Die jüngsten Störungen im Treasury-Handel zeigen, welch verkannte systemische Gefahren durch Cyberangriffe im US-Finanzsystem lauern. Zuletzt wurde der New Yorker Arm des chinesischen, nach Assets global führenden Geldhauses ICBC Opfer einer folgenschweren Ransomware-Attacke – ausgerechnet während einer Emission 30-jähriger US-Staatsanleihen. Der Hack trug entscheidend dazu bei, dass die Beteiligung an der Auktion äußerst gering ausfiel, ein scharfer Anstieg der Treasury-Renditen war die Folge. Dabei ist das Vertrauen in den 25 Bill. Dollar schweren US-Staatsanleihemarkt nach den wiederholten Schuldenstreitigkeiten in Washington und einer Rating-Herabstufung durch Fitch angekratzt genug. Regulatoren und Finanzdienstleister müssen nun endlich aufwachen und ihre Cybersicherheitsvorkehrungen verstärken, um nicht noch zusätzliche Stabilitätsrisiken heraufzubeschwören.

Denn das Beispiel der ICBC Financial Services macht deutlich, wie schnell Hackerangriffe eskalieren können. Die US-Einheit der chinesischen Bank ist zwar klein, nimmt im amerikanischen Finanzmarkt aber eine überproportional große Rolle ein: Wie J.P. Morgan oder Goldman Sachs ist sie Teil der Fixed Income Clearing Corporation. Deren Aufgabe ist es, Forderungen und Verbindlichkeiten aus Staatsanleihe-Trades durch Verrechnung auszugleichen. Infolge des Hacks war der ICBC-Arm Mitte November aber gezwungen, seine Verbindungen zum Treasury-Markt und zur Plattform von Bank of New York Mellon zu kappen, über die seine Trades abgewickelt werden. Die Chinesen schuldeten dem US-Geldhaus darauf zeitweise 9 Mrd. Dollar. Die Pekinger Mutter musste Mittel zuschießen, damit ICBC Financial Services Trades manuell abwickeln konnte.

Regulatoren und Treasury-Investoren sollte schwer zu denken geben, dass die Attacke nach allem Dafürhalten recht einfach hätte verhindert werden können. Denn die Hacker nutzten wohl Schwachstellen, die Behörden schon vor Wochen und Monaten angemahnt hatten. So griffen die Kriminellen vermutlich über die Ransomware Lockbit 3.0 und wunde Punkte in Systemen des Softwaredienstleisters Citrix an. In der Folge konnten Mitarbeiter von ICBC Financial Services nicht einmal mehr auf ihre E-Mails zugreifen. Zeitweise war im Gespräch, einen mit USB-Sticks ausgerüsteten Boten zwischen den Handelsräumen an der Wall Street hin und her zu schicken, um Trades abzuwickeln.

Die möglichen Verwerfungen, wenn bei einer konzertierten Attacke mehrere Clearinghäuser auf solche Notfallmaßnahmen zurückgreifen müssten, will sich zwar kein Treasury-Offizieller und kein Trader ausmalen. Von der Hand zu weisen ist ein solches Schreckensszenario aber nicht. Denn mit fortschreitender Digitalisierung des Finanzsektors öffnen sich neue Einfallstore für Kriminelle, die ihre Angriffstechniken ständig weiterentwickeln. Und die fortschreitende Entwicklung generativer künstlicher Intelligenz dürfte noch wachsende Risiken mit sich bringen. Die direkten finanziellen Schäden sind enorm: Die Research-Firma Cybersecurity Ventures geht davon aus, dass die globalen Kosten von Hackerangriffen bis 2025 auf 10,5 Bill. Dollar jährlich wachsen werden.

Doch gerade die indirekten Folgen solcher Attacken sollten stärker in die regulatorische Bewertungen von Stabilitätsrisiken einfließen. Schließlich können durch Cyberangriffe ausgelöste Liquiditätsprobleme eines Geldhauses schnell auf andere übergreifen. Zumindest die EZB hat das Problem erkannt, wie Bankenaufseherin Anneli Tuominen jüngst im Interview der Börsen-Zeitung unterstrich. Allerdings räumt auch die Finnin ein, dass in der Eurozone noch viel zu tun ist – für die US-Geldhäuser gilt dies wohl umso mehr. Bei einer KPMG-Umfrage gaben 2022 über 40% der teilnehmenden Manager von Amerikas führenden Banken zu, dass sie Kundendaten und -Assets bei einer Attacke vermutlich nur unzureichend schützen könnten. Zugleich verfügen laut dem Internationalen Währungsfonds weniger als die Hälfte der Zentralbanken und Aufseher weltweit über umfassende Cybersicherheitsstrategien. Daran muss sich dringend etwas ändern, wenn Banken und Regulatoren keinen schwerwiegenden Verlust des Vertrauens in das Finanzsystem riskieren wollen.