Das US-ame­ri­ka­ni­sche Fin­tech Evol­ve, des­sen Open Ban­king Lösun­gen (Pay­ments, BaaS) von zahl­rei­chen Fintechs und Finanz­dienst­leis­tern ein­ge­setzt wer­den[1]Affirm, Air­wallex, Alloy, Bond, Branch, Dave, Ear­nIn, Mar­qe­ta, Mas­ter­card, Melio, Mer­cu­ry, Pri­ze­Pool, Step, Stri­pe, Taba­Pay und Visa sind alle Kun­den von Evol­ve, gab kürz­lich bekannt, Opfer einer Ran­som­wa­re Atta­cke der berüch­tig­ten Hacker-Grup­pe Lock­Bit gewor­den zu sein[2]Fin­tech-Unter­neh­men mel­den Lock­Bit-Ran­som­wa­re-Angriff, wäh­rend Evol­ve Bank Details zum jüngs­ten Affirm-Daten­ver­stoß bekannt gibt. Dabei wur­den zwi­schen Febru­ar und März Namen, Sozi­al­ver­si­che­rungs­num­mern, Bank­kon­to­da­ten und Kon­takt­da­ten von deut­lich mehr als 7 Mil­lio­nen Kun­din­nen und Kun­den gestoh­len[3]Evol­ve Bank & Trust Reve­als 7M Impac­ted in Lock­Bit Breach. Die Daten wur­den im Dark Web ver­öf­fent­licht. Zugang zu den Sys­te­men beka­men die Hacker, indem ein Mit­ar­bei­ter von Evol­ve auf einen bös­ar­ti­gen Link geklickt hat­te (Phis­hing-Mail).

Evol­ve hat­te am 29. Mai bemerkt, dass eini­ge sei­ner Sys­te­me nicht rich­tig funk­tio­nier­ten. Bei der Bank ging man zunächst davon aus, dass es sich bei der Fehl­funk­ti­on um einen Hard­ware­feh­ler han­del­te. Eine wei­te­re Unter­su­chung ergab jedoch, dass das Pro­blem durch “unau­to­ri­sier­te Akti­vi­tä­ten” ver­ur­sacht wur­de[4]Evol­ve hack impacts 7.6M peo­p­le, inclu­ding Wise cus­to­mers. Dar­auf­hin lei­te­te Evol­ve umge­hend sei­ne Inci­dent-Respon­se-Pro­zes­se ein und stopp­te den Angriff. Seit dem 31. Mai 2024 wur­den laut der Bank kei­ne neu­en unau­to­ri­sier­ten Akti­vi­tä­ten auf den Sys­te­men von Evol­ve fest­ge­stellt[5]Cyber­se­cu­ri­ty Inci­dent. Am 26. Juni mach­te Evol­ve den Vor­gang öffentlich.

Neben dem Pay­ment-Dienst­leis­ter Wise[6]Wise ist seit 2023 kein Kun­de von Evol­ve mehr. Den­noch wer­den noch eini­ge Alt-Daten bei Evol­ve geführt ist von dem Daten­dieb­stahl vor allem der BNPL-Anbie­ter Affirm betrof­fen. Dabei sei­en nach Anga­ben von Affirm per­sön­li­che Infor­ma­tio­nen sei­ner Kar­ten­nut­zer kom­pro­mit­tiert wor­den. Die Funk­tio­na­li­tät der Kar­ten sei dadurch nicht beein­träch­tigt gewe­sen. Evol­ve erklär­te wei­ter­hin, dass den Angrei­fern kein Löse­geld gezahlt wur­de. Es lege kein Beweis vor, dass die Hacker auf Kun­den­gel­der hät­ten zugrei­fen kön­nen. Ande­re Fin­tech-Unter­neh­men, die Kun­den von Evol­ve sind, unter­su­chen noch, ob und inwie­weit sie bzw. ihre Kun­den von dem Vor­fall betrof­fen sind[7]Cyber­si­cher­heits­ver­stoß der Evol­ve Bank: Aus­wir­kun­gen auf Wise, Affirm und die Fin­tech-Bran­che.

Von der FED im Jahr 2023 durch­ge­führ­te Prü­fun­gen erga­ben, dass Evol­ve unsi­che­re und unso­li­de Bank­prak­ti­ken anwand­te, da sie es ver­säum­te, einen wirk­sa­men Risi­ko­ma­nage­m­ent­rah­men für ihre Fin­tech-Part­ner­schaf­ten ein­zu­füh­ren[8]UNITED STATES OF AMERICA BEFORE THE BOARD OF GOVERNORS OF THE FEDERAL RESERVE SYSTEM WASHINGTON, D.C.ARKANSAS STATE BANK DEPARTMENT LITTLE ROCK, ARKANSAS. Zwei Wochen vor dem Daten­dieb­stahl mach­te die FED ihren Män­gel­be­richt öffent­lich und ord­ne­te ent­spre­chen­de Maß­nah­men an[9]Fede­ral Reser­ve Board issues an enforce­ment action against Evol­ve Ban­corp, Inc. and Evol­ve Bank & Trust for defi­ci­en­ci­es in the bank’s anti-money laun­de­ring, risk manage­ment, and con­su­mer … Con­ti­nue rea­ding.

Für Ven­tur­eBeat zeigt der Vor­fall, dass Fin­tech ein Pro­blem mit der Cyber­si­cher­heit hat. Die Bran­che müs­se sich stär­ker auf die Grund­la­gen des Null­ver­trau­ens (Zero Trust) in Finanz­netz­wer­ken kon­zen­trie­ren muss[10]LockBit’s latest attack shows why fin­tech needs more zero trust[11]Vgl. dazu: Cyber­ri­si­ken aus Sicht der Zen­tral­ban­ken. Fintechs benö­ti­gen erfah­re­ne Chief Infor­ma­ti­on Secu­ri­ty Offi­cer (CIS­Os). Das gel­te ins­be­son­de­re für Fin­tech-Unter­neh­men wie Evol­ve, deren Geschäfts­mo­dell im Fal­le eines Ver­sto­ßes Dut­zen­de von Part­nern gefährdet.

Das Über­wa­chen und Scan­nen des gesam­ten Netz­werk­ver­kehrs ist eine Grund­vor­aus­set­zung für die Zero-Trust-Stra­te­gie. Ein wei­te­rer Grund, war­um CIS­Os einen Sitz im Vor­stand brau­chen, ist, dass Netz­werk-Tele­me­trie­da­ten das Lebens­eli­xier eines jeden Fin­tech-Unter­neh­mens sind. Der Vor­stand muss in Echt­zeit wis­sen, wie sich ver­än­der­te Mus­ter der Netz­werkt­e­le­me­trie auf Risi­ko­pro­fi­le und Wahr­schein­lich­kei­ten aus­wir­ken. Ein erfah­re­ner CISO wird in der Lage sein, die Risi­ken und Gren­zen der Ver­wal­tung von Tele­me­trie­da­ten auf­zu­schlüs­seln und zu ver­ste­hen, war­um die Über­wa­chung und das Scan­nen des gesam­ten Netz­werk­ver­kehrs von zen­tra­ler Bedeu­tung für das Unter­neh­men ist[12]ebd..