UBS und Pictet melden Datenleck nach Cyberangriff auf Dienstleister - Kundendaten bleiben unberührt

Die Schweizer Banken UBS und Pictet haben am Mittwoch mitgeteilt, dass sie infolge eines Cyberangriffs auf einen Dienstleister in der Schweiz von einem Datenleck betroffen sind. Kundendaten seien jedoch nicht kompromittiert worden, auch wenn ein Bericht darauf hinweist, dass die Daten von Tausenden UBS-Mitarbeitern betroffen sind.

Die Schweizer Zeitung Le Temps berichtete, dass Dateien mit Angaben zu Zehntausenden UBS-Angestellten von der in Baar ansässigen Dienstleistungsfirma Chain IQ entwendet wurden. Auf der Website von Chain IQ werden unter anderem KPMG und Mizuho als Kunden gelistet.

,,Ein Cyberangriff bei einem externen Anbieter hat dazu geführt, dass Informationen über UBS und mehrere andere Unternehmen gestohlen wurden. Es sind keine Kundendaten betroffen", erklärte UBS.

,,Sobald UBS von dem Vorfall erfuhr, wurden umgehend und entschlossen Maßnahmen ergriffen, um jegliche Auswirkungen auf den Geschäftsbetrieb zu verhindern."

Wie Le Temps weiter berichtet, enthielt das durchgesickerte Datenpaket auch die Nummer einer direkten internen Leitung zu UBS-CEO Sergio Ermotti.

Chain IQ teilte mit, dass sie selbst sowie 19 weitere Unternehmen Ziel des Angriffs waren. Infolge dessen seien gestohlene Daten im Darknet - einem Teil des Internets, der über herkömmliche Suchmaschinen nicht zugänglich ist - veröffentlicht worden.

Es seien umgehend Maßnahmen und Gegenmaßnahmen ergriffen worden, und die Situation sei unter Kontrolle, hieß es in einer Stellungnahme von Chain IQ.

Die Schweizer Finanzmarktaufsicht Finma erklärte, dass sie über den Vorfall informiert sei und diesen gemäß den etablierten Verfahren bearbeite.

KPMG betonte in einer Stellungnahme, dass die eigene Infrastruktur nicht von dem Cyberangriff betroffen sei. Dennoch habe man nach Bekanntwerden des Lecks zusätzliche Sicherheitsvorkehrungen getroffen.

Chain IQ, das angab, die Daten seien am Nachmittag des 12. Juni veröffentlicht worden, erklärte, aus Sicherheits- und Ermittlungsgründen keine Angaben zu möglichen Lösegeldforderungen oder Kontakten zu den Angreifern machen zu können.

Die Privatbank Pictet erklärte, die entwendeten Informationen enthielten keine Kundendaten und beschränkten sich auf Rechnungsinformationen mit einigen Zulieferern der Bank, wie Technologieanbieter und externe Berater.

Pictet betonte, dass man Datenschutzverletzungen sehr ernst nehme und Protokolle sowie Vereinbarungen zur Verhinderung unbefugten Zugriffs implementiert habe.

Der Angriff sei eine Erinnerung daran, dass auch die größten Institute durch Dritte angreifbar werden können, was langfristige Auswirkungen auf den Schweizer Bankensektor haben könnte, so Ilia Kolochenko, CEO des in der Schweiz ansässigen Sicherheitsunternehmens ImmuniWeb.