Hacker nutzen bei Angriff auf weltgrößte Bank ICBC bekannte Schwachstellen
Hacker stören Treasury-Handel über bekannte Schwachstellen
Cyberangriff auf US-Arm von chinesischer Großbank ICBC sorgt trotz vorheriger Warnungen von Behörden für Marktverwerfungen
xaw New York
Hacker haben bei ihrem folgenschweren Angriff auf ICBC Financial Services wohl Schwachstellen ausgenutzt, vor denen US-Behördenvertreter bereits im Vorfeld gewarnt hatten. In einer E-Mail an Bankmanager und Wirtschaftsverbände erklärten Vertreter des US-Finanzministeriums am Montag laut dem „Wall Street Journal“, die Attacke sei über die Ransomware Lockbit 3.0 erfolgt, die sich infektionsartig verbreitet und alle in einem Netzwerk zugänglichen Computersysteme verschlüsselt – mit dem Ziel, Lösegeldzahlungen zu erzwingen.
Die US-Bundespolizei FBI und das Ministerium für Innere Sicherheit hatten die gestiegenen Risiken durch Lockbit 3.0, hinter der wohl eine russischsprachige Hackergruppe steht, bereits im März hervorgehoben. Zudem wies die Informationssicherheitsbehörde CISA noch vor wenigen Wochen auf Verwundbarkeiten im Zusammenhang mit einzelnen Systemen der Cloud-Computing-Firma Citrix hin. Die Hacker sollen beim ICBC-Angriff gezielt Citrix-Nutzer ins Visier genommen haben. Nun steht der Vorwurf im Raum, dass die Bank die am vergangenen Donnerstag bekannt gewordene Cyberattacke hätte verhindern können.
Zentrale Rolle im Clearing
Das chinesische Geldhaus ist nach Assets global führend – und füllt mit der Einheit ICBC Financial Services eine wichtige Funktion im US-Finanzmarkt aus. Denn die Sparte ist wie die Großbanken J.P. Morgan und Goldman Sachs Mitglied der Fixed Income Clearing Corporation.
Diese ist dafür verantwortlich, Forderungen und Verbindlichkeiten aus Staatsanleihe-Trades durch Verrechnung auszugleichen und damit die Abwicklung des Treasury-Handels vorzubereiten. ICBC Financial Services nimmt insbesondere im Clearing von Repo-Geschäften – bei denen eine Partei Wertpapiere verkauft und diese kurzfristig zu einem höheren Preis zurück erwirbt – für Hedgefonds eine überproportional große Rolle ein.
Verbindungen gekappt
ICBC war infolge der Cyberattacke in der vergangenen Woche gezwungen, einen Teil ihrer Systeme zu isolieren. Sie unterbrach die direkten Verbindungen zum Treasury-Markt und zur Plattform der Bank of New York Mellon, über die ihre Trades abgewickelt werden. ICBC schuldete dem US-Geldhaus darauf zeitweise 9 Mrd. Dollar – ein Vielfaches des Nettokapitals der amerikanischen Clearing-Einheit. Die chinesische Mutter musste der Sparte laut Insidern darauf Mittel zuführen, um offene Trades abwickeln zu können. Die in den USA außerbörslich gehandelten Hinterlegungsscheine (ADR) auf die in Schanghai und Hongkong gelisteten ICBC-Aktien waren Kursschwankungen ausgesetzt.
Laut Teilnehmern eines Telefonats zwischen Bankvertretern und Marktteilnehmern war ICBC Financial Services am Montagnachmittag noch nicht wieder am Netz und clearte ihre Trades manuell. In der Folge machten Behauptungen angeblicher Lockbit-Bandenmitglieder die Runde, gemäß denen die chinesische Bank ein Lösegeld bezahlt habe – ICBC-Manager äußerten sich dazu nicht.
Verwerfungen bei Bond-Auktion
Die Attacke störte eine Auktion dreißigjähriger Staatsanleihen. Viele Dealer konnten nicht mit Marktteilnehmern handeln, die ihre Treasury-Trades üblicherweise über ICBC clearen. Dies traf den Markt in einer Phase, in der wiederholte Haushaltsstreitigkeiten in Washington zu einer steigenden Skepsis der Investoren bezüglich der finanziellen Stabilität der Vereinigten Staaten führten.
In der vergangenen Woche mussten Primärhändler in der Folge 24,7% der begebenen 30-jährigen Treasuries Volumen von 24 Mrd. Dollar auf die eigenen Bücher nehmen. Der Anteil fiel damit nahezu doppelt so hoch aus wie im Schnitt der vergangenen sechs Monate. Angesichts der niedrigen Beteiligung an der Auktion schnellte die Rendite der T-Bonds auf über 4,8%, am Dienstag lag sie nach einer leichten Beruhigung im Markt bei 4,627%.