Marquis Software: Cyberangriff auf 780.000 Bankkunden

Ein Ransomware-Angriff auf den Fintech-Dienstleister Marquis Software Solutions hat die sensiblen Daten von über 780.000 Amerikanern kompromittiert – und die betroffenen Bankkunden erfahren erst jetzt davon, vier Monate nach der Attacke. Die Welle der Sammelklagen rollt bereits an, während sich die Dimensionen des Vorfalls weiter ausdehnen.

Was auf den ersten Blick wie ein weiterer Cyberangriff aussieht, entpuppt sich als Lehrstück über die Verwundbarkeit moderner Finanzsysteme: Ein einziger kompromittierter Dienstleister – und 75 Banken sowie Kreditgenossenschaften stehen plötzlich als Opfer da.

Noch Anfang Dezember gingen Experten von rund 400.000 Betroffenen aus. Innerhalb von nur 48 Stunden hat sich diese Zahl nahezu verdoppelt. Stand 9. Dezember bestätigen offizielle Dokumente und juristische Anfragen: Über 780.000 Menschen in den USA sind betroffen – Tendenz steigend.

Unternehmen sind längst Ziel von Ransomware-Angriffen – ein kompromittierter Drittanbieter kann Hunderttausende von Kundendaten gefährden, wie der Marquis-Fall zeigt. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt praxisnah, welche Schutzmaßnahmen sofort greifen, wie Sie Patch‑Management und Drittanbieter‑Kontrollen verbessern und typische Angriffsvektoren erkennen. Mit Checklisten und leicht umsetzbaren Schritten, auch ohne teure IT‑Aufstockung. Für Geschäftsführer und IT‑Verantwortliche, die ihr Risiko schnell reduzieren wollen. Kostenloses Cyber-Security-E-Book herunterladen

Der Angriff selbst fand bereits am 14. August 2025 statt. Doch erst jetzt flattern die Benachrichtigungsschreiben in die Briefkästen der Opfer. Was ist in der Zwischenzeit passiert? Diese Verzögerung dürfte zum zentralen Streitpunkt in den kommenden Gerichtsverfahren werden.

Marquis Software Solutions mit Sitz in Plano, Texas, beliefert über 700 Finanzinstitute mit Marketing- und Compliance-Software. Ein einziges Einfallstor genügte den Angreifern: eine Sicherheitslücke in einer SonicWall-Firewall. Über diese Schwachstelle drangen die Cyberkriminellen in das Netzwerk ein, installierten Ransomware und kopierten massenweise Kundendaten, bevor sie die Systeme verschlüsselten.

Was genau wurde gestohlen?

Die Liste der kompromittierten Daten liest sich wie ein Albtraum für jeden Verbraucher. Die Angreifer erbeuteten:

• Vollständige Namen und Adressen
• US-Sozialversicherungsnummern (Social Security Numbers)
• Geburtsdaten
• Steueridentifikationsnummern
• Finanzielle Kontoinformationen (ohne PINs oder Sicherheitscodes)

Mit diesen Informationen lässt sich Identitätsdiebstahl in großem Stil betreiben: Kreditkartenbetrug, gefälschte Kreditanträge, Steuerbetrug. Die potenziellen Schäden für die Betroffenen sind enorm.

Die schwächste Stelle in der Kette

Hier zeigt sich das fundamentale Problem moderner Finanzarchitektur: Drittanbieter-Risiko. Banken investieren Millionen in ihre eigene IT-Sicherheit – und werden dann über einen externen Softwareanbieter kompromittiert, den die meisten Kunden nie zuvor gehört haben.

Die Untersuchung ergab laut Marquis, dass “eine unbefugte dritte Partei” am 14. August Zugang zum Netzwerk erlangte und “möglicherweise bestimmte Dateien aus den Systemen kopierte”. Die vorsichtige Formulierung kann nicht verbergen: Die Angreifer hatten monatelang Zeit, sich im System umzusehen.

Besonders brisant: Eine Meldung der Community 1st Credit Union – einer der betroffenen Institutionen – deutete kurzzeitig an, dass möglicherweise ein Lösegeld gezahlt wurde, um die Veröffentlichung der Daten zu verhindern. Das Dokument verschwand jedoch schnell wieder von der Website der Aufsichtsbehörde. Marquis selbst erklärt, es gebe “derzeit keine Beweise”, dass die Daten im Darknet veröffentlicht oder missbraucht wurden.

Derzeit keine Beweise – das klingt nicht gerade beruhigend.

75 Banken in der Schusslinie

Die betroffenen Finanzinstitute stehen vor einer unangenehmen Aufgabe: Sie müssen ihre Kunden über einen Datendiebstahl informieren, für den sie selbst nicht direkt verantwortlich sind. Marquis fungierte als zentrale Drehscheibe für Datenanalyse und Customer-Relationship-Management – ein einzelner Sicherheitsvorfall beim Dienstleister trifft nun 74 verschiedene Institutionen gleichzeitig.

Unter den Betroffenen finden sich unter anderem:

• Suncoast Credit Union
• Bellwether Community Credit Union
• Cape Cod Five
• 1st Northern California Credit Union
• Abbott Laboratories Employees Credit Union

Marquis übernimmt die Benachrichtigung der Betroffenen und bietet kostenlose Kreditüberwachung und Identitätsschutz-Services für 12 bis 24 Monate an. Ein schwacher Trost angesichts der Tragweite.

Die Anwälte wittern ihre Chance

Kaum wurden die Dimensionen des Vorfalls bekannt, starteten mehrere große US-Kanzleien Untersuchungen gegen Marquis Software Solutions. Strauss Borrelli PLLC, Cole & Van Note und Lynch Carpenter – sie alle prüfen bereits Klagen im Namen der Opfer.

Der Vorwurf: Fahrlässigkeit beim Schutz sensibler Verbraucherdaten. Hat Marquis angemessene Cybersicherheitsmaßnahmen implementiert? Warum dauerte es vier Monate, bis die Betroffenen informiert wurden? Und weshalb wurde eine kritische Firewall-Schwachstelle nicht rechtzeitig gepatcht?

Cybersicherheitsexperten bringen es auf den Punkt: “Marquis ist das jüngste Beispiel dafür, wie die Konzentration auf Drittanbieter eine systemische Gefahr für die Finanzdienstleistungsbranche darstellt.”

Die Konsolidierung zu einer Sammelklage gilt als nahezu sicher. Bei 780.000 potenziellen Klägern und identischen Vorwürfen ist dies die logische Konsequenz.

Was Betroffene jetzt tun sollten

Sicherheitsexperten raten dringend zu sofortigen Schutzmaßnahmen – unabhängig davon, ob bereits verdächtige Aktivitäten aufgefallen sind:

1. Kreditauskunfteien sperren: Bei Equifax, Experian und TransUnion sollten Betroffene ihre Kreditberichte einfrieren lassen
2. Benachrichtigungsschreiben prüfen: Die offiziellen Briefe enthalten spezifische Anweisungen zur Registrierung für Kreditüberwachung
3. Kontobewegungen überwachen: Jede ungewöhnliche Transaktion sofort melden
4. Verdächtige Kreditanfragen prüfen: Identitätsdiebe könnten versuchen, auf fremde Namen Kredite aufzunehmen

Die Opferzahl könnte in den kommenden Wochen weiter steigen, da zusätzliche Finanzinstitute ihre forensischen Untersuchungen abschließen.

Lehren für die Finanzbranche

Dieser Vorfall wird die Finanzindustrie zwingen, ihre Abhängigkeit von externen Dienstleistern grundlegend zu überdenken. Das Konzept der “Zero-Trust-Architektur” dürfte massiv an Bedeutung gewinnen: Drittanbieter erhalten nur noch minimale Zugriffsrechte auf Daten – nicht länger die weitreichenden Berechtigungen, die solche massiven Datenabflüsse erst ermöglichen.

Auch Regulierungsbehörden stehen unter Druck: Braucht es strengere Cybersicherheits-Vorschriften für Nicht-Bank-Dienstleister, die mit hochsensiblen Finanzdaten arbeiten? Die SonicWall-Schwachstelle war bekannt – trotzdem wurde sie offenbar nicht rechtzeitig geschlossen. Ein klassisches Patch-Management-Versagen mit katastrophalen Folgen.

Für die über 780.000 Betroffenen kommt diese Debatte zu spät. Sie müssen nun Jahre damit verbringen, die Spuren ihrer gestohlenen Identität zu beseitigen – während die eigentlichen Täter längst im Darknet untergetaucht sind.

PS: Wenn Sie als Kunde betroffen sein könnten oder als Unternehmen besser vor Datendiebstahl schützen wollen: Der Gratis-Report liefert konkrete Checklisten zu Patch‑Management, Phishing‑Abwehr und Prüfungen von Dienstleistern sowie Handlungsempfehlungen für schnelle Sofortmaßnahmen. Praxisnah, kostenlos und direkt zum Download – ideal für IT‑Leiter und Compliance‑Verantwortliche. Lesen Sie, welche Maßnahmen viele der 75 betroffenen Institute hätten ergreifen können. Jetzt Cyber-Security-Report sichern