Ein Cyberangriff auf einen IT-Dienstleister erschüttert die US-Finanzbranche: Der Technologieanbieter SitusAMC bestätigte am Samstag eine massive Datenpanne, die sensible Hypotheken- und Kreditdaten von Kunden führender amerikanischer Banken offenlegte. Betroffen sind Kunden von JPMorgan Chase, Citigroup und Morgan Stanley – die Banken selbst blieben von dem Angriff verschont, doch ihre Abhängigkeit von externen Dienstleistern wurde zum Verhängnis.

Der Vorfall verdeutlicht eine kritische Schwachstelle im globalen Finanzsystem: Wenn ein zentraler Dienstleister gehackt wird, können die Folgen eine ganze Branche erfassen. SitusAMC, ein führender Anbieter von Technologie und Dienstleistungen für die Immobilienfinanzierung, geriet am 12. November ins Visier von Hackern. Was dann geschah, dürfte Bankkunden und Regulierer gleichermaßen alarmieren.

Die Chronologie des Angriffs

Die Täter verschafften sich vor knapp zwei Wochen Zugang zu den Systemen von SitusAMC. Erst am Wochenende wurde der Vorfall öffentlich:

12. November 2025: Hacker dringen in das Netzwerk von SitusAMC ein.

22. November 2025: Das Unternehmen bestätigt offiziell den Cyberangriff und räumt ein, dass "bestimmte Informationen" kompromittiert wurden.

23. November 2025: Berichte der New York Times und Reuters enthüllen das Ausmaß – JPMorgan, Citi und Morgan Stanley wurden über mögliche Datenlecks informiert.

CEO Michael Franco versicherte, das Unternehmen habe sofort nach Entdeckung des Einbruchs externe forensische Experten hinzugezogen und die Strafverfolgungsbehörden alarmiert. "Wir konzentrieren uns darauf, die potenziell betroffenen Daten zu analysieren", erklärte Franco. Die Systeme seien inzwischen stabilisiert.

Anzeige

Banken und Dienstleister sind nur so sicher wie ihre schwächste Verbindung – ein gehackter Auftragsverarbeiter kann Kundendaten preisgeben und hohe Haftungsrisiken auslösen. Ein kostenloses E‑Book zur Auftragsdatenverarbeitung erklärt Schritt für Schritt, welche vertraglichen Punkte, Prüfschritte und Dokumentationen Sie jetzt benötigen, um DSGVO‑konform zu bleiben. Enthalten sind fertige Vorlagen, Vertragsklauseln und eine praktische Checkliste für schnelle Umsetzung. Besonders wichtig für Compliance‑Verantwortliche, IT‑Leiter und Geschäftsführer. Gratis E‑Book: Auftragsverarbeitung jetzt herunterladen

Was wurde gestohlen?

Die Brisanz liegt im Detail: SitusAMC wickelt für Hunderte Kreditgeber Prozesse wie Kreditvergabe, Verwaltung und Zahlungsabwicklung ab. Die gestohlenen Dateien könnten enthalten:

Personenbezogene Daten: Namen, Adressen und Sozialversicherungsnummern von Kreditnehmern.

Finanzdokumente: Kreditanträge, Bonitätsnachweise und Kontoinformationen.

Unternehmensunterlagen: Interne Verträge und Buchhaltungsunterlagen zu Kredittransaktionen.

Ein Sprecher von JPMorgan Chase betonte, die eigenen Systeme der Bank seien sicher und nicht direkt angegriffen worden. Auch Insider bei Citigroup und Morgan Stanley signalisierten, dass der interne Betrieb unbeeinträchtigt bleibe. Doch die Tatsache bleibt: Kundendaten gelangten über einen Umweg nach außen.

Das Einfallstor über die Hintertür

FBI-Direktor Kash Patel bestätigte, dass die Behörde eng mit den betroffenen Institutionen zusammenarbeite. "Wir haben keine Auswirkungen auf den Bankbetrieb festgestellt", erklärte Patel. Doch die Offenlegung persönlicher Finanzdaten – einschließlich Sozialversicherungsnummern und detaillierter Kreditakten – hat in den Chefetagen der Wall Street dringende interne Überprüfungen ausgelöst.

Der Vorfall reiht sich ein in eine Serie von Supply-Chain-Attacken, die 2025 die Finanzbranche heimsuchten. Cyberkriminelle umgehen dabei die robusten Sicherheitssysteme großer Banken, indem sie weniger geschützte Dienstleister ins Visier nehmen. Ein zentraler Anbieter wie SitusAMC wird zur Schwachstelle – und die Schockwelle erfasst gleich mehrere Institutionen.

"Banken verlassen sich zunehmend auf ein kleines Ökosystem mächtiger Drittanbieter", analysierte ein Cybersecurity-Experte heute Morgen. "Wenn einer dieser Knotenpunkte kompromittiert wird, ist die Sprengkraft enorm."

Parallelen zu früheren Angriffen

Der Fall erinnert an den massiven MOVEit-Transfer-Hack und die Mr.-Cooper-Datenpanne der vergangenen Jahre – beide Male wurden Millionen Verbraucherdaten durch Schwachstellen bei externen Anbietern offengelegt. Das Office of the Comptroller of the Currency (OCC) hatte Finanzinstitute wiederholt vor Risiken durch Drittanbieter gewarnt. Dieser Vorfall bestätigt die Befürchtungen auf schmerzhafte Weise.

Was Kunden jetzt erwartet

Die forensische Untersuchung läuft auf Hochtouren. In den kommenden Tagen dürfte klarer werden, welches Ausmaß der Datendiebstahl tatsächlich hat:

Benachrichtigungsschreiben: Betroffene Kreditnehmer erhalten offizielle Mitteilungen, sobald die konkret betroffenen Personen identifiziert sind.

Kreditüberwachung: Üblich ist, dass gehackte Unternehmen kostenlose Kreditüberwachung und Identitätsschutz anbieten.

Behördliche Prüfungen: Angesichts der Beteiligung führender Banken dürften Regulierer wie das OCC und die Federal Reserve eigene Untersuchungen zu den Sicherheitsstandards des Dienstleisters einleiten.

Kunden von JPMorgan, Citi und Morgan Stanley sollten wachsam bleiben – insbesondere vor Phishing-Versuchen – und ihre Kreditberichte auf verdächtige Aktivitäten prüfen. Unmittelbare Maßnahmen sind allerdings erst erforderlich, wenn offizielle Benachrichtigungen vorliegen.

Bleibt die Frage: Wie viele weitere zentrale Dienstleister im Finanzsystem sind ähnlich verwundbar?

Anzeige

PS: Obwohl Banken ihre internen Systeme abgesichert haben, bleibt die größte Gefahr oft bei Drittanbietern. Dieses kostenlose E‑Book liefert eine sofort einsetzbare Excel‑Vorlage, rechtssichere Vertragsklauseln und eine praxisorientierte Checkliste für die Auftragsverarbeitung – so reduzieren Sie Ihr Haftungsrisiko und sind besser auf Behördenprüfungen vorbereitet. Ideal für Compliance‑Teams in Banken, Kreditgebern und IT‑Drittanbietern. Jetzt kostenlose Vorlagen & Checkliste sichern