Home Depot gab Mitte September bekannt, dass im Zuge einer Malware-Attacke 56 Millionen Bezahlkarten kompromittiert wurden. Der Angriff begann im April dieses Jahres. Betroffen waren Point-of-Sales-Systeme (z.B. EC-Kartenautomaten) in den US-amerikanischen Filialen des Unternehmens. Insgesamt könnten die Hacker einen Diebstahl von bis zu 3 Milliarden US-Dollar begangen haben.

In einem Statement gab Home Depot bekannt, nun zusätzliche Verschlüsselungsmechanismen installiert zu haben. Spätestens zu Beginn 2015 soll dies unternehmensweit angewendet werden. Die Verschlüsselung von Home Depot wurde von Voltage Security zur Verfügung gestellt und von verschiedenen unabhängigen Firmen getestet.

Home Depot zufolge stimmen die Verkaufszahlen im dritten Quartal mit den Schätzungen überein; es wird von 4,8 Prozent Wachstum ausgegangen.

Bei der Untersuchung des Cybereinbruchs zeigte sich, dass die Kriminellen eine „einzigartige, maßgeschneiderte Malware“ nutzen, um eine Entdeckung zu vermeiden. Die Malware wurde bisher nicht in anderen ähnlichen Vorfällen verwendet.

Die von der Malware betroffenen Geräte wurden aus dem Verkehr gezogen, bis die Malware vollständig entfernt ist. Außerdem gibt Home Depot an, „zehntausende Zeilen“ von Code neu zu schreiben und 85.000 neue PIN Pads zu nutzen. PIN-Nummern wurden Home Depot zufolge aber nicht kompromittiert.

Das Netzwerk wurde nicht auf Angriffe hin überprüft, Antivirensoftware war hoffnungslos veraltet

Allerdings wurden nun Stimmen von (ehemaligen) Mitarbeitern laut, die Home Depot mehrere Fehler zuschreiben. So sei die Antivirensoftware seit 2007 nicht mehr aktualisiert worden, das Netzwerk wurde nicht durchgehend auf Attacken hin überprüft und auch die letztendlich gehackten PoS-Geräte wurden nicht gründlich genug untersucht. Selbst grundlegende Scans, die den Payment Card Industry Data Security Standards (PCI DSS) entsprechen, wurden nicht durchgeführt. Mehr als ein Dutzend Datenbanken mit Kundeninformationen waren außerdem nicht zugänglich für das Sicherheitsteam.

Ehemalige Mitarbeiter des Sicherheitsteams äußerten sich so besorgt über die mangelnden Sicherheitsvorkehrungen, dass sie ihren Freunden lieber rieten, bei Home Depot in bar zu zahlen.
Das genutzte Antivirenprogramm war angeblich von Symantec und stammte aus dem Jahr 2007, obwohl unklar ist, ob wenigstens die Datenbank mit Signaturen aktualisiert wurde. Manager auf höherer Ebene wiesen Anfragen hinsichtlich der Verbesserung der Sicherheit zurück.

Der IT-Sicherheitsexperte John Pescatore von SANS schlägt in Zusammenhang mit der Anfälligkeit von PoS-Systemen vor, Whitelisting als Schutzmaßnahme einzusetzen. Aus seiner Sicht besteht keine Notwendigkeit, irgendwelche fremde Software auf den Computern der Kassensysteme zu installieren. Die Einführung der Sicherheitsmaßnahme Whitelisting hätte das Unternehmen rund 25 Millionen US-Dollar gekostet – im Vergleich zum geschätzten Diebstahl der Hacker von bis zu 3 Milliarden US-Dollar.

Auch könnten bald regelmäßige Audits durch Dritte eingeführt werden, sollten Unternehmen die Schwachstellen an ihren PoS-Terminals nicht in den Griff bekommen.

Neben dem Einsatz von verstärkten Verschlüsselungsmechanismen möchte Home Depot auch auf das EMV-System umsteigen. Dabei werden nicht die Magnetstreifen gescannt, sondern die Daten aus dem Kartenchip ausgelesen, meist in Kombination mit dem PIN. Für die von dem aktuellen Vorfall betroffenen Kunden kommt dies allerdings zu spät.

Zusätzlich wurde im Rahmen des Vorfalls bekannt, dass ein früherer Mitarbeiter des Sicherheitsteams erst dieses Jahr zu 4 Jahren Haft verurteilt wurde. Er hatte Server und Systeme von Home Depot, aber auch Systeme des vorherigen Arbeitgebers manipuliert.

Artikel von krebsonsecurity.com, 18.09.2014: In Home Depot Breach, Investigation Focuses on Self-Checkout Lanes
Artikel von zdnet.com, 18.09.2014: Home Depot: 56 million payment cards affected by cyberattack
Artikel von nytimes.com, 19.09.2014: Ex-Employees Say Home Depot Left Data Vulnerable
Artikel von theregister.co.uk, 22.09.2014: Home Depot ignored staff warnings of security fail laundry list
Artikel von arstechnica.com, 22.09.2014: Home Depot’s former security architect had history of techno-sabotage