Die Cybersicherheitsbilanz der US-Börsenaufsichtsbehörde Securities and Exchange Commission war bereits unerträglich, bevor Konto X gehackt wurde

Der Hack der SEC

Letztes Jahr überprüfte die interne Aufsichtsbehörde der Behörde die Angelegenheit und stellte fest, dass die Behörde die Cybersicherheitsstandards des Bundes nicht vollständig einhielt, einschließlich der Anforderung, dass öffentlich zugängliche Systeme die Multi-Faktor-Authentifizierung unterstützen müssen. Eine vor einem Jahr durchgeführte separate unabhängige Überprüfung ergab Schwachstellen in den Sicherheitsmaßnahmen des Rates, beispielsweise in den Protokollen zur Verhinderung unbefugten Zugriffs auf das Netzwerk.

Die SEC ist keineswegs die einzige Bundesbehörde, die in den letzten Jahren wegen laxer Cybersicherheitsmaßnahmen in die Kritik geraten ist, aber ihre herausragende Rolle bei der Regulierung von Unternehmen und Märkten in den gesamten Vereinigten Staaten hat sie zu einem besonders beliebten Ziel für Hacker gemacht. Nach Angaben der US-Staatsanwaltschaft erlitt die Behörde im Jahr 2016 einen Cyberangriff, bei dem ihre Geschäftsarchivdatenbank kompromittiert wurde, was es Hackern ermöglichte, von nicht öffentlichen Informationen zu profitieren.

„Wir haben gestern gerade den jüngsten technologischen Verstoß in Washington erlebt, der auch für die SEC ein echtes Tiefpunktgebiet darstellt“, sagte French Hill, republikanischer Kongressabgeordneter aus Arkansas, am Mittwoch bei einer Sitzung des Digital Assets Panel des US-Repräsentantenhauses. Er sagte, die Republikaner im Kongress würden einen Brief an den SEC-Vorsitzenden Gary Gensler schicken und um eine Untersuchung des Hacks bitten. "

Am Donnerstag forderten auch der demokratische Senator Ron Wyden aus Oregon und die republikanische Senatorin Cynthia Lummis aus Wyoming eine Untersuchung des Hacker-Vorfalls. In einem Brief an den Generalinspekteur der SEC forderten die beiden Gesetzgeber eine Untersuchung des „offensichtlichen Versäumnisses der SEC, Best Practices für Cybersicherheit zu befolgen“, einschließlich der Multi-Faktor-Authentifizierung.

Die SEC lehnte es ab, sich zu ihren Cybersicherheitsrichtlinien zu äußern. Das FBI untersucht am Dienstag einen Vorfall, bei dem ein Hacker die Kontrolle über das SEC-Konto auf X, dem Vorgänger von Twitter, übernommen hat. Anschließend veröffentlichten die Hacker einen gefälschten Beitrag, in dem sie fälschlicherweise behaupteten, die Aufsichtsbehörden hätten Pläne für einen börsengehandelten Spot-Bitcoin-Fonds genehmigt, was zu einem Anstieg der Bitcoin-Preise führte. (Einen Tag später genehmigte die Agentur den ETF-Plan).

X sagte in einer Erklärung, dass eine unbekannte Person sich in das SEC-Konto von X gehackt habe, indem sie relevante Telefonnummern erhalten habe. In der Erklärung wurde auch darauf hingewiesen, dass die SEC die Zwei-Faktor-Authentifizierung nicht aktiviert hat, die angesichts der zunehmenden Cyberangriffe zu einer Standardsicherheitsebene für Unternehmen geworden ist. Es bleibt unklar, warum die SEC keine zusätzliche Authentifizierung eingerichtet hat.

Die US-Börsenaufsichtsbehörde (Securities and Exchange Commission) hat kürzlich neue Regeln für öffentliche Unternehmen eingeführt, die von ihnen verlangen, Cybervorfälle innerhalb von vier Werktagen offenzulegen, als Teil einer umfassenderen Anstrengung, die Transparenz bei der Cyberabwehr von Unternehmen zu erhöhen. Im Oktober verklagte die SEC außerdem SolarWinds – das im Jahr 2020 von russischen Hackern gehackt wurde und Unternehmen und Regierungsbehörden bedrohte – und warf dem Unternehmen vor, Sicherheitsrisiken herunterzuspielen und Investoren zu täuschen.

In einer Erklärung am Donnerstag sagte Serrin Turner, eine Anwältin bei Latham & Watkins LLP, die SolarWinds vertritt, dass der SEC-Hack vom Dienstag „zeigt, dass die Sicherheitskontrollen einer Organisation niemals als perfekt umgesetzt gelten können und warum Regulierungsbehörden mit großer Vorsicht und Bescheidenheit an die Cybersicherheit herangehen sollten.“

Gensler selbst hat darauf hingewiesen, dass Unternehmen ihre digitale Sicherheit stärken müssen. Im Oktober veröffentlichte er auf X eine Erinnerung daran, „Ihre Finanzkonten vor Identitätsdiebstahl und Betrug zu schützen“. Eine Maßnahme, die er vorschlug, war die Multi-Faktor-Authentifizierung.

Im Jahr 2022 veröffentlichte das Weiße Haus eine Cybersicherheitsstrategie, in der die Behörden angewiesen wurden, umfassende Maßnahmen zu ergreifen, um die Cybersicherheit besser zu schützen. Die Strategie betont die Notwendigkeit einer Multi-Faktor-Authentifizierung und beschreibt sie als „einen entscheidenden Teil der Sicherheitsgrundlinie der Bundesregierung“.

Der Generalinspekteur der SEC berichtete in einem Brief vom September, dass die SEC bei der Umsetzung dieser Maßnahmen einige Fortschritte gemacht habe. Berichte zeigen jedoch, dass es bei einigen Aufgaben immer noch Rückstände gibt. Insbesondere hatte die SEC zum Zeitpunkt der letztjährigen Prüfung nicht alle ihre öffentlich zugänglichen Systeme für die Unterstützung der Multi-Faktor-Authentifizierung konfiguriert.

Aus dem Bericht des Generalinspekteurs geht hervor, dass die SEC stattdessen „im Großen und Ganzen“ konform war, weil alle bis auf eines ihrer Systeme auf die Verwendung von Login.gov migriert wurden, einer umfassenderen Zugangswebsite der Bundesregierung, die eine Zwei-Faktor-Authentifizierung erfordert. Während die SEC davon ausgeht, dass das verbleibende Systemrisiko begrenzt ist, vertritt der Generalinspekteur die Ansicht, dass eine Anti-Phishing-Authentifizierung weiterhin erforderlich sei, um Hacker daran zu hindern, Zugriff auf die Netzwerke der SEC zu erhalten.

Kearney & Co. führte eine separate Bewertung der Datensicherheitskontrollen der SEC durch und stellte fest, dass die Behörde Verfahren zur Beschränkung des Zugriffs auf ihre Systeme nicht konsequent implementierte. Bei der im Jahr 2022 durchgeführten Überprüfung wurde festgestellt, dass einige Mängel bereits fünf Jahre zurückliegen. Spezifische Mängel wurden geschwärzt, die Studie ergab jedoch, dass die Schwachstellen teilweise durch die Homeoffice-Richtlinien im Zusammenhang mit der COVID-19-Pandemie verursacht wurden. Kearney kam schließlich zu dem Schluss, dass das Informationssicherheitsprogramm der SEC nicht der bundesstaatlichen Definition von „effektiv“ entsprach.

Im vergangenen Jahr musste die SEC aufgrund laxer Datensicherheitsmaßnahmen 42 Durchsetzungsfälle vor ihren internen Gerichten abweisen.

Die Behörde stellte fest, dass einige Polizeibeamte Memos einsehen konnten, die sie nicht sehen sollten. Die SEC sagte damals, sie bedauere das Versäumnis und mache dafür das Fehlen angemessener Schutzmaßnahmen verantwortlich.

Im Jahr 2016 drang eine Gruppe osteuropäischer Hacker in die Datenbank der Regulierungsbehörde mit Unternehmensdokumenten ein. Aus Gerichtsdokumenten geht hervor, dass die Hacker Finanzberichte nicht öffentlicher Unternehmen gestohlen und damit gehandelt haben, wodurch sie mehr als 4,1 Millionen US-Dollar verdienten.

Im September empfahlen die Aufsichtsbehörden, derselben Datenbank Funktionen zur Multi-Faktor-Authentifizierung hinzuzufügen.