zurück zum Artikel

Der Ex-Technikchef Equifax' muss ins Gefängnis. Er hat den verheerenden Hack seiner Firma für illegale Börsengeschäfte genutzt.

Jun Ying, ehemals Chief Information Officer (CIO) Equifax', hat eine Haftstrafe von vier Monaten plus einem Jahr Bewährung bekommen. Der Mann hatte sich zuvor des Insiderhandels schuldig bekannt. Er hatte 2017 den Megahack bei seinem damalige Arbeitgeber erahnt und vor der öffentlichen Bekanntgabe Aktien verkauft.

Equifax ist die größte Wirtschaftsauskunftei der USA und vielleicht der Welt. Bei der Firma reihte sich ein Lehrbuchfehler bei der IT-Sicherheit an den nächsten, wiederholte Warnungen wurden ignoriert. 2017 wurde der Equifax-Datenschatz zum Jackpot für unbekannte Hacker [1]. Deren Treiben blieb monatelang unentdeckt.

Aktien vor Kursrutsch verkauft

Als der Einbruch schließlich bemerkt wurde, versuchte die Firma, sich auf die öffentliche Bekanntgabe vorzubereiten. In diesem Zusammenhang erhielt Ying, damals CIO bei Equifax, firmenintern Informationen, aus denen er schließen konnte, dass tatsächlich das eigene Unternehmen getroffen worden war.

Der CIO löste alle seine Aktienoptionen ein und verkaufte die dabei erworbenen Aktien umgehend zu einem Gesamtpreis von rund einer Million US-Dollar. Laut Anklage brachte ihm das einen Gewinn von annähernd einer halben Million Dollar ein. Strafrechtlich relevant war, dass Ying verglichen mit dem deutlich niedrigeren Aktienkurs nach Bekanntgabe des Daten-GAU einen Verlust von mehr als 117.000 Dollar vermeiden konnte.

Nach anfänglichem Leugnen hat sich der Ex-Manager im März schuldig bekannt und wurde nun zu der kurzen Haftstrafe verurteilt. Zusätzlich muss er 55.000 Dollar Strafe zahlen und die Abschöpfung der gut 117.000 Dollar hinnehmen.

Gewinn mit Optionen

Ying ist der zweite ehemalige Equifax-Mitarbeiter, der wegen Insiderhandels in Verbindung mit dem selben Vorfall verurteilt ist. Sudhakar Reddy Bonthu, damals ein leitender Mitarbeiter der Softwareentwicklung, hatte aus neuen Arbeitsaufträgen auf den Hack geschlossen. Daraufhin kaufter er Put-Optionen, die er nach Bekanntgabe des Hacks ausübte.

Damit soll Bonthu knapp 76.000 US-Dollar Gewinn gemacht haben. Er wurde im Oktober zu acht Monaten Hausarrest, 50.000 US-Dollar Geldstrafe und Abschöpfung des unrechtmäßigen Gewinns verurteilt. Erschwerend kam hinzu, dass Equifax seinen Mitarbeitern den Handel mit Optionen auf Equifax-Wertpapiere grundsätzlich untersagt.

Beide Verfahren wurden vor dem US-Bundesbezirksgericht für das nördliche Georgia geführt. SEC v. Sudhakar Reddy Bonthu hatte das Az. 1:18-cv-03114, während United States v. Ying unter dem Az. 1:18-cr-00074 zu finden ist.

Der Datenschutz-GAU für US-Finanzwelt

Die unbekannten Hacker knackten den Daten-Jackpot bei Equifax im Mai 2017. Datensätze über 148 Millionen US-Amerikaner mit deren Namen und Geburtsdaten, und verschiedentlich den lebenslang gültigen Sozialversicherungsnummern, Adressen, Steuernummern, Führerscheindaten und weiteren Dokumenten lagen den Eindringlingen offen. Außerdem gelangten die Kreditkartennummern von 209.000 US-Amerikanern in falsche Hände. Auch dürfte eine nicht bekannte Zahl an Ausländern betroffen sein.

Vielleicht noch schlimmer: Akten über 182.000 US-Bürger, die falsche Angaben in ihrer Credit History bemerkt und um deren Korrektur angesucht hatten, sind ebenfalls von dem Hack erfasst. Besseres Ausgangsmaterial für Identitätsanmaßung als diese Unterlagen kann man sich kaum vorstellen. Der Gesamtschaden wird sich wohl nie abschätzen lassen.

Eine Untersuchung des US-Parlaments hat in der Folge frappierende Versäumnisse der Datenfirma offengelegt. Der umfassende Bericht ist zu dem Schluss gekommen, dass der Megahack Equifax' absolut vermeidbar [2] gewesen wäre. (ds [3])

URL dieses Artikels:
https://www.heise.de/-4458247

Links in diesem Artikel:
[1] https://www.heise.de/news/Hacker-Jackpot-Credit-Bureau-Equifax-gehackt-3824607.html
[2] https://www.heise.de/news/Megahack-Equifax-war-absolut-vermeidbar-4259677.html
[3] mailto:ds@heise.de

Copyright © 2019 Heise Medien