Skip to main content

Hackerangriff trifft Börsen-App Robinhood

cybersecurity
(Image credit: Shutterstock)

Die Tradingplattform Robinhood hat bekannt gegeben, dass mehr als sieben Millionen ihrer Kunden von einer Datenpanne betroffen sind. 

"Unsere Untersuchungen haben ergeben, dass der Angriff eingedämmt wurde und wir glauben, dass keine Sozialversicherungsnummern, Bankkontonummern oder Debitkartennummern preisgegeben wurden und dass den Kunden durch den Vorfall kein finanzieller Schaden entstanden ist", teilte Robinhood selbst mit

Die Plattform, die durch die GameStop*-Affäre Berühmtheit erlangte, teilte mit, dass der Angriff durch Social Engineering eines einzelnen Mitarbeiters des Kundensupports per Smartphone inszeniert wurde, um Zugang zu bestimmten Kundensupportsystemen zu erhalten.

TechRadar braucht dich!

Verrate uns deine Lieblingsprodukte des Jahres 2021 und gewinne bei den TechRadar Deutschland Community Choice Awards tolle Preise!

Durch diesen Zugang war der Angreifer in der Lage, die E-Mail-Adressen von etwa fünf Millionen Menschen und die vollständigen Namen einer weiteren Gruppe von zwei Millionen Menschen abzurufen. 

Schadensbegrenzung

Eine kleinere Gruppe von etwa 310 Nutzern verlor zusätzliche personenbezogene Daten, darunter ihre Namen, Geburtsdaten und Postleitzahlen, während von zehn weiteren Kunden "umfangreichere Kontodaten" bekannt wurden.

Robinhood behauptet, dass der Vorfall eingedämmt werden konnte und untersucht den Schaden mit Hilfe des Cybersicherheitsunternehmens Mandiant.

Robinhood teilte auch mit, dass die Angreifer an sie herangetreten sind und eine "Erpressungszahlung" forderten. Die Plattform sagt jedoch, dass sie stattdessen die Strafverfolgungsbehörden benachrichtigt hat, obwohl sie nicht explizit erwähnte, dass sie sich nicht mit den Angreifern eingelassen hat.

Das schwächste Glied

Cybersecurity-Experten, mit denen TechRadar Pro gesprochen hat, sagen, dass der Vorfall eine Erinnerung daran ist, dass der Mensch oft das schwächste Glied im Ökosystem ist. 

"Um die Risiken zu verringern, sollten Unternehmen mehrere Kontrollschichten einrichten und den Zugriff auf geschäftskritische Daten einschränken. Dies kann für Finanzdienstleister eine Herausforderung sein, da die Mitarbeiter von zu Hause aus arbeiten und die Kundendaten und -systeme immer mehr über lokale, Cloud- und SaaS-Infrastrukturen verteilt sind", sagt Ken Westin, Director, Security Strategy, Cybereason. 

Alicia Townsend, Technology Evangelist beim Identitätsmanagement-Experten OneLogin, stimmt dem zu und fügt hinzu, dass "dieser Vorfall zwei wichtige Punkte hervorhebt: die Aufklärung der Mitarbeiter über mögliche Cybersecurity-Bedrohungen, insbesondere Social-Engineering-Bedrohungen, und die Beschränkung des Zugriffs auf Kundendaten auf das absolute Minimum für die Mitarbeiter je nach ihrer Funktion."

Social Engineering Angriffe vereiteln

Kennst du schon...

...unseren Youtube-Kanal?
...unsere Facebook-Page?

...Psst, bald ist Black Friday!

Trevor Morgan, Produktmanager beim Datensicherheitsspezialisten comforte AG, sagt jedoch, dass die Schulungen nicht das eigentliche Problem angehen, das Social-Engineering-Angriffe wie diese ermöglicht.

Morgan zufolge arbeiten die meisten Angestellten in einer hyperbeschleunigten Datenumgebung, in der jede Verzögerung bei der Bereitstellung oder Weitergabe von Informationen den Fortschritt aufhalten kann. Er glaubt, dass dies genau die Schwachstelle ist, die Social Engineering ausnutzt. 

Um das Problem aus der Welt zu schaffen, schlägt Morgan vor, dass Unternehmen eine Unternehmenskultur aufbauen, die den Datenschutz wertschätzt und die Mitarbeiter dazu ermutigt, sich Zeit zu nehmen und alle Konsequenzen zu bedenken, bevor sie auf Anfragen nach sensiblen Informationen reagieren.

Außerdem rät er IT-Leitern, datenzentrierte Sicherheit als Mittel zum Schutz sensibler Daten selbst und nicht als Mittel zum Schutz der sie umgebenden Grenzen zu betrachten. 

"Tokenisierung zum Beispiel macht nicht nur sensible Datenelemente unverständlich, sondern bewahrt auch das Datenformat, so dass Geschäftsanwendungen und Benutzer weiterhin mit den Daten im geschützten Zustand arbeiten können. Wenn du den Schutz der Daten nie aufhebst, besteht die Chance, dass die sensiblen Informationen nicht gefährdet werden, selbst wenn sie in die falschen Hände geraten", erklärt Morgan.

* englischer Artikel

Franziska Schaub

Franziska Schaub ist Chefredakteurin bei TechRadar Deutschland und unter anderem verantwortlich für die Bereiche Smartphones, Tablets und Fitness.


Du möchtest, dass dein Produkt bei uns vorgestellt wird oder hast Neuigkeiten, die wir unbedingt in die Welt hinausstreuen sollen? Dann melde dich :)