2017 war der Beginn des Equifax Dramas. Zur Erinnerung: Hacker hatten sich Zugang zu den Computersystemen verschafft und zogen Monate lang Daten ab. Über eine bekannte Software-Schwachstelle, die nicht gepatcht worden war, gelangten so Daten von 147 Millionen Menschen in fremde Hände. Das Image einer der größten US-Wirtschaftsauskunfteien war praktisch über Nacht dahin.

Die Betroffenen waren keine Kunden von Equifax, aber ihre Daten sind die Geschäftsgrundlage des Unternehmens. Equifax ist eine Wirtschaftsauskunftei, die Informationen über die Kreditwürdigkeit Dritter auf Anfrage an ihre Kunden weitergibt. Kunden sind Banken und andere Institutionen. 147 Millionen Betroffene hatten also gar keine Wahl – ihre sensiblen Daten waren Teil der Equifax Datenmenge. Die US-Staatsanwaltschaft sagte in einer Mitteilung,

„Equifax habe den Profit über den Datenschutz gestellt“.

Die Nachlässigkeiten beim Umgang mit hochsensiblen personenbezogenen Daten werden Equifax nun teuer zu stehen kommen. In einem Vergleich musste das Unternehmen zustimmen, mindestens 525 und maximal 639 Millionen Euro Entschädigung zu zahlen.

Diese Zahlung wird folgende Kosten decken: Zunächst werden die Ermittlungs- und Anwaltskosten der Kläger damit bezahlt. 425 Millionen US-Dollar werden bereitgestellt für geschädigte Betroffene. Das ist nicht viel, aufgeteilt auf 147 Millionen potenziell geschädigter Personen. Interessant ist bei dieser Rechnung, dass man nicht davon ausgeht, dass es 147 Millionen Geschädigte geben wird. Geschädigt ist so definiert: Die betroffenen Personen können nachweisen, dass sie durch den Hackerangriff finanziell geschädigt wurden. Erst dann erhalten sie finanzielle Unterstützung. Das Nachrichtenmagazin The Times berichtete, dass in dem Vergleich davon ausgegangen wird, dass sich nur rund sieben Millionen Betroffene für die angebotene Kreditüberwachung anmelden werden.

Equifax hat auch zugestimmt, folgende Unterstützungsleistungen zu bezahlen:

Kostenlose Kreditüberwachung

Mindestens drei Jahre lang Kreditüberwachung durch alle drei großen Unternehmen, darunter Equifax, Experian und Trans Union. Bis zu sechs weitere Jahre durch Experian. Wer die Vorteile nicht nutzen möchten, kann stattdessen eine einmalige Barzahlung von 125 US-Dollar akzeptieren, aber nicht beides.

Aufwandsentschädigung

Zeitliche Aufwandsentschädigung für all diejenigen Betroffenen, die nachweislich Zeit in die Aufklärung ihres Identitätsdiebstahls oder den Datenmissbrauch gesteckt haben. Dazu gehört auch die Bezahlung von Kreditüberwachungsdiensten oder Kreditberichten. Die Entschädigung ist auf 20 Stunden zu je 25 US-Dollar / Stunde begrenzt. Die Gesamterstattung darf 20.000 US-Dollar je betroffener Person nicht überschreiten.

Hilfeleistungen

Bei Problemen durch Identitätsdiebstahl werden bis zu sieben Jahre lang jährlich sechs kostenlose Dienstleistungen, wie Kreditberichte, für die Überprüfung der kompromittierten Identität zur Verfügung gestellt. Wer als Betroffener im Mai 2017 noch minderjährig war, hat Anspruch auf insgesamt 18 Jahre kostenlose Kreditüberwachung. Equifax wird bis zu zehn Jahre kostenlose Kreditüberwachung für alle betroffenen Personen anbieten.

Alle betroffenen Personen können die angebotenen Hilfeleistungen über die eigens eingerichtete Webseite www.equifaxbreachsettlement.com beantragen. Die Webseite wird von einem Drittanbieter betrieben. Experten sagen, das sei gut so, denn seit dem Vorfall sei das Unternehmen Equifax in ein einziges Chaos verfallen. Das Unternehmen sei nicht mehr in der Lage, selbst die einfachsten Dienstleistungsanfragen zu bewältigen.

Die Webseite enthält eine Funktion mit der Betroffene überprüfen können, ob sie berechtigt sind, die angebotenen Hilfeleistungen in Anspruch zu nehmen. Doch damit besteht nicht automatisch ein Anspruch darauf. Betroffene müssen sich dafür explizit anmelden. Unterm Strich wird die Prozedur für alle potenziellen 147 Millionen betroffenen Personen nicht einfach sein. Außerdem garantiert sie, wie alle Hilfeleistungen, natürlich nicht den Datenmissbrauch oder den Identitätsdiebstahl durch Kriminelle. Das muss jeder Einzelne selbst überwachen und Maßnahmen dazu einleiten.

Was Betroffene tun können, ist, ihre Kreditdaten zur absoluten Sicherheit „einfrieren“ lassen. So können Kreditbüros keine Abfragen mehr bei entsprechenden Auskunftsanfragen durchführen. Dazu müssen die Angefragten dann immer ihre explizite Zustimmung geben. Damit halten sie die Fäden in der Hand, müssen aber wiederum einen Aufwand betreiben. Zwar können Kriminelle immer noch die Daten missbrauchen, um Kredite zu beantragen, aber welcher Kreditgeber wird schon Kredite ungeprüft vergeben, ohne das Risiko zu überprüfen?

Wer seine eigenen Kreditdaten nicht einzufrieren lässt, sollte bedenken: Kriminelle könnten das auch mithilfe der gestohlenen Daten tun. Sie haben alles Wichtige in der Hand für die entsprechende Authentifizierung. Dennoch, Equifax hilft Betroffenen nur bedingt. Jeder Einzelne, der bisher völlig unschuldig war und seine Daten in Sicherheit wiegte, hat nun alle Hände voll zu tun, seine Reputation und sein Vermögen zu schützen.

Kritiker sagen, dass Equifax Umsatz macht mit den Daten anderer. Gleichzeitig zahlt sie nun den von ihrer Datenpanne Betroffenen nicht das, was diese Daten eigentlich Wert sind. Senator Mark Warner sprach davon, dass die vereinbarte Gesamtentschädigung eigentlich doppelt so hoch hätte ausfallen müssen. Warner ist da gar nicht so weit ab von der Realität. Verglichen damit, was eine neue, noch nicht ratifizierte Gesetzesvorlage vorsieht, ist das sogar weniger als die Hälfte.

Ein anderer Finanzdienstleister, Wells Fargo, musste 1 Milliarde US-Dollar zahlen. Allerdings mach Wells Fargo über 25 Milliarden Umsatz und Equifax nur 3,36 Milliarden.

Siehe auch:

• Moodys senkt das Rating von Equifax nach Hackereinbruch
• Mehr Schlampereien in der IT-Sicherheit bei Equifax als vermutet
• Equifax – Hacking leicht gemacht auf das Kreditbüro
• Equifax – Gefahr schon Monate zuvor bekannt gewesen

Artikel von ftc.gov, 22.07.2019: UNITED STATES DISTRICT COURT FOR THE NORTHERN DISTRICT OF GEORGIA ATLANTA DIVISION
Artikel von krebsonsecurity.com, 22.07.2019: What You Should Know About the Equifax Data Breach Settlement
Artikel von zdnet.com, 22.07.2019: Equifax, regulators sign $700m deal to settle data breach lawsuits