Hacker können es fast nicht mehr einfacher haben: Bei den Angriffen auf die Datenbanken des größten amerikanischen Kreditbüros Equifax mussten sie sich kaum anstrengen. Im Zeitraum Mai bis Ende Juli dieses Jahres konnten sie sich praktisch einfach bedienen. Equifax wusste davon, behielt es aber für sich. Und als am Ende alles herauskam, blieb Equifax nichts anderes übrig, als kleinlaut zuzugeben, dass über 143 Mio. Kunden von den Hacks betroffen waren. Es waren aber nicht nur amerikanische Kunden betroffen. Auch eine noch unbekannte Menge kanadischer und britischer Kunden zählt zu den Opfern.

Equifax, mit Sitz in Atlanta, Georgia, ist eines der weltweit größten Finanzdienstleistungsunternehmen. Die Wirtschaftsauskunftei sammelt Finanzdaten von Millionen von Verbrauchern. Unternehmen können auf diese Finanzdaten zurückgreifen, um die Kreditwürdigkeit einzelner Verbraucher zu überprüfen.

Doch natürlich ist die ganze Geschichte noch viel größer und leider auch abgründiger. Seit Bekanntwerden des Vorfalls am 07. September hat Equifax so ziemlich alle wichtigen US-Behörden und Strafanwälte am Hals. Auch verschiedene Staatsanwaltschaften, die Bundesstaatsanwaltschaft, das FBI, die Kapitalmarktbehörde und jede Menge private Einzel- und Sammelklagen. Die Ermittlungen laufen auf Hochtouren. Bis Anfang September wussten nur wenige Eingeweihte im Unternehmen von den Vorfällen der vergangenen Monate: Anfang März fand der erste Einbruch in die Equifax-Systeme statt.

Hacker entdeckten eine Schwachstelle im Apache Struts Framework. Die IT-Spezialisten bei Equifax wurden hellhörig und beauftragten das amerikanische IT-Sicherheitsunternehmen Mandiant. Aber hierzu gibt es auch ziemlich konträre Meldungen. Für die Schwachstelle wurde sogleich ein Update bereitgestellt, das von Equifax aber wohl nie installiert wurde. Ganz dubios. Und Equifax hielt still. Kein Wort von dem Angriff drang an die Öffentlichkeit. Aber Mitte Mai dann folgte der zweite und viel schlimmere Streich der Hacker. Ganz einfach über die gleiche Sicherheitslücke in der Anwendungssoftware, gelangten sie an die Datenmasse von 143 Mio. Amerikanern. Sozialversicherungsnummern, Geburtsdaten, Anschriften, fast 300.000 Kreditkartennummern sowie viele weitere persönliche Daten. Equifax behauptet, es seien nicht die gleichen Täter gewesen.

Bei Sozialversicherungsnummern sind die Amerikaner noch viel empfindlicher als bei Kreditkartennummern. Daher ist die Aufregung nun auch ganz nachvollziehbar. Nach und nach kam dann alles ans Tageslicht. Im März nahmen die Hacker lediglich einen Umweg über Equifax, um in die eigentlichen Ziele, verschiedene Banksysteme, einzudringen. Bekannt ist dazu, dass sie tatsächlich den Anwendernamen und das Passwort einer kanadischen Bank herausfinden konnten. Schon dort musst ihnen aufgefallen sein, wie leicht es doch war in die Equifax Datenbanken einzudringen. In einem neuen Anlauf unternahmen sie daraufhin den ganz großen Coup.

Seitdem sind die Sicherheitsforscher der Welt neugierig geworden und nehmen sich die Equifax-Welt stückweise vor. Unter ihnen Alex Holden. Er muss wohl ziemlich gestaunt haben über das, was er bei seinen Untersuchungen vorfand. Holden untersuchte den argentinischen Ableger des Finanzunternehmens. Dessen Webseite ermöglichte Mitarbeitern das Abrufen von Bonitätsdaten. Sie war über das Internet zugänglich und die Admin-Zugangsdaten dafür waren … nun ja: „admin“ als Anwendernamen und „admin“ als Passwort. Schlechter geht’s nun wirklich nicht mehr.

Holden fand heraus, dass die Anwender ähnlich schlechte Zugangsdaten verwendeten. Und alle Zugangsdaten der Mitarbeiter waren nach demselben Muster gestrickt. Wer eines wusste, konnte sich ganz einfach das Passwort jedes einzelnen Mitarbeiters zusammenreimen: Username: Nachname des Anwenders. Passwort: Nachname des Anwenders. Sicherheit: NULL. Holden sagte in einem Bericht:

„Für mich ist das einfach nur Fahrlässigkeit. Hier war der Sicherheitsansatz nur abgrundtief schlecht und es ist schwer darauf zu vertrauen, dass der Rest ihrer betrieblichen Vorgänge viel besser sind.“

Sicherheitsexperte John Pescatore bringts auf den Punkt: Wenn man den Job Titel „Chef“ hat, kommen damit: Gehaltsschecks, Verantwortung, Autorität und Risiko. Obwohl das einspielen von Sicherheitspatches eine kurze Unterbrechung der Dienste zur Folge haben könnten, ist etwas viel  schlimmer: Wenn das US National Institut of Standards and Technology – auch NIST genannt – einer Schwachstelle einen CVSS-Wert von 10 (kritisch) gibt und die SANS ISC sagt „Sofort einspielen!“ – und nichts getan wird. Monate vor einem Angriff zeigt das meistens das völlige Versagen einer IT-Abteilung und der IT-Sicherheit an. Viele andere Unternehmen haben Strategien eingeführt, damit kritische Geschäftsanwendungen ohne größere Unterbrechungen gepatcht werden können. Sie ergreifen Maßnahmen, die sich in ihrem Zuständigkeitsbereich und ihrer Verantwortung befinden.

Obwohl die Sache schon schlimm genug ist, gibt es noch mehr. Drei der Topmanager bei Equifax müssen erklären, weshalb sie sich im großen Stil von ihren Equifax-Aktienpakten trennten. Lukrativ natürlich, da die Öffentlichkeit noch nichts von dem riesigen Datendiebstahl wusste. Alle drei Manager plädieren unschuldig – der Hack war auch ihnen nicht bekannt gewesen. Seltsam nur, dass der Equifax-Finanzchef höchstpersönlich nach dem ersten Hackerangriff schon ein riesiges Aktienpaket verkauft hatte. Wenn ein Finanzchef eines Unternehmens einfach mal so eben Aktien im Wert von 1,9 Mio. US-Dollar verkauft, muss viel mehr dahinter-stecken, als Gewinnmitnahmen. Ein Schelm wer böses dabei denkt.

Artikel von krebsonsecurity.com, 12.09.2017: Ayuda! (Help!) Equifax Has My Data!
Artikel von heise.de, 19.09.2017: Equifax soll früheren Hack verheimlicht haben
Artikel von theregister.co.uk,17.09.2017: Equifax’s IT leaders ‚retire‘ as company says it knew about the bug that brought it down

Beitragsbild: (c) by Shutterstock.com