Alte Systeme, neue Strafen

Alte Systeme, neue Strafen

Gerichtsunterteil gegen Morgan Stanley ist ein klares Signal an alle Unternehmen

Keyfacts über Datendiebstahl

  • Die Gefahr geht von den Mitarbeitern aus
  • Daten sind bares Geld im Darknet wert
  • Strafen in Millionenhöhe drohen
Zusammenfassung lesen

Unter Bänkern war es wohl eines der Themen des Sommers bislang. Die US-Investmentbank Morgan Stanley muss 1 Mio. US-Dollar Strafe bezahlen, weil das Unternehmen Kundendaten nicht richtig gesichert hat.

Es ist eigentlich kein Geheimnis mehr, dass durch die digitale Eingangstür immer mehr Kriminelle strömen und sich nehmen, was sich auf ihren Festplatten speichern lässt. Kundendaten, Strategiepapiere, Bankverbindungen, Zahlungsnachweise – diese Daten sind im Darknet bares Geld wert.

Auch Morgan Stanley wurde Anfang 2015 Opfer eines solchen Angriffs. Das Kuriose: Ein Mitarbeiter des US-Bankhauses hatte sich laut US-Behörden  an mehr als 730.000 Kundendaten bedient und diese auf seinen Privatrechner übertragen. Dieser Rechner wurde wiederum gehackt und so gelangten die Daten in die Hände von Dritten.

41 Mio.

Datensätze – wie Kundendaten, persönliche Informationen und Bankdaten –  wurden weltweit allein im Mai 2016 gestohlen.

Der Fall von Morgan Stanley kam vor Gericht, und die Schuld wurde dem Bankhaus gegeben. In der Urteilsbegründung wird erwähnt, dass Morgan Stanley nicht genügend dafür getan hätte, um Kundendaten zu sichern. Denn der Mitarbeiter des Hauses soll von seinem Arbeitsrechner, aber auch von seinem Privatrechner aus, Zugriff auf die Kundendaten gehabt haben.

Unternehmen gehen bei Datendiebstahl gerne direkt von externen Tätern aus. Dies ist jedoch ein Irrtum. Datendiebe sind nicht nur außerhalb des Unternehmens unterwegs, sondern sitzen mitunter neben ihnen, lang bekannte Kollegen, kluge Köpfe, lustige Mitstreiter, denen man eine solche Tat nie zugetraut hätte. Das KPMG Cyber Security Maturity Assessment hilft Unternehmen, Sicherheitsmaßnahmen gezielt einzusetzen und sich so vor Cyberattacken zu schützen.

Das US-Bankenhaus wird den Fall aufarbeiten, die Strafe haben sie bereits akzeptiert. Doch viel entscheidender wird sein, welche Lehren die Verantwortlichen aus dem Vorfall ziehen.

Das Unternehmen musste eingestehen, dass die Sicherheitssysteme das letzte Mal vor zehn Jahren erneuert wurden. Rechnet man die Geschwindigkeit dagegen, die die Digitalisierung vorlegt und Anforderungsprofile an Unternehmen verändert, ist der sorglose Umgang mit sensiblen Daten nicht vertretbar.

Anleger müssen darauf vertrauen können, dass sich ihr Geld und Ihre Daten in sicheren Händen befindet. Wer das nicht zu 100 Prozent gewährleisten kann, darf sich auch nicht wundern, wenn ihm der Kunde den Rücken zukehrt.

Vielerorts wird die Digitalisierung immer noch als Einbahnstraße verstanden.

Die neuen Möglichkeiten geben die Richtung vor und wer sie nutzt, ist ganz vorn mit dabei. Diese Aussage ist richtig – fast.

Wer die Chancen richtig nutzen will, muss auch die Risiken kennen und darf sich nicht darauf verlassen, dass schon alles gut gehen wird. Sicherlich wird es Phasen geben, in denen nichts passiert, dies geht in der Regel aber nicht lange gut.

Vorsorge ist immer noch der beste Schutz. Und im Fall eines Sicherheitslecks ist es wichtig, schnell und effektiv zu reagieren.

Die Entscheidung der SEC im Fall Morgan Stanley könnte eine interessante Entwicklung aufzeigen. Ich denke, dass Finanzeinrichtungen in Zukunft noch stärker zur Rechenschaft gezogen werden, wenn sie zu lax mit den Daten ihrer Kunden umgehen.

Dazu sollten sich Top-Entscheider immer auch darüber im Klaren sein, dass jedes System nur so gut ist wie derjenige, der es aufgesetzt hat.

Ein Systemschutz ist wie ein Rätsel für Cyberkriminelle – sie probieren solange, bis sie es geknackt haben. Manche Rätsel sind schwerer zu lösen, andere wiederum kinderleicht.

Darum ist es neben der stetigen Überprüfung auch richtig und wichtig, bei Zwischenfällen Experten zu Rate zu ziehen, die genau sagen können, wo genau die Schwäche lag und welchen Angriffsvektor die Kriminellen verwendeten, um in die Systeme zu gelangen. Nur so können Unternehmen aus Ihren Fehlern lernen und die hauseigenen Sicherheitsmechanismen verbessern.

23. Juni 2016
Zusammengefasst

»Ein Systemschutz ist wie ein Rätsel für Cyberkriminelle – sie probieren solange, bis sie es geknackt haben. Manche Rätsel sind schwerer zu lösen, andere wiederum kinderleicht.«

Datendiebe sind überall unterwegs: Anfang 2015 wurde die Investmentbank Morgan Stanley Opfer. Ein Mitarbeiter hatte mehr als 730.000 Datensätze gestohlen. bestraft wurde jedoch das Unternehmen, da es seine Daten nicht gut genug gesichert hatte. Hinzu kommt, dass die Systeme von Morgan Stanley allem Anschein nach mehr als zehn Jahre alt sind.

Michael Sauermann Partner, Forensic
Ganzen Artikel lesen

Kommentare

Wie können Unternehmen Kundendaten besser schützen?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen