Intercontinental Exchange zahlt 10 Millionen Dollar Strafe für das Nichtmelden eines Cyberangriffs

Die Intercontinental Exchange (ICE) wird eine Strafe von 10 Millionen Dollar zahlen, weil sie die Behörden nicht über einen Cyberangriff informiert hat, so eine Ankündigung der US-amerikanischen Securities and Exchange Commission (SEC).

Bösartiger Code in VPN-Gerät platziert

Der im April 2021 entdeckte Angriff betraf bösartigen Code, der in ein Virtual Private Network (VPN)-Gerät eingebracht wurde, um Zugang zum Firmennetzwerk von ICE zu erhalten. Die SEC stellt fest, dass ICE die Bedrohung schnell erkannt hat, jedoch mehrere Tage lang versäumte, juristische und Compliance-Beamte bei ihren Tochtergesellschaften, einschließlich der New York Stock Exchange, zu informieren.

Laut der Regulation Systems Compliance and Integrity (Regulation SCI) der Behörde müssen Unternehmen die SEC unverzüglich über jedes bedeutende Cybersicherheitsvorfall informieren. SEC-Direktor für Durchsetzung Gurbir Grewal erklärte: „Wenn es um Cybersicherheit geht, insbesondere bei wichtigen Marktintermediären, zählt jede Sekunde, und vier Tage können eine Ewigkeit sein.“

ICE verwaltet das größte Netzwerk von Börsen und Clearingstellen der Welt. Zu den Tochtergesellschaften gehören Börsen wie die New York Stock Exchange (NYSE), ICE Futures U.S. und Europa, neben Clearingstellen und Datenanbietern.

Verschiedene Tochtergesellschaften von ICE betroffen

Die Durchsetzungsmaßnahmen der SEC betrafen verschiedene Tochtergesellschaften von ICE, darunter Archipelago Trading Services Inc, New York Stock Exchange LLC, NYSE American LLC, NYSE Arca Inc, ICE Clear Credit LLC, ICE Clear Europe Ltd, NYSE Chicago Inc und NYSE National Inc. Die Securities Industry Automation Corporation stimmte neben der Geldstrafe einer Unterlassungsverfügung zu.

Als Reaktion auf die Strafen gaben die SEC-Kommissare Hester Peirce und Mark Uyeda eine Erklärung ab, in der sie die Strafe als „Überreaktion“ auf ein „minimales Ereignis“ bezeichneten. „Diese unverhältnismäßig hohe Strafe für das nicht rechtzeitige Melden eines Vorfalls, den die Tochtergesellschaften von ICE SCI letztendlich als de minimis eingestuft haben, legt für uns nahe, dass die Kommission mehr daran interessiert ist, hohe Strafen zu verhängen, als sicherzustellen, dass wichtige Marktteilnehmer technologische Schwachstellen beheben.“

Laut Peirce und Uyeda trägt die Strafe zur Wahrnehmung bei, dass „das Sanktionsregime der Kommission mehr ein Instrument ist, um Zahlen für die Jahresendstatistiken zu generieren, und weniger ein Mittel, um Ergebnisse zu erzielen, die die Marktintegrität stärken.“ Die Kommissare hatten in der Vergangenheit Kritik an der Vorgehensweise der SEC gegenüber Kryptounternehmen geäußert.