Die Hacker, die das Kreditkarten-Bezahlsystem der Neiman Marcus Group angriffen, lösten rund 60.000 Mal Alarm im Sicherheitssystem des Unternehmens aus. Allerdings wurde dies mehrere Monate lang nicht bemerkt. Der Grund dafür: Eine Automatik löschte die Daten stehlende Software jeden Tag automatisch, sodass die Hacker sie beständig wieder hochladen mussten. Die Kartendaten wurden im Zeitraum von Juli bis Oktober 2013 entwendet.

Eine 157 Seiten starke Analyse stellt fest, dass dieser Angriff wohl nicht das Werk derselben Hacker ist, die 40 Millionen Kreditkartennummern von Target stahlen.

„Der Stil des Codes und der Modus Operandi sieht komplett unterschiedlich aus“, so Aviv Raff von Seculert. „Die Angreifer nutzen einen spezifischen Code für ein spezifisches Netzwerk. Die Art des Codes hat nichts mit der vom Target-Vorfall gemein.“

Laut Ginger Reeder, einer Sprecherin von Neiman Marcus, gingen die Hacker sehr professionell vor. Sie gaben der Software einen Namen, der nahezu identisch mit dem Namen der Bezahlsoftware der Firma ist. Dadurch bemerkte das Sicherheitsteam den Alarm in den regelmäßig überprüften Datenmengen nicht.

„Diese 60.000 Meldungen, welche über den Zeitraum von dreieinhalb Monaten auftraten, machen im Durchschnitt nur rund ein Prozent aller täglichen Meldungen in den Endpoint Protection Logs aus“, so Reeder.

Die Firma stellte in einer internen Untersuchung allerdings fest, dass weniger Kundenkarten betroffen sind als die ursprüngliche Schätzung von 1,1 Millionen. Insgesamt waren dem Angriff maximal 350.000 Karten ausgesetzt. Circa 9.200 davon wurden seit dem Vorfall in betrügerischer Weise genutzt.

Der US-amerikanische Geheimdienst leitet beide Untersuchungen bei Target und Neiman Marcus, macht aber keine Angaben darüber, ob eine Verbindung besteht. Dem Bericht zufolge setzte Neiman Marcus alle Standards zum Schutz von Transaktionsdaten um, als der Angriff stattfand. Die Vorschriften zur Datensicherheit wurden nach den Diebstählen auch bei Target und Michaels Stores weiter verschärft.

Es ist immer noch nicht klar, wie die Hacker in das System einbrechen konnten und wann die Daten entfernt wurden. Das zentrale Sicherheitssystem der Firma, welches die Aktivität im Netzwerk überwacht, meldete anormales Verhalten einer bösartigen Software – der Code selbst wurde allerdings nicht als bösartig erkannt.

Die Automatik, welche die verdächtigen Aktivitäten sofort blockiert hätte, war ausgeschaltet, da sie Instandhaltungsarbeiten behinderte. Die rund 60.000 Alarmmeldungen der Software wurden vermutlich als falsch positive Resultate einer gutartigen Software interpretiert. Der Bericht erklärt nicht, weshalb die Alarmmeldungen nicht verfolgt wurden.

Artikel von businessweek.com, 21.02.2014, Neiman Marcus Hackers Set Off 60,000 Alerts While Bagging Credit Card Data