Wenn es eine politische Kunst ist, unangenehme Neuigkeiten möglichst weit hinten in einem Nebensatz zu verstecken, dann stehen Jay Clayton in Washington ab sofort alle Türen offen. Am späten Mittwochabend verbreitete der neue Chef der US-Börsenaufsicht SEC eine elfseitige Erklärung, in der er sich grundsätzlich mit dem Thema Netzsicherheit auseinandersetzt. Auf Seite drei kommt er dabei kurz auf einen Vorfall im eigenen Hause zu sprechen: 2016, so schreibt er, seien Unbekannte in das Computernetz der SEC eingedrungen und hätten Daten börsennotierter Firmen erbeutet. Jetzt, ein Jahr später, sei man zum Schluss gekommen, dass die Hacker ihr Wissen womöglich nutzten, um an der Börse illegal Gewinne einzustreichen. Die Nachricht, die wie eine Anekdote daherkommt, hat das Zeug zum handfesten Skandal: Die Verdienstchancen beim Insiderhandel sind immens, auch könnten sich alle anderen Aktienbesitzer, die auf Kursbewegungen infolge der Geschäfte reagierten und Papiere kauften oder abstießen, betrogen fühlen. Doch Clayton belässt es beim Hinweis, dass die SEC die Software-Schwachstelle behoben habe, den Fall untersuche und sich mit den zuständigen Behörden abstimme - dann fährt er mit seinen Grundsatzüberlegungen fort. Welche Firmen und Aktien betroffen sind, wie groß der mögliche Schaden ist, wer die Angreifer gewesen sein könnten und warum man ein Jahr brauchte, um die Dimension der Attacke zu erkennen, will die SEC auch auf Nachfrage nicht sagen. Erst vor zwei Wochen hatte die Bonitätsauskunftei Equifax eingeräumt, dass Cyberkriminelle die persönlichen Daten von bis zu 143 Millionen Bürgern erbeutet haben. Unter anderem fielen ihnen Namen, Geburtsdaten, Adressen sowie Sozialversicherungs- und teilweise auch Kreditkartennummern in die Hände. Equifax ist eine der drei großen Auskunfteien des Landes, vergleichbar mit der Schufa. Beide Vorfälle werfen die Frage auf, ob sich US-Konzerne und Ämter genügend schützen. Im Fall der SEC bleibt zudem ein schaler Beigeschmack, da die Behörde Firmen, die die Öffentlichkeit nicht sofort über potenziell kursbewegende Datendiebstähle informieren, wiederholt Sanktionen angedroht hat.
Zu den wenigen Details, die Clayton über die Attacke preisgab, gehört die Information, dass sich die Diebe eine Schwachstelle im Informationssystem Edgar zunutze machten. Über dieses System reichen die Aktiengesellschaften des Landes pro Jahr mehr als 1,7 Millionen meldepflichtige Informationen bei der SEC ein, darunter Quartalsberichte, Fusions- und Übernahmepläne oder Angaben über bevorstehende Strategiewechsel. Viele der Mitteilungen werden umgehend über Edgar veröffentlicht, andere zunächst von Mitarbeitern der Behörde geprüft. Wer diese Daten vorab in die Hände bekommt und darauf handelt, erhält damit beinahe eine Lizenz zum Gelddrucken. Einige sensible Daten, etwa zu bevorstehenden Börsengängen, sollen sogar komplett geheim bleiben.
In der kommenden Woche wird der SEC-Chef zu einem Routinetermin im Bankenausschuss des US-Senats erwartet. Zumindest einige der Senatorinnen und Senatoren gelten als unerbittliche Fragesteller. Seitenlange Grundsatzüberlegungen werden Clayton dann vermutlich nicht mehr reichen.