Vor einem Monat hat die Ransom­ware-Bande Cactus auf ihrem Darkweb-Blog behauptet, dass sie bei einem Cyberangriff unzählige Daten der in der Schweiz ansässigen Investmentfirma Thomas Lloyd gestohlen habe. Auf Anfrage von inside-it.ch erklärte das Unter­nehmen, das Investitionen für nachhaltige Projekte im Infra­struk­tur-, Agrar- und Immobiliensektor sammelt, dass es keinen Cyberangriff gegeben habe.

Das deutsche 'Handelsblatt', das mit uns in dieser Angelegenheit recherchiert hat, konnte jedoch einen Teil der Informationen authentifizieren. Unter anderem befanden sich Hinweise zu Korrespondenzen mit der Zeitung in der veröffentlichten Ordnerstruktur. Nun haben die Cyberkriminellen ihre Drohung wahr gemacht und die ganzen 2,4 Terabyte Daten im Darknet publiziert, die sie angeblich bei Thomas LLoyd erbeutet haben.

Unter den veröffentlichten Unterlagen befinden sich Ordner mit Namen wie "Finanzen", "Controlling" oder "Personalabteilung". Es gibt Excel-Tabellen mit Kundennamen, Adressen, Geburtstagen und Steuernummern. Anderswo sind Kontoverbindungen, Überweisungen und Kopien verschiedener Verträge hinterlegt. Auch Security- und Datenschutz-Audits sind in den publizierten Ordnern zu finden.

Wir haben bei Thomas Lloyd erneut nachgefragt, ob ein Cyberangriff festgestellt wurde. "Wir haben bereits unmittelbar, nachdem wir einen ersten Hinweis auf einen vermeintlichen Cyberangriff erhalten hatten, eine vollständige Systemprüfung durchgeführt. Dabei konnten keine Datenabflüsse festgestellt werden. Nach dem Ergebnis der Prüfung können wir auch ausschliessen, dass aktuell noch Unbefugte in unseren Systemen aktiv sein könnten", heisst es vom Unternehmen.

Dennoch hat die Investmentfirma nach eigenen Angaben weitere Schritte unternommen: "Den von Ihnen erwähnten Sachverhalt prüfen wir derzeit umfassend, dabei geht es zunächst um die Authentizität der Daten und sodann um die Frage, auf welche Weise diese erlangt worden sein könnten. Nach aktuellem Kenntnisstand kann es sich allenfalls um einen lokal begrenzten Vorfall handeln", so das Unternehmen.

Woher die gestohlenen Daten stammen, ist laut Thomas Lloyd also unklar. Auf die Frage, ob der Angriff den zuständigen Datenschutzbehörden gemeldet wurde, antwortete die Firma: "Unseren gesetzlichen Pflichten, einschliesslich etwaiger Mitteilungspflichten gegenüber Behörden kommen wir selbst­ver­ständlich nach." Welche sonstigen Massnahmen noch zu treffen seien, werde erst die weitere Klärung des Sachverhalts zeigen, so die Antwort der Firma.

Das 'Handelsblatt' (Paywall) hat mit betroffenen Anlegern gesprochen. Deren Angaben decken sich laut der Zeitung mit den Informationen in den Datensätzen, was nahelegt, dass diese authentisch sein könnten. Dafür spricht auch, dass die Hacker Teile der Korrespondenz von Thomas Lloyd mit dem 'Handelsblatt' veröffentlicht haben.

In den Unterlagen findet sich zudem ein Datenschutzbericht aus dem Jahr 2023. Darin wird der Firma kein sehr gutes Zeugnis ausgestellt. So heisst es in der Zusammenfassung etwa, dass bei Thomas Lloyd "grundlegend noch kein ausreichendes Mass an Datenschutz festgestellt" werden könne. Die Firma bestreitet jedoch, dass ihr dieses Dokument bekannt sei.

So heisst es in der Antwort auf unsere Anfrage: "In unserem Haus gelten klare und verbindliche Richtlinien zur IT- und Datensicherheit. Unsere Infrastruktur ist gegen Hackerangriffe jeglicher Art umfassend gesichert, so dass es keinen Anlass zur Befürchtung gibt, dass auf Anlegerkonten bei etwaigen Angriffen unbefugt zugegriffen werden könnte." Zudem habe man ein qualifiziertes Schutz- und Sicherungskonzept implementiert, das höchstmögliche Sicherheit gewährleistet.

Wie gut dieses Schutzkonzept funktioniert, ist jedoch fraglich. So findet sich in den Unterlagen auch ein Bericht über einen Cyberangriff der Ransomware-Bande Black Basta. Diese hatte Thomas Lloyd bereits im April 2023 angegriffen und Teile der Server verschlüsselt, wie aus einem Report zum Vorfall hervorgeht. Der Angriff damals wurde an die bayrische Landes­be­auf­tragte für Datenschutz gemeldet. Zudem bestätigten ehemalige Mitarbeitende dem 'Handelsblatt' den Vorfall. Im Unternehmen habe tagelang Panik geherrscht, sagten sie.

Laut eigenen Angaben verwalten die Fonds von Thomas Lloyd über 1 Milliarde Dollar an Kapital für knapp 30'000 Anlegerinnen und Anleger auf der ganzen Welt. Laut 'Handelsblatt' versprach die Investmentfirma ihren Geldgebern früher grosse Renditen dank geschickter Investitionen in nachhaltige Projekte. Belege für erfolgreiche Geschäfte gibt es aber bis heute nicht. Mittlerweile sollen die Fonds hohe Millionenverluste verzeichnen.