen Informationen, die sie besitzen, und des potenziellen finanziellen Einflusses, den Angreifer erlangen können, nach wie vor häufige Ziele für solche Operationen. Die Banken sind zudem über mehrere Rechtsordnungen hinweg miteinander verbunden, was die Reaktion und die regulatorische Aufsicht erschwert. Experten warnen davor, dass Ransomware-Gruppen oft veraltete Systeme, Softwareabhängigkeiten von Drittanbietern und komplexe Legacy-Infrastrukturen ausnutzen, die nur schwer schnell gepatcht werden können.
Für Kunden der Habib Bank erhöht die potenzielle Offenlegung persönlicher Identifikatoren und Transaktionsaufzeichnungen das Risiko von Betrug und Identitätsdiebstahl. Wenn die durchgesickerten Daten authentisch sind, könnten sie auch Phishing- oder Social-Engineering-Versuche ermöglichen, die auf Kontoinhaber und Mitarbeiter abzielen. Es wird erwartet, dass die Behörden in der Schweiz und in Grossbritannien prüfen, ob die Bank die Aufsichtsbehörden oder betroffene Kunden nach dem Datenschutzrecht benachrichtigen muss.
Die Untersuchungen konzentrieren sich nun darauf, das Ausmaß des Verstoßes zu bestätigen und festzustellen, wie sich die Angreifer Zugang verschafft haben. Forensische Teams untersuchen wahrscheinlich, ob die Kompromittierung von internen Systemen, dem Zugriff des Anbieters oder den Anmeldeinformationen der Mitarbeiter ausging. Angesichts der Behauptung, dass interner Quellcode gestohlen wurde, muss die Bank möglicherweise ihre Softwareentwicklungstools überprüfen und auf Versuche überwachen, neu offengelegten Code auszunutzen.
Ransomware-Angriffe auf Finanzinstitute werden strukturierter und professioneller. Analysten sagen, dass Bedrohungsakteure von opportunistischem Phishing zu mehrstufigen Kampagnen übergehen, die Datendiebstahl mit finanzieller Erpressung und Marktmanipulation kombinieren. Kriminelle Gruppen operieren heute mit unternehmensähnlichen Hierarchien und verlassen sich oft auf Partner für Datenwäsche, Verhandlungen und die Wartung der Infrastruktur.
Dieser Fall spiegelt auch die anhaltende Herausforderung wider, Sicherheit und Transparenz in Einklang zu bringen. Banken bestätigen Cybervorfälle selten sofort, da dies Auswirkungen auf das Marktvertrauen haben kann. Öffentliche Behauptungen über Leckstellen können jedoch schnell eine Reaktion erzwingen. Wenn die Qilin-Gruppe weitere Daten veröffentlicht, können Regulierungs- und Strafverfolgungsbehörden eingreifen, um eine grenzüberschreitende Untersuchung zu koordinieren.
Für den gesamten Finanzsektor ist der Vorfall eine weitere Erinnerung daran, dass die betriebliche Resilienz von mehr abhängt als von Compliance-Audits oder Standard-Cybersicherheitszertifizierungen. Die Institutionen werden aufgefordert, eine Echtzeitüberwachung einzuführen, die Erkennung abnormaler Dateiübertragungen zu verbessern und die internen Zugriffskontrollen zu verstärken. Regelmäßige Sicherheitstests, Programme zur Sensibilisierung der Mitarbeiter und externe Audits werden ebenfalls als unerlässlich angesehen.
Der Fall Habib Bank zeigt, dass selbst alteingesessene Finanzinstitute anfällig für moderne Ransomware-Angriffe sind. Sollten sich die Behauptungen als zutreffend erweisen, könnte die Offenlegung von Kundendaten und Quellcode langfristige Folgen für die Bank und ihre Kunden haben. Während die Ermittlungen fortgesetzt werden, fügt sich der Vorfall zu den immer mehr Beweisen dafür hinzu, dass Ransomware nach wie vor eine der störendsten und kostspieligsten Bedrohungen für den globalen Bankensektor ist.