Der Equifax-Hack war im Jahre 2017 der Datenschutz-GAU der US-Finanzwelt: Equifax ist die gr\u00f6\u00dfte Wirtschaftsauskunftei in den USA, wenn nicht sogar der ganzen Welt. Die Daten von Millionen US-B\u00fcrgern waren betroffen, au\u00dferdem etliche Kanadier und Briten. Ein Ausschuss des US-Repr\u00e4sentantenhauses, der den Vorfall untersuchte, kam zu einem vernichtenden Ergebnis: Der Equifax-Hack w\u00e4re \u201eabsolut vermeidbar\u201c gewesen.<\/p>\n
Im Jahre 1899 wurde Equifax als Finanzdienstleistungsunternehmen gegr\u00fcndet. Heute arbeiten hier rund 8.000 Mitarbeiter. Das Unternehmen hat seinen Hauptsitz in Atlanta, im Bundesstaat Georgia.<\/p>\n
Der Hack wurde am 29. Juli 2017 entdeckt, jedoch erst Anfang September 2017 \u00f6ffentlich. Zwischen Mai bis zum Entdeckungszeitpunkt gelang es Hackern, die Daten von 143 Millionen Equifax-Kunden aus den USA, aus Kanada und dem Vereinigten K\u00f6nigreich zu erbeuten.<\/p>\n
Neben Geburtsdaten, Adressen, 290.000 Kreditkartennummern, F\u00fchrerscheinnummern und anderen Daten erlangten die Hacker Zugriff auf die Sozialversicherungsnummern der Kunden. Vermutlich handelt es sich hierbei um den gr\u00f6\u00dften Diebstahl von Sozialversicherungsnummern aller Zeiten!<\/p>\n
Wie konnte es zum Equifax-Hack kommen? Der Konzern selbst konnte das Einfallstor der Hacker identifizieren. Offenbar wurde f\u00fcr den Equifax-Hack eine Sicherheitsl\u00fccke im Open-Source-Framework Apache Struts ausgenutzt.<\/p>\n
Der Equifax-Hack ist passiert, obwohl Equifax Warnungen vorlagen. Das US-CERT (Computer Emergency Readiness Team) informierte Equifax am 08. M\u00e4rz 2017 offiziell \u00fcber eine Sicherheitsl\u00fccke in Apache Struts. An \u00fcber 430 Personen und \u00fcber diverse E-Mail-Verteiler wurde eben diese Warnung weitergeleitet. Es gab die Anweisung, den schon verf\u00fcgbaren Patch binnen 48 Stunden einzuspielen. Jedoch geschah dies nicht auf allen Systemen.<\/p>\n
Mehr noch: Es war nicht der erste Equifax-Hack. Bereits am 10. M\u00e4rz drangen erste Hacker in die betroffenen IT-Systeme ein. Zwar bemerkte Equifax dies zun\u00e4chst nicht, sah sich aber auch nicht gezwungen, den Hack nach Bekanntwerden an die gro\u00dfe Glocke zu h\u00e4ngen.<\/p>\n
Man kann die Gr\u00fcnde f\u00fcr den Equifax-Hack letztlich nur als Ignoranz seitens Equifax bezeichnen. Beide Hacks w\u00e4ren vermeidbar gewesen, h\u00e4tte man die banalen Gr\u00fcnde f\u00fcr die Hacks nicht ignoriert:<\/p>\n
Wie kann es angehen, dass die Warnungen durch US-CERT intern an \u00fcber 400 Personen und diverse E-Mail-Verteiler weitergeleitet, jedoch nicht ernst genommen wurden? Warum wurde der bereitgestellte Patch nicht auf s\u00e4mtlichen Systemen eingespielt? Und wie kann es passieren, dass Equifax die eigenen Systeme nach unsicheren Struts-Versionen scannte, jedoch nichts fand?<\/p>\n
F\u00fcr die letzte Frage gibt es leider eine peinliche Erkl\u00e4rung: Man durchsuchte lediglich das Root-Verzeichnis, nicht jedoch die Unterverzeichnisse. H\u00e4tte es klare Zust\u00e4ndigkeiten gegeben, w\u00e4re all dies vermeidbar gewesen.<\/p>\n
Dass die Warnungen und Informationen nicht an die Ohren gelangten, f\u00fcr die sie bestimmt waren, kann auch an veralteten E-Mail-Verteilern liegen. Werden diese nicht aktuell gehalten, so k\u00f6nnen Informationen nicht ankommen.<\/p>\n
Es ist mehr als peinlich, dass der Konzern vorhandene Sicherheitspatches nicht komplett auf allen Systemen einspielt. Das Patch war vorhanden, es h\u00e4tte nur einen Zust\u00e4ndigen gebraucht, der sich f\u00fcrs Einspielen auf allen Systemen verantwortlich f\u00fchlt, um Vorf\u00e4lle wie den\u00a0Equifax-Hack zu vermeiden.<\/p>\n
Der Peinlichkeiten und Ignoranz nicht genug: Der Equifax-Hack konnte auch deshalb in dieser Gr\u00f6\u00dfenordnung entstehen, weil der Konzern Usernamen und Passw\u00f6rter unverschl\u00fcsselt im Netzwerkspeicher ablegte. Ganz klar, dass die Hacker angesichts solches Schatzes zuschlugen.<\/p>\n
Um dem Ganzen die Krone aufzusetzen, gab es ein weiteres riesiges Vers\u00e4umnis: Die Zertifikate von Equifax waren abgelaufen. Nicht erst seit gestern, nein, sondern seit 19 Monaten \u2013 seit Januar 2016! Durch das Nicht-Verl\u00e4ngern der Zertifikate legte der Konzern seine eigene Intrusion Detection lahm, die entschl\u00fcsselten Datenstrom analysiert und gegebenenfalls Alarm schl\u00e4gt.<\/p>\n
Voraussetzung f\u00fcr das Funktionieren dieses Alarms ist \u2013 richtig \u2013 ein g\u00fcltiges Zertifikat. Am Abend des 29. Juli 2017 hatte man magere 67 der mehr als 300 abgelaufenen Zertifikate ausgetauscht. Und siehe da: Die Intrusion Detection schlug Alarm, denn gerade wurden weitere Daten an eine verd\u00e4chtige chinesische IP-Adresse \u00fcbertragen.<\/p>\n
Es w\u00e4re wirklich ein Leichtes gewesen, den Equifax-Hack zu verhindern. V\u00f6llig unkomplizierte Sicherheitsma\u00dfnahmen h\u00e4tten gereicht, um das Einfallstor f\u00fcr den\u00a0Equifax-Hack zu schlie\u00dfen. Um einen Hack mit solch einem Ausma\u00df zu vermeiden, lohnen sich folgende Schritte:<\/p>\n
Haben Sie Fragen zu diesen Schritten? Gerne unterst\u00fctzen wir Sie \u2013 nehmen Sie einfach Kontakt<\/a> zu uns auf!<\/p>\n