Eine gravierende Sicherheitsverletzung erschüttert das US-amerikanische Finanzsystem: Das Office of the Comptroller of the Currency (OCC), eine zentrale Aufsichtsbehörde des US-Finanzministeriums, wurde Opfer eines weitreichenden Cyberangriffs, der über 20 Monate unentdeckt blieb. Die Attacke ermöglichte Angreifern den Zugriff auf hochsensible Finanzaufsichtsdaten von Mai 2023 bis Februar 2025.
Technische Details der Sicherheitsverletzung
Die Kompromittierung erfolgte über einen kompromittierten Administrator-Account mit erweiterten Zugriffsrechten auf Exchange-Postfächer und interne Systeme. Die Angreifer verschafften sich Zugang zu etwa 150.000 E-Mails, die vertrauliche Aufsichtsinformationen und regulatorische Daten enthielten. Diese Art der Penetration deutet auf eine hochentwickelte Advanced Persistent Threat (APT) Kampagne hin.
Umfang und Auswirkungen der Datenkompromittierung
Die erbeuteten Daten umfassen nicht-öffentliche OCC-Informationen, Controlled Unclassified Information (CUI) sowie personenbezogene Daten und Aufsichtsmaterialien. Besonders kritisch ist der Zugriff auf detaillierte Finanzprüfungsberichte bundesstaatlich regulierter Institutionen, die Einblicke in die Stabilität des US-Finanzsystems gewähren können.
Incident Response und Eindämmungsmaßnahmen
Die Entdeckung des Vorfalls erfolgte am 11. Februar 2025 durch eine Microsoft-Warnung über verdächtige Aktivitäten. Das Incident Response Team reagierte umgehend mit der Deaktivierung des kompromittierten Accounts und der Einbindung forensischer Experten. Diese schnelle Reaktion entspricht den Best Practices des Incident Response Managements.
Strategische Bedeutung und Sicherheitsimplikationen
Der Vorfall steht in direktem Zusammenhang mit einer früheren Attacke auf das US-Finanzministerium im Dezember 2024, bei der eine SaaS-Plattform des Office of Foreign Assets Control (OFAC) kompromittiert wurde. Die Häufung solcher Angriffe unterstreicht die wachsende Bedrohung durch staatlich geförderte APT-Gruppen im Finanzsektor. Laut der offiziellen OCC-Pressemitteilung wird der Vorfall als schwerwiegend eingestuft.
Betroffen: US-Finanzregulierungsbehörden und ihre Datenschutzkonten
Unmittelbar betroffen sind bundesstaatlich regulierte Banken und Finanzinstitutionen in den USA, deren Aufsichtsdaten in den kompromittierten E-Mails enthalten waren. Auch Mitarbeiter und Führungskräfte der OCC, deren personenbezogene Daten möglicherweise offengelegt wurden, sind gefährdet. Darüber hinaus sind indirekt alle US-Bürger betroffen, deren Finanzdaten bei regulierten Institutionen geführt werden, da vertrauliche Prüfberichte nun in den Händen unbekannter Akteure liegen können.
Empfohlene Schutzmaßnahmen
- Implementierung einer Zero-Trust-Architektur: Kein Administrator-Account darf ohne explizite Verifizierung Zugang zu Exchange-Postfächern erhalten.
- Einführung von Privileged Access Management (PAM)-Lösungen zur Überwachung und Protokollierung aller privilegierten Zugriffe.
- Aktivierung erweiterter Endpoint Detection and Response (EDR)-Systeme auf allen Servern mit Zugang zu sensiblen Daten.
- Regelmäßige Rotation von Administrator-Credentials und sofortige Deaktivierung nicht mehr benötigter Konten.
- Einsatz von KI-gestützten Anomalieerkennungssystemen, die ungewöhnliche Zugriffsmengen auf E-Mail-Postfächer in Echtzeit melden.
