Die Intercontinental Exchange (ICE) muss eine Strafe von 10 Millionen US-Dollar zahlen, weil sie die Behörden nicht über einen Cyberangriff informiert hat, heißt es in einer Mitteilung der US-Börsenaufsicht SEC.
Bei dem im April 2021 entdeckten Datenleck wurde Schadcode in ein VPN-Gerät eingeschleust, um auf das Unternehmensnetzwerk von ICE zuzugreifen. Die SEC behauptet, dass ICE die Bedrohung schnell erkannte, es jedoch mehrere Tage lang versäumte, die Rechts- und Compliance-Beauftragten ihrer Tochtergesellschaften, darunter der New York Stock Exchange, zu benachrichtigen.
Die Regulierung der Compliance und Integrität von Systemen (Regulation Systems Compliance and Integrity, SCI) verpflichtet Unternehmen, die SEC unverzüglich über jeden bedeutenden Cybersicherheitsvorfall zu informieren. SEC-Direktor für Durchsetzung, Gurbir S. Grewal, sagte:
„Wenn es um Cybersicherheit geht, insbesondere bei Ereignissen bei kritischen Marktintermediären, zählt jede Sekunde und vier Tage können eine Ewigkeit sein.“
ICE steht hinter dem weltweit größten Netzwerk von Börsen und Clearinghäusern. Zu seinen Tochtergesellschaften gehören Börsen wie die New York Stock Exchange (NYSE), ICE Futures U.S. und Europe sowie Clearinghäuser und Datenanbieter.
Die Zwangsmaßnahmen der SEC betrafen mehrere Tochtergesellschaften von ICE, darunter Archipelago Trading Services, Inc., New York Stock Exchange LLC, NYSE American LLC, NYSE Arca, Inc., ICE Clear Credit LLC, ICE Clear Europe Ltd., NYSE Chicago, Inc. und NYSE National, Inc. Darüber hinaus stimmte die Securities Industry Automation Corporation zusätzlich zur Geldstrafe einer Unterlassungsanordnung zu.
Als Reaktion auf die Geldstrafen veröffentlichten die SEC-Kommissare Hester Peirce und Mark Uyeda eine Erklärung, in der sie die Geldstrafe als „Überreaktion“ auf einen „minimalen Vorfall“ bezeichneten.
„Diese unverhältnismäßig hohe Strafe für das Unterlassen der rechtzeitigen Meldung eines Vorfalls, den die ICE SCI-Tochtergesellschaften letztlich als geringfügig einstuften, lässt für uns darauf schließen, dass es der Kommission mehr um die Verhängung hoher Strafen geht als darum, sicherzustellen, dass wichtige Marktteilnehmer technologische Schwachstellen beheben.“
Laut Peirce und Uyeda trägt die Geldstrafe zu der Wahrnehmung bei, dass das „Strafsystem der Kommission eher ein Instrument zur Generierung von Zahlen für Jahresendstatistiken ist und weniger ein Mittel, um Ergebnisse zu erzielen, die die Marktintegrität verbessern.“ Die Kommissare hatten den Umgang der SEC mit Kryptounternehmen in der Vergangenheit kritisiert.
Magazin: Was machen Krypto-Marketmaker eigentlich? Liquidität oder Manipulation