Verschlüsselung

Equifax-Hack: Hätte er durch Vorsicht & Verschlüsselung vermieden werden können?

19. Februar 2019 von Bianca Wellbrock

equifax-hack
© gangiskhan - Fotolia.com

Der Equifax-Hack war im Jahre 2017 der Datenschutz-GAU der US-Finanzwelt: Equifax ist die größte Wirtschaftsauskunftei in den USA, wenn nicht sogar der ganzen Welt. Die Daten von Millionen US-Bürgern waren betroffen, außerdem etliche Kanadier und Briten. Ein Ausschuss des US-Repräsentantenhauses, der den Vorfall untersuchte, kam zu einem vernichtenden Ergebnis: Der Equifax-Hack wäre “absolut vermeidbar” gewesen.

Hintergründe zum Equifax-Hack

Im Jahre 1899 wurde Equifax als Finanzdienstleistungsunternehmen gegründet. Heute arbeiten hier rund 8.000 Mitarbeiter. Das Unternehmen hat seinen Hauptsitz in Atlanta im Bundesstaat Georgia.

Der Hack wurde am 29. Juli 2017 entdeckt, jedoch erst Anfang September 2017 öffentlich. Zwischen Mai bis zum Entdeckungszeitpunkt gelang es Hackern, die Daten von 143 Millionen Equifax-Kunden aus den USA, aus Kanada und dem Vereinigten Königreich zu erbeuten.

Neben Geburtsdaten, Adressen, 290.000 Kreditkartennummern, Führerscheinnummern und anderen Daten erlangten die Hacker Zugriff auf die Sozialversicherungsnummern der Kunden. Vermutlich handelt es sich hierbei um den größten Diebstahl von Sozialversicherungsnummern aller Zeiten!

Wie konnte es zum Equifax-Hack kommen? Der Konzern selbst konnte das Einfallstor der Hacker identifizieren. Offenbar wurde für den Equifax-Hack eine Sicherheitslücke im Open-Source-Framework Apache Struts ausgenutzt.

Sicherheitslücke bei Equifax: Daten auf dem Präsentierteller

Der Equifax-Hack ist passiert, obwohl Equifax Warnungen vorlagen. Das US-CERT (Computer Emergency Readiness Team) informierte Equifax am 08. März 2017 offiziell über eine Sicherheitslücke in Apache Struts. An über 430 Personen und über diverse E-Mail-Verteiler wurde eben diese Warnung weitergeleitet. Es gab die Anweisung, den schon verfügbaren Patch binnen 48 Stunden einzuspielen. Jedoch geschah dies nicht auf allen Systemen.

Mehr noch: Es war nicht der erste Equifax-Hack. Bereits am 10. März drangen erste Hacker in die betroffenen IT-Systeme ein. Zwar bemerkte Equifax dies zunächst nicht, sah sich aber auch nicht gezwungen, den Hack nach Bekanntwerden an die große Glocke zu hängen.

Man kann die Gründe für den Equifax-Hack letztlich nur als Ignoranz seitens Equifax bezeichnen. Beide Hacks wären vermeidbar gewesen, hätte man die banalen Gründe für die Hacks nicht ignoriert:

Komplexe IT-Infrastruktur ohne klare Zuweisung von Verantwortlichkeiten

Wie kann es angehen, dass die Warnungen durch US-CERT intern an über 400 Personen und diverse E-Mail-Verteiler weitergeleitet, jedoch nicht ernst genommen wurden? Warum wurde der bereitgestellte Patch nicht auf sämtlichen Systemen eingespielt? Und wie kann es passieren, dass Equifax die eigenen Systeme nach unsicheren Struts-Versionen scannte, jedoch nichts fand?

Für die letzte Frage gibt es leider eine peinliche Erklärung: Man durchsuchte lediglich das Root-Verzeichnis, nicht jedoch die Unterverzeichnisse. Hätte es klare Zuständigkeiten gegeben, wäre all dies vermeidbar gewesen.

Veraltete E-Mail-Verteiler

Dass die Warnungen und Informationen nicht an die Ohren gelangten, für die sie bestimmt waren, kann auch an veralteten E-Mail-Verteilern liegen. Werden diese nicht aktuell gehalten, so können Informationen nicht ankommen.

Unvollständige Sicherheitspatches

Es ist mehr als peinlich, dass der Konzern vorhandene Sicherheitspatches nicht komplett auf allen Systemen einspielt. Das Patch war vorhanden, es hätte nur einen Zuständigen gebraucht, der sich fürs Einspielen auf allen Systemen verantwortlich fühlt, um Vorfälle wie den Equifax-Hack zu vermeiden.

Unverschlüsselte Passwörter

Der Peinlichkeiten und Ignoranz nicht genug: Der Equifax-Hack konnte auch deshalb in dieser Größenordnung entstehen, weil der Konzern Usernamen und Passwörter unverschlüsselt im Netzwerkspeicher ablegte. Ganz klar, dass die Hacker angesichts solches Schatzes zuschlugen.

Abgelaufene Zertifikate

Um dem Ganzen die Krone aufzusetzen, gab es ein weiteres riesiges Versäumnis: Die Zertifikate von Equifax waren abgelaufen. Nicht erst seit gestern, nein, sondern seit 19 Monaten – seit Januar 2016! Durch das Nicht-Verlängern der Zertifikate legte der Konzern seine eigene Intrusion Detection lahm, die entschlüsselten Datenstrom analysiert und gegebenenfalls Alarm schlägt.

Voraussetzung für das Funktionieren dieses Alarms ist – richtig – ein gültiges Zertifikat. Am Abend des 29. Juli 2017 hatte man magere 67 der mehr als 300 abgelaufenen Zertifikate ausgetauscht. Und siehe da: Die Intrusion Detection schlug Alarm, denn gerade wurden weitere Daten an eine verdächtige chinesische IP-Adresse übertragen.

Fazit zum Equifax-Hack

Es wäre wirklich ein Leichtes gewesen, den Equifax-Hack zu verhindern. Völlig unkomplizierte Sicherheitsmaßnahmen hätten gereicht, um das Einfallstor für den Equifax-Hack zu schließen. Um einen Hack mit solch einem Ausmaß zu vermeiden, lohnen sich folgende Schritte:

  • IT-Sicherheitskonzept: Im Rahmen eines solchen Konzepts werden Verantwortlichkeiten verteilt und etwaige Notfall-Maßnahmen beschlossen.
  • IT-Sicherheitsbeauftragter: Gibt es einen Verantwortlichen, so kann dieser Maßnahmen steuern und überwachen. Auch dient er der Aufklärung weiterer Mitarbeiter, um IT-Sicherheit allumfassend im Unternehmen zu leben.
  • Verantwortungsvolle Partner: Suchen Sie sich Dienstleister, auf die Sie vertrauen können und die Ihnen Mehrwerte bieten. So bieten wir von der PSW GROUP einen Erinnerungsservice, der abgelaufene Zertifikate vermeidet.

Haben Sie Fragen zu diesen Schritten? Gerne unterstützen wir Sie – nehmen Sie einfach Kontakt zu uns auf!



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu