Demnach fand die Attacke bereits im vorigen Jahr statt. Aber erst im vergangenen Monat sei entdeckt worden, dass die Angreifer ihre Beute zu verbotenen Finanzmarktaktivitäten nutzen konnten.

Der Vorgang ist ausgesprochen heikel. Denn der neue SEC-Chef Jay Clayton hat die Bekämpfung der Cyberkriminalität zu einem seiner Hauptziele erklärt. Die große Frage ist, inwieweit Datendiebstahl übers Internet die Integrität der Märkte beschädigen kann. Das Problem rückte zuletzt durch den Fall Equifax ins Rampenlicht. Die US-Wirtschaftsauskunftei räumte ein, dass ihr Daten von mehr als 143 Millionen Kunden gestohlen worden seien.

Bei der SEC knackten die Hacker die wichtige Datenbank EDGAR, in der Millionen von Unternehmensmitteilungen gesammelt werden, darunter potenziell marktbewegende Informationen wie Quartalsberichte und Fusionspläne. Wenn Eingeweihte ihr privilegiertes Wissen zu Börsengeschäften nutzen, machen sie sich strafbar.

Nach SEC-Darstellung gelang den Angreifern dank eines Softwarefehlers der Zugang zu Daten, die nicht öffentlich zugänglich sind. Die Behörde sei 2016 auf die Lücke aufmerksam geworden und habe diese umgehend geschlossen. Die Attacke dürfte weder die Arbeit der SEC gefährden noch ein Risiko für das Finanzsystem darstellen, versicherten die Wall-Street-Aufseher. Zusätzliche Brisanz erhält der Vorfall durch den jüngsten Bericht eines Kongressgremiums, das der SEC im Juli ein "unnötiges Risiko" durch Schwächen in den Informationssystemen bescheinigte.