MOVEit-Datenpanne: Union Bank zahlt 2,4 Mio. $ – Lehren für Finanzinstitute

MOVEit-Datenpanne: Union Bank zahlt 2,4 Mio. $ – Lehren für Finanzinstitute

Aktualisiert:
4 Min. Lesezeit
AI-Generated
Human-verified
Teilen:

Keine Anlageberatung • Nur zu Informationszwecken

Eine familiengeführte Bank aus Nebraska, die Union Bank and Trust Company, hat sich auf eine vorläufige Vergleichszahlung von fast 2,4 Millionen US-Dollar geeinigt, um Sammelklagen im Zusammenhang mit der massiven MOVEit-Datenpanne vom Mai 2023 beizulegen. Dieser Fall unterstreicht die indirekte Haftung von Finanzinstituten, wenn Sicherheitslücken bei Drittanbietern oder sogar Viertanbietern zu weitreichenden Datenlecks führen. Opfer der Panne können nun finanzielle Entschädigungen und Schutzleistungen in Anspruch nehmen.

Die MOVEit-Datenpanne und ihre Ursachen

Die Datenpanne, die im Mai 2023 stattfand, resultierte aus der Ausnutzung einer sogenannten Zero-Day-Schwachstelle in der weit verbreiteten Dateiübertragungssoftware MOVEit Transfer. Diese Software wird von Progress Software mit Sitz in Massachusetts entwickelt. Cyberkriminelle nutzten eine "unauthentifizierte SQL-Schwachstelle", um Systemprivilegien zu eskalieren und in die Server von Nutzern einzudringen.

Die russische Cyberkriminellengruppe CL0P, auch bekannt als TA505, bekannte sich zu dem Angriff. Sie nutzte die Software-Schwachstelle, um sich Zugang zu den Servern der Kunden von Progress Software zu verschaffen. Dort kopierten und stahlen die Hacker sensible Informationen, die in den Umgebungen der Kunden gespeichert waren.

Auswirkungen auf Banken und Kunden

Die MOVEit-Datenpanne betraf weltweit 2.773 Organisationen und fast 95,8 Millionen Personen, wie eine Analyse des Cybersicherheitsunternehmens Emsisoft vom Juni 2024 zeigt. Unter den betroffenen Organisationen waren mindestens 60 Banken und Kreditgenossenschaften in den USA, wobei Finanz- und professionelle Dienstleistungen 13 % (etwa 360) der Gesamtzahl ausmachten.

Im Fall der Union Bank and Trust Company wurden die persönlich identifizierbaren Informationen (PII) von 204.291 Personen offengelegt. Viele Banken waren nicht direkt betroffen, sondern indirekt über ihre Technologiepartner oder sogar deren Subunternehmer, die die MOVEit-Software für Dienste wie Zahlungsabwicklung oder Scheckverrechnung nutzten. Dies verdeutlicht die Komplexität der Haftungskette bei solchen Vorfällen.

Die Verteidigung der Union Bank and Trust

Die Union Bank and Trust bestritt vehement jegliche Fahrlässigkeit oder Fehlverhalten. Sie argumentierte, dass sie nicht für einen Defekt in einem vertrauenswürdigen Softwareprodukt verantwortlich gemacht werden sollte, das von Tausenden von Unternehmen und Regierungsbehörden weltweit verwendet wird. Die Bank versuchte zudem, die Klagen abweisen zu lassen, indem sie argumentierte, die Kläger hätten keinen tatsächlichen, konkreten Schaden erlitten.

Im Dezember 2024 wies Richterin Allison D. Burroughs vom U.S. District Court for the District of Massachusetts diese Anträge jedoch weitgehend zurück. Sie entschied, dass die Opfer einem erheblichen Risiko zukünftigen Schadens durch die gestohlenen Daten ausgesetzt waren und die meisten Kläger "standing to pursue their claims" hatten. Auch der Versuch der Bank, die Klage unter Berufung auf eine Bundesregel abzuweisen, die lokale Streitigkeiten aus Bundesgerichten heraushalten soll, wurde von Richterin Burroughs am selben Tag abgelehnt.

Details der Vergleichsleistungen

Im Rahmen der vorläufigen Einigung wird die Union Bank and Trust Company fast 2,4 Millionen US-Dollar in einen Vergleichsfonds einzahlen. Es ist wichtig zu beachten, dass diese Vereinbarung keine Ansprüche gegen Progress Software freigibt, wodurch die Opfer weiterhin Schadensersatz von den Entwicklern von MOVEit fordern können. Die vorläufige Genehmigung des Vergleichs erfolgte am 9. März durch Richterin Burroughs, eine abschließende Anhörung zur Angemessenheit ist für August geplant.

Die Leistungen für die Opfer umfassen:

  • Einen "alternativen Barbetrag" von 100 US-Dollar für Opfer, die ihren finanziellen Schaden nicht dokumentieren möchten. Dieser Betrag wird proportional zur Gesamtzahl der eingereichten Ansprüche angepasst.
  • Erstattung von gewöhnlichen Verlusten bis zu 2.500 US-Dollar, einschließlich bis zu 100 US-Dollar für verlorene Arbeitszeit, bei dokumentierten Auslagen.
  • Erstattung von außergewöhnlichen Verlusten bis zu 10.000 US-Dollar für Opfer, die direkt durch die Panne schwere finanzielle Schwierigkeiten erlitten haben.
  • Zwei Jahre kostenlose Kreditüberwachung und Identitätsdiebstahlschutzdienste für alle Opfer, unabhängig davon, ob sie Baransprüche geltend machen.

Die weitreichenden Folgen der MOVEit-Vulnerabilität

Der Vergleich mit der Union Bank and Trust ist nur ein Teil der umfassenden Multidistrikt-Rechtsstreitigkeiten. Andere Institutionen haben ähnliche Vereinbarungen getroffen, um Ansprüche aus der Software-Schwachstelle beizulegen. Beispielsweise erklärte sich die Cadence Bank bereit, 5,25 Millionen US-Dollar in einen Vergleichsfonds einzuzahlen. Auch mit der Bank of Canton wurde im Oktober 2025 ein Vergleich genehmigt, und für einen Vergleich mit Nuance Communications ist diesen Monat eine abschließende Genehmigungsanhörung angesetzt.

Die gesamten wirtschaftlichen Kosten der MOVEit-Schwachstelle könnten katastrophal sein. Basierend auf der Schätzung von IBM, dass eine Datenpanne durchschnittlich 165 US-Dollar pro geleaktem Datensatz kostet, könnte die globale MOVEit-Panne laut einer Analyse von Emsisoft-Cybersicherheitsanalyst Zach Simas vom Juni 2024 einen wirtschaftlichen Schaden von über 15,8 Milliarden US-Dollar verursachen. Simas betonte, dass die weitreichende Natur des Vorfalls die enormen Herausforderungen bei der Sicherung von Daten über miteinander verbundene Drittparteien hinweg verdeutlicht. Er beschrieb die Ausbreitung der MOVEit-Vorfälle als "extrem komplex, wobei einige Organisationen betroffen waren, weil sie einen Anbieter nutzten, der einen Auftragnehmer nutzte, der einen Subunternehmer nutzte, der MOVEit nutzte."