Unter den Verhafteten ist auch ein ehemaliger Mitarbeiter der ZKB. Er entwendete Daten von Dutzenden von Kunden.
Es dürften aufreibende Tage gewesen sein, die die Spitze der Zürcher Kantonalbank (ZKB) durchzustehen hatte.
Die grösste Kantonalbank im Land ist seit vergangener Woche von Unbekannten erpresst worden. Die Täter drohten mit der Veröffentlichung von Kundendaten, sofern die ZKB nicht bis am 6. September 61 Bitcoins überweise. Dabei handelt es sich um rund 3 Millionen Franken.
Die anonymen Täter wussten ihrer Forderung Nachdruck zu verleihen. Um den Druck zu erhöhen, liessen sie einzelnen Journalisten mehrere Datensätze zukommen.
Am Freitag nun kam die Entwarnung. Der Erpressungsversuch ist beendet, die mutmasslichen Täter befinden sich in Haft. Dies teilt die die auf Internetkriminalität spezialisierte Zürcher Staatsanwaltschaft II mit.
Bei den mutmasslichen Tätern handelt es sich um vier Schweizer im Alter zwischen 21 und 22 Jahren. Unter den Verhafteten befindet sich ein ehemaliger Mitarbeiter der ZKB. Der frühere Angestellte hat laut einem ZKB-Sprecher die Bank «im letzten Jahr» verlassen.
Der ehemalige Angestellte wurde durch das Zwangsmassnahmengericht in Untersuchungshaft versetzt. Die drei anderen Verhafteten befinden sich laut Staatsanwaltschaft derzeit noch in der vorläufigen Festnahme.
Es war kein Cyberangriff
Bei den «kriminell beschafften Daten» handelt es sich nach Angaben des ZKB-Sprechers um insgesamt 58 Datensätze von Kunden. Die Datensätze seien limitiert gewesen «auf Name, interne Kundennummer, Geburtsdatum und Adresse».
Die Kontensaldi oder andere Vermögensbestände seien in den Datensätzen allerdings nicht enthalten gewesen. Die betroffenen Kunden seien von der ZKB bereits direkt kontaktiert worden.
Die Polizei habe das entsprechende Material während der Verhaftung bei den mutmasslichen Tätern sichergestellt, so der Sprecher weiter. Es seien keine Kundendaten veröffentlicht worden und es keine weiteren Kundinnen sowie Kunden betroffen.
Offenbar muss der Erpresser die Daten eigenhändig aus der Bank gestohlen haben. Die ZKB bestätigt, «dass es sich nicht um einen Cyberangriff mit Datenabfluss gehandelt hat». Man könne dies sowohl nach eigenen Tests und Analysen wie auch nach Tests und Analysen externer Spezialisten bestätigen, sagt der Sprecher.
Die Datenbanken und Systeme der Bank seien zu keiner Zeit kompromittiert gewesen. Kundengelder seien zu keinem Zeitpunkt in Gefahr gewesen.
ZKB betont, man habe ein Sicherheitsprinzip
Laut dem Finanzblog «Inside Paradeplatz», der während der laufenden Erpressung über den Fall berichtet hatte, habe der ehemalige Mitarbeiter mit seinem Vorgehen auf «gravierende Schwächen in der Informatik hinweisen wollen». Der Blog beruft sich auf ein Mail, in dem der ehemalige Mitarbeiter sein Vorgehen erläutert habe.
Weiter schreibt der Finanzblog von Warnhinweisen, wonach Bankmitarbeiter x-beliebige Konti von Kunden, auch solche von Arbeitskollegen, aufrufen könnten.
Der ZKB-Sprecher sagt zur NZZ, beim Zugang zu Kundendaten für Mitarbeitende der Zürcher Kantonalbank gelte prinzipiell das Need-to-know-Prinzip.
Besagtes Sicherheitsprinzip schreibt vor, den Zugriff auf sensible Informationen nur autorisiertem Personal zu gewähren, das diese Informationen zur Ausübung seiner beruflichen Aufgaben benötigt.
Dieses werde mittels angemessener technischer und organisatorischer Massnahmen konsequent sichergestellt.
Nicht die erste versuchte Erpressung der ZKB
Es war nicht das erste Mal, dass ein Mitarbeiter der ZKB die Bank zu erpressen versuchte. So wurde 2019 ein ZKB-Kadermann vom Bezirksgericht wegen versuchter Erpressung verurteilt. Der Mann forderte von der Bank eine halbe Million Franken, sonst werde er Dritten Unregelmässigkeiten zustecken.
Der Kadermann, behauptete, er habe illegale Vorgänge der ZKB im Umgang mit ausländischen Kunden dokumentiert. Die Vorwürfe erwiesen sich als haltlos. Er habe als Arbeitnehmer aus rein finanziellen Motiven das Vertrauen missbraucht, sagte das Gericht. Dieses verurteilte ihn zu einer Freiheitsstrafe von 14 Monaten. Das Obergericht bestätigte das Urteil später.
