700Credit-Sicherheitsvorfall: API-Risiken rücken die Governance der Finanzlieferkette in den Fokus

Von Kate O'Flaherty • 29 Januar 2026

Was sagt der Datenverstoß bei 700Credit über die Risiken von Finanzdatensystemen und Lieferketten aus, und welche Lehren lassen sich daraus ziehen?

Von Kate O'Flaherty

Im Dezember wurde der Anbieter von Kreditberichts- und Identitätsprüfungsdiensten 700Credit bekanntgegeben. zugelassen Es war zu einem Datenleck gekommen, von dem 5.8 Millionen Kunden betroffen waren.

Die Zwischenfall Es handelte sich um eine kompromittierte Drittanbieter-API, die mit der Webanwendung 700Credit verknüpft war. Die Sicherheitslücke wurde im Oktober 2025 entdeckt, Angreifer hatten sich jedoch bereits im Juli Zugriff auf die API verschafft und konnten so unbemerkt sensible Daten wie Namen, Geburtsdaten und Sozialversicherungsnummern stehlen.

Es handelte sich um ein Versagen der Transparenz und Lieferketten-Governance Alle Unternehmen sollten sich dessen bewusst sein. Was zeigt der Datenverstoß bei 700Credit über die Risiken von Finanzdatensystemen und Lieferketten auf, und welche Lehren lassen sich daraus ziehen?

Anwendungszentriert

Fintechs, Kreditgeber, Händler und Auskunfteien sind allesamt auf riesige Integrationsnetzwerke angewiesen, oft mit APIs, die direkten Zugriff auf sensible Daten ermöglichen. Fällt ein Knotenpunkt im Netzwerk aus, sind alle nachgelagerten Akteure von den Auswirkungen betroffen.

Der Datendiebstahl bei 700Credit ist ein Paradebeispiel für diese Sicherheitslücke. Da Angreifer über APIs Zugriff auf Kundendaten erhalten, zeigt der Vorfall bei 700Credit, „wie eng das Finanzökosystem mittlerweile vernetzt ist“, so Dan Kitchen, CEO von Razorblue.

Obwohl das interne Netzwerk des Unternehmens nicht kompromittiert wurde, konnten Angreifer über eine vertrauenswürdige Anwendungsschichtintegration dennoch große Mengen sensibler Finanzdaten abrufen und exfiltrieren. „Dies zeigt, dass in modernen Finanzökosystemen APIs und Webanwendungen im Grunde das System bilden und eine Kompromittierung auf dieser Ebene genauso schädlich sein kann wie ein Angriff auf das Kernnetzwerk“, so Mark Johnson, Leiter des Bereichs Pre-Sales Security bei ANS.

Laut Johnson konzentrieren große Integrationsnetzwerke das Risiko, indem sie wertvolle Datenzugriffswege schaffen, die herkömmliche Kontrollmechanismen umgehen. „APIs, die auf Effizienz und Skalierbarkeit ausgelegt sind, können zu direkten Schnittstellen für sensible, personenbezogene Daten werden, wenn sie zu viele Berechtigungen erhalten, unzureichend überwacht oder ungenügend segmentiert werden.“

Im Fall von 700Credit hielten die Governance-Strukturen nicht mit der Komplexität des Ökosystems Schritt. Die lange Verweildauer der Angreifer bei 700Credit deutet laut Johnson darauf hin, dass sich die Governance-Mechanismen „nicht so weiterentwickelt haben, dass sie der operativen Komplexität API-gesteuerter Ökosysteme gerecht werden“.

Der Datendiebstahl bei 700Credit unterstreicht einen entscheidenden Punkt: 96 % der API-Angriffe Sie stammen aus authentifizierten Quellen, was bedeutet, dass Angreifer nicht in die Systeme eindringen. Stattdessen verwenden sie „legitime, vertrauenswürdige Anmeldeinformationen“, fügt Eric Schwake, Direktor für Cybersicherheitsstrategie bei Salt Security, hinzu.

Da die meisten Organisationen ihren API-Bestand um 90 % unterschätzen, können diese Schwachstellen in der Lieferkette zu bis zu zehnmal so vielen Datenlecks führen wie bei herkömmlichen Datenschutzverletzungen, warnt er.

Intransparente Finanzlieferketten

Der Vorfall bei 700Credit ist nur ein Beispiel dafür, wie das Finanzdatensystem für die angewandten Governance-Maßnahmen zu komplex, zu vernetzt und zu intransparent geworden ist. Die meisten Organisationen haben keine klare Übersicht darüber, wohin ihre Daten fließen, wie darauf zugegriffen wird, welche Partner Abfragerechte haben, wie sie die Daten schützen und wie schnell sie Vorfälle melden.

„Unternehmen haben selten Einblick in Bereiche, die über ihre direkten Lieferanten hinausgehen, geschweige denn in die Zulieferer, die ihre Lieferanten wiederum nutzen“, so Razorblue's Kitchen.

Die Komplexität dieser Lieferketten hat die traditionellen Governance-Strukturen mittlerweile überholt, wodurch Organisationen anfällig für Fehler von Drittanbietern und sogar von Viertanbietern werden, beispielsweise wenn eine Kreditauskunftei eine API verwendet, die auf einen Cloud-Anbieter angewiesen ist, oder wenn ein Datenanreicherungsdienst seine eigenen Schwachstellen aufweist, sagt er.

Eine der größten Schwächen im Lieferkettenmanagement von Drittanbietern ist der Mangel an umfassender Transparenz und Kontrolle über die Sicherheitsmaßnahmen der Anbieter, bestätigt Tracey Hannan-Jones, Leiterin der Informationssicherheitsberatung bei UBDS Digital. „Viele Unternehmen verlassen sich auf externe Dienstleister für essenzielle Services, versäumen es aber oft, strenge und kontinuierliche Risikoanalysen durchzuführen oder standardisierte Sicherheitskontrollen entlang der gesamten Lieferkette durchzusetzen. Dadurch entstehen Schwachstellen, die allzu leicht eingeführt und ausgenutzt werden können.“

Eine weitere wesentliche Schwäche ist laut Hannan-Jones das Fehlen solider vertraglicher und technischer Anforderungen an Drittanbieter. „Organisationen verfügen häufig nicht über klare, durchsetzbare Vereinbarungen, die Sicherheitsstandards, Protokolle zur Reaktion auf Sicherheitsvorfälle und regelmäßige Audits vorschreiben. Selbst wenn solche Anforderungen existieren, können deren Durchsetzung und Überwachung uneinheitlich sein, insbesondere mit zunehmender Anzahl von Anbietern.“

Erschwerend kommt hinzu, dass Cybersicherheitsteams ihren Drittanbieterrisiken in der Regel nicht genügend Zeit und Expertise widmen. Dieser Bereich wird oft als „mühsam und repetitiv“ empfunden, so Pierre Noel, Field CISO bei Expel. „Es ist extrem schwierig, erfahrene Cybersicherheitsspezialisten zu gewinnen und sie davon zu überzeugen, wöchentlich, monatlich oder jährlich eine Drittanbieterprüfung durchzuführen.“

Noel betont, dass Unternehmen oft außer Acht lassen, dass sich Risiken durch Drittparteien verändern. „Die Geschäftsbeziehung zu ‚Unternehmen A‘ mag klein anfangen und sich ein oder zwei Jahre später deutlich weiterentwickeln. Wenn Ihr Programm diese dynamische Entwicklung nicht berücksichtigt, kann ein bedeutender und risikoreicher Drittparteienpartner unbemerkt bleiben, bis es zu spät ist.“

Regulatorische Reaktion

Der Vorfall bei 700Credit hatte erhebliche Auswirkungen. regulatorische AuswirkungenDas Unternehmen übermittelte daraufhin Benachrichtigungen über den Verstoß an mehrere Generalstaatsanwaltschaften der Bundesstaaten, darunter auch Maine. In Abstimmung mit dem Verband der Automobilhändler (National Automobile Dealers Association) reichte das Unternehmen einen zusammenfassenden Bericht bei der Federal Trade Commission ein, und der Vorfall wurde auch dem FBI gemeldet.

Die nach solchen Vorfällen erforderlichen regulatorischen Maßnahmen zeigen, dass Gesetzgeber das Versagen von Drittanbietern zunehmend als systemisches Risiko betrachten. Unternehmen sollten daher „die Reaktion der Aufsichtsbehörden auf solche Probleme nicht übermäßig optimistisch sehen“, so Noel von Expel. „Im Allgemeinen raten sie: ‚Stellen Sie sicher, dass Sie über einen angemessenen Prozess zum Management von Drittanbietern verfügen und diesen bei jeder internen oder externen Prüfung nachweisen können.‘“

Noel zufolge ist es jedoch unwahrscheinlich, dass die Aufsichtsbehörde ein Verfahren einführen wird, das eine große Anzahl von Drittparteien berücksichtigt oder über die Sicherstellung hinausgeht, dass das Unternehmen das ISO- oder SOC-2-Zertifikat vom Auftragnehmer erhält. „Deshalb sollten Unternehmen die Diskrepanz anerkennen und den ersten Schritt zur Implementierung eines Risikomanagementprogramms unternehmen, das über diese grundlegenden Compliance-Anforderungen hinausgeht.“

Die Gesetz zur Widerstandsfähigkeit digitaler Abläufe (DORA), das in der EU in Kraft trat, geht direkt auf Lieferkettenrisiken ein, indem es strenge Anforderungen an Finanzinstitute und deren kritische IT-Lieferkettenpartner stellt, sagt Hannan-Jones von UBDS Digital.DORA-Vorgaben Organisationen müssen umfassende Risikomanagement-Rahmenwerke für Beziehungen zu Drittanbietern implementieren, einschließlich Sorgfaltsprüfungen, vertraglicher Klauseln zur Gewährleistung der Datensicherheit, kontinuierlicher Überwachung und der Möglichkeit, Verträge zu kündigen, wenn Anbieter die Resilienzstandards nicht erfüllen. Regelmäßige Tests, Meldung von Vorfällen und klare Verantwortlichkeiten für ausgelagerte Funktionen sind ebenfalls erforderlich.

Governance-Strukturen

Da Angreifer über eine API auf Daten zugreifen konnten, hat der Datendiebstahl bei 700Credit offengelegt, dass die Governance-Strukturen in vielen Fällen mit der Komplexität des Ökosystems nicht Schritt gehalten haben. Jährliche Lieferantenfragebögen und veraltete Sorgfaltsprüfungsverfahren sind schlichtweg wirkungslos, wenn Angreifer unbemerkt Millionen von Datensätzen über eine API abrufen können.

Um solche Verstöße zu verhindern, muss die Unternehmensführung kontinuierliche Überwachung, Transparenz der Lieferkette, Zuordnung von Verpflichtungen und ISO-konforme Governance umfassen, wie zum Beispiel: ISO 27001 mit einem ISO 27701 .

Doch es handelt sich hierbei nicht nur um das Abhaken von Checklisten. Unternehmen müssen laut Razorblue's Kitchen „über die statische Einhaltung von Vorschriften hinausgehen“ und „eine kontinuierliche Überwachung einführen“. Das bedeutet, „den API-Traffic in Echtzeit zu überwachen, nicht nur im Rahmen jährlicher Audits“.

Gleichzeitig sollten Unternehmen von ihren Lieferanten Transparenz fordern, die Verpflichtungen abbilden und verstehen, wer sonst noch in der Lieferkette beteiligt ist, rät er.

Diane Downie, leitende Softwarearchitektin bei Black Duck, empfiehlt Unternehmen, insbesondere bei Zugriffspunkten auf sensible Informationen, eine Zero-Trust-Sicherheitsstrategie zu verfolgen. „Risikobewertungen von Systemarchitekturen müssen Maßnahmen zur Abmilderung der Folgen eines kompromittierten Systems berücksichtigen, einschließlich der Systeme vertrauenswürdiger Partner.“

Finanzorganisationen können sich nicht länger auf vertrauensbasierte Lieferantenbeziehungen oder langsame Offenlegungsprozesse verlassen. Sie müssen grundlegend transparenter werden und einen standardbasierten Ansatz für das Management ihres Datenökosystems verfolgen.

Die Vorteile dieses Ansatzes liegen auf der Hand. Die wahren Kosten von Verstößen gehen weit über behördliche Strafen hinaus und bergen ein erhebliches Risiko für operative Lähmung und Reputationsschäden, so Kitchen. „Auf Makroebene können solche Vorfälle zu drastischen Kursverlusten führen, das Vertrauen der Anleger untergraben und Nervosität an den Märkten hervorrufen – insbesondere bei börsennotierten Unternehmen in sensiblen Branchen wie dem Finanzsektor.“

Kate O’Flaherty

Kate ist Journalistin für Cybersicherheit und Datenschutz mit über zehn Jahren Erfahrung in der Berichterstattung über wichtige Themen für Nutzer, Unternehmen und Regierungen. Neben ISMS.online veröffentlicht sie auch Artikel in Forbes, Wired, The Guardian, The Observer, The Times und The Economist.

Lesen Sie mehr von Kate O'Flaherty

Internet-Sicherheit 22 Januar 2026

Banner der Herausforderung zur Einhaltung der Vorschriften für Versorgungsunternehmen

Die Herausforderung der Energieversorgungsunternehmen hinsichtlich der Einhaltung der Vorschriften

Energieversorgungsunternehmen kämpfen mit Fragmentierung und Silos, was einen einheitlichen Ansatz zur Einhaltung von Vorschriften verhindert. Eine solidere Grundlage ist erforderlich, ...

Kate O’Flaherty

Internet-Sicherheit 16 December 2025

Cyberangriffe beeinträchtigen das BIP: Was bedeutet das für Unternehmen?

Da Resilienz durch immer mehr Vorschriften gefordert wird, wie kann jedes Unternehmen seinen Beitrag leisten? Von Kate O'Flaherty. Unternehmen in ganz Großbritannien...

Kate O’Flaherty

Internet-Sicherheit 25 November 2025

Banner zum AWS-Ausfall und seinen Folgen für die Cybersicherheit

Der AWS-Ausfall und seine Auswirkungen auf die Cybersicherheit

Angesichts des steigenden Ausfallrisikos stellt sich die Frage: Wie können Unternehmen die Folgen von Cyberangriffen wie Phishing und Social Engineering abfedern? Von Kate O'Flah…

Kate O’Flaherty