Das Equifax-Disaster

Es ist eine Sache, die eigene IT-Infrastruktur zu vernachlässigen und sich so zur Zielscheibe von Angreifern zu machen. Doch auch im Nachgang eines solchen Vorfalls kann man als Unternehmen sehr viel falsch machen, wie die US-Wirtschaftsauskunftei (vgl. Schufa) Equifax in den letzten Tagen eindrucksvoll belegt hat. Die Pressemeldungen zu diesem Ereignis lesen sich wie ein “Wie man auf keinen Fall mit einem Datenschutz-GAU umgeht”.

Wie man gehackt wird

Equifax benötigte offenbar Monate, um den Eindringling zu bemerken, der Daten bereits seit Mai abfließen ließ. Als es am 29. Juli diese unangenehme Entdeckung machte, waren bereits höchst sensible Daten (allen voran Sozialversicherungsnummern) von 143 Millionen US-Bürgern entwendet. Der Angriffsweg, den die Hacker dabei verwendeten, war laut Equifax eine Schwachstelle in der Webpräsenz des Unternehmens. Nähere Angaben dazu macht Equifax nicht, was Security-Blogger Brian Krebs zur Annahme verleitet, dass das Unternehmen wichtige Sicherheitsupdates versäumt hat. Dadurch konnten die Angreifer bekannte Sicherheitslücken und passende bekannte Angriffe ausnutzen. Sollte sich dieser Verdacht bewahrheiten, würde das angesichts der Daten, mit denen das Kreditbüro arbeitet, auf extreme Fahrlässigkeit hindeuten.

Wie man nicht mit einem Hack umgeht

Dass Equifax seit dem Datenabfluss nicht aus den Schlagzeilen der Fachpresse kommt, liegt daran, dass das Krisenmanagement des Unternehmens noch bescheidener wirkt als seine Informationssicherheit. Es ist beispielsweise ein bizarrer “Zufall”, dass diverse Vertreter der Führungsebene von Equifax kurz vor der Veröffentlichung des Hacks in großem Maßstab Aktien verkauft haben. Angesichts des Timings der Verkäufe ist die Aussage des Unternehmens, die besagten Personen hätten zu dem Zeitpunkt nichts vom Hack gewusst, kaum glaubwürdig.

Auch in der direkten Unterstützung der Betroffenen legt Equifax ein mitunter fragwürdiges Vorgehen an den Tag. Den potenziell betroffenen Personen wird auf einer Website des Unternehmens ein kostenfreier Service angeboten, der Identitätsdiebstähle melden soll. Außerdem sollen überprüft werden können, ob man vom Hack selbst betroffen ist. Dieser Service ist aber nicht funktional – auf verschiedenen Endgeräten spuckt er mitunter verschiedene Ergebnisse aus. Darüber hinaus enthielt das Kleingedruckte eines dieser Angebote eine implizite Erklärung des Nutzers, Equifax nicht zu verklagen. Später wurde darauf hingewiesen, dass dieses Kleingedruckte im vorliegenden Fall keine Gültigkeit besitzt.

Lehren aus der Equifax-Misere

Equifax hat in diesen Tagen beinahe alles falsch gemacht, was falsch zu machen war. Wer mit so sensiblen Daten wie US-Sozialversicherungsnummern hantiert, ist für eine solide Absicherung der eigenen Infrastruktur verantwortlich. Das zeitige Einspielen sicherheitsrelevanter Patches ist hierbei noch das Mindeste. Doch auch wenn ein solcher folgenschwerer Hack geschehen ist: Die Verantwortung des datenhaltenden Unternehmens endet damit nicht. Betroffene sollten umgehend und zuverlässig informiert werden, nicht fehlerhaft und erst, nachdem das Management seine Aktien weiterverkauft hat.

Keine Frage – die richtige Reaktion auf einen Sicherheitsvorfall ist eine Herausforderung, auch in der Bundesrepublik. Darum gibt es Experten wie die der ISW, die Ihnen helfen können, ein adäquates Maß an IT-Sicherheit in Ihrem Betrieb zu schaffen. Mit einem Blick fürs Ganze, damit es gar nicht erst zum Äußersten kommt.