LIFE

Wie ein großes Unternehmen Millionen sensibler Daten an Hacker verlor

Sven Krumrey

Zum allerersten Mal beginnt der Blog mit einer Entschuldigung. Wie bereits erwähnt, zieht Ashampoo um und dabei bleibt manchmal etwas auf der Strecke. In diesem Fall war es der Server, welcher Ihnen sonst immer unsere netten Blog-Ankündigungen verschickt. Für den Fall, dass Sie in den letzten zwei Wochen keine Nachricht bekommen haben, sind diese Blogs ganz unten verlinkt. Aus dem vorletzten Blog ergab sich auch logisch das aktuelle Thema: Wenn 2,2 Milliarden E-Mail-Adressen mit Passwörtern auftauchen, woher kommen all diese Daten? Daher möchte ich über einen besonders folgenschweren und gut dokumentierten Vorfall schreiben, den inzwischen schon legendären Hack von Equifax. Denn selten waren verlorene Daten so sensibel und das Versagen der Verantwortlichen so groß!

Eine Firma, die viel zu erklären hatte

Zuerst: Was ist Equifax? Equifax ist die größte Wirtschaftsauskunftei der Vereinigten Staaten, also vergleichbar mit unserer Schufa. Möchte man eine größere Anschaffung machen und muss die eigene Bonität sicherstellen, stellt die Firma Kreditkartendaten, Adressen, Fahrausweis-Infos, Bonitätsinformationen und die so wichtigen Social-Security-Karten-Daten bereit. Die Firma verkauft diese Informationen an Unternehmen, Geschäftskunden, Kreditgeber, Arbeitgeber oder Vermieter. Sie merken, viel sensibler und intimer können Daten kaum sein. Dennoch wurde Equifax im Mai 2017 gehackt – und das nach allen Regeln der Kunst. Und das ging so: Auf den Equifax-Servern lief die Software Apache Struts. Seit März 2017 war bekannt, dass Angreifer über Schwachstellen dieses Frameworks (wen es interessiert: SQL Injection und Insecure Direct Object Reference) vollen Zugriff auf die Systeme erlangen konnten. Es wurde eingehend gewarnt und schnell sichere Updates bereitgestellt. Diese Updates wurden aber zu spät und nicht auf alle Server aufgespielt, so dass Hacker ein leichtes Spiel hatten. Sie suchten im Netz nach Servern mit der fehlerhaften Software und schauten sich in alle Ruhe auf den Systemen von Equifax um, nachdem sie Zugriff hatten.

Was sie dort vorfanden, waren die Daten von über 145 Millionen US-Kunden und einer nicht genannten Zahl kanadischer und britischer Staatsbürger. Bei 145,5 Millionen Personen war gleich die Social-Security-Nummer (Sozialversicherungsnummer) dabei, womit Personen eindeutig identifiziert werden können. Über 200000 Kreditkartendaten, 99000-mal die aktuelle Anschrift, Führscheindaten und vieles mehr – der absolute SuperGAU im Bereich Datensicherheit. Dabei war dies nicht der erste Equifax-Hack 2017, bereits im März waren Eindringlinge im System, was man aber nicht öffentlich verkündete und anscheinend niemanden alarmierte. Auch die argentinische Equifax-Seite war ebenso löchrig. Wer dort Zugriff auf die Daten von Dritten erlangen wollte, musste für den Administrator-Zugang Benutzername und Passwort kennen. Jemand versuchte einfach „admin“ für beides und hatte zu seinem großen Erstaunen vollen Einblick in das System. Man möchte weinen!

Nur einige der Daten, die man an Hacker verlor

Da das öffentliche Interesse an diesem Hack so groß war, wurden auch die Behörden eingeschaltet. Sie erkannten schnell, dass bei Equifax alles schiefgegangen war, was schiefgehen konnte. Die Lücke im System war bereits bekannt, es wurde betriebsintern per E-Mail gewarnt – doch der E-Mail-Verteiler war veraltet, gerade der zuständige System-Administrator bekam keine Mail. Ebenso suchte man selbst aktiv nach unsicheren Kandidaten, schaute aber nur in den Root-Verzeichnissen, die zahlreichen Unterverzeichnisse blieben unbeachtet! Zudem hatte Equifax seine Datenbanken nicht segmentiert (in kleinere Netze aufgeteilt). Benutzernamen und Passwörter waren im Klartext (also unverschlüsselt) auf einem Netzwerkspeicher abgelegt. Wer Zugriff hatte, konnte nach Belieben schalten und walten und auch beliebige Informationen über Einzelpersonen abrufen. Auch waren die Kundendaten nicht zusätzlich verschlüsselt, wer einmal Zugriff auf die Datenbanken hatte, konnte sich nach Lust und Laune bedienen.

Auch der Abtransport der großen Datenmengen nach dem Hack war kein Problem, denn es folgten weitere Pannen. Zwar hat Equifax Möglichkeiten, den ausgehenden Datenfluss zu analysieren (nennt sich Intrusion Detection), doch gab es hier ein weiteres Problem. Die ausgehenden Daten der Hacker waren verschlüsselt, um den Traffic zu verschleiern und das Analyse-System von Equifax hatte keine gültige Lizenz, um diese Daten zu entschlüsseln. Das Zertifikat war schon seit über einem Jahr abgelaufen und so konnten die verschlüsselten sensiblen Daten unerkannt auf die Reise gehen – 76 Tage lang! Zudem waren die Strukturen von Equifax „historisch gewachsen“ (immer eine Umschreibung für dezentes Chaos), weshalb die unterschiedlichen Datenbanken schlicht keine persönlich Verantwortlichen hatten. Man hatte munter expandiert, ganze 18 Firmen hinzu gekauft, doch wie das ganze Unternehmen sicher zu verwalten war, hatte man noch nicht herausgefunden. Dass es Probleme gab, IT-Vorschriften nicht umgesetzt wurden und Updates nur unzureichend eingespielt wurden, war seit 2015 bekannt. Ebenso wurde ein Jahr vor dem Hack vom Finanzdienstleister MSCI eindringlich gewarnt, wie schlecht die Sicherheit bei Equifax sei, man vergab bei einem Test null von zehn Punkten. Die Reaktion des Unternehmens war ebenfalls gleich null – mit den bekannten, verheerenden Folgen.

Datensicherheit umfasst viele Aspekte - wenn man sie denn beachtet Datensicherheit umfasst viele Aspekte - wenn man sie denn beachtet

Sind Sie nicht immer noch nicht panisch schreiend aus dem Haus gerannt? Danke, denn es geht noch weiter. 8780 Firmen haben nach Bekanntgabe der des Hacks noch die alte, bekanntermaßen löchrige Version heruntergeladen und installiert. Wer auch immer dort für die IT-Sicherheit zuständig war, möge bitte 2 bittere Tage am Pranger verbringen. Bei gleich sieben großen Tech-Firmen fand man Server mit der prekären Software im Netz, obwohl der Equifax-Hack schon längst mit allen wichtigen Details in den Schlagzeilen erschienen war. Da kann man als Privatnutzer, der sorgsam auf seine Updates, Passwörter und Sicherheitsmechanismen schaut, nur den Kopf schütteln.

Soweit, so ärgerlich. Was nun aber folgte, hätte sich kein Ermittler ausdenken können: Gar nichts! Bis heute sind diese Daten, der funkelnde Goldschatz unter den Hacks, niemals in Umlauf gekommen. Man suchte die dunkelsten Ecke des Darkwebs ab, kontaktierte Strohmänner der Hackerszene, alles ohne Erfolg. Es gab auch keine Fälle von Datenmissbrauch, die man damit in Verbindung hätte bringen können. Daher haben Experten aktuell zwei Theorien. Vielleicht ist den Hackern erst später bewusst geworden, was sie für ein immens wichtiges Material erbeutet haben, so dass Sie nun doch Angst vor den mit Hochdruck ermittelnden Strafverfolgungsbehörden haben. Bieten Sie irgendwo die Daten an, gehen Sie damit immerhin ein erhöhtes Risiko ein, geschnappt zu werden. Die andere Option: Es könnten Geheimdienste am Werk sein. Ob man mit den Daten Identitäten zweckentfremden möchte oder Menschen in Geldnot für eigene Zwecke anwerben will, diese Daten könnten auch so eingesetzt werden. Vielleicht werden wir nie erfahren, wie dieser spektakuläre Fall endet.

Was mich interessieren würde: Hätten Sie solche Vorgänge für möglich gehalten? Sind Sie jetzt noch vorsichtiger, Daten von sich weiterzugeben?

Die "verlorenen Blogs":

Die Geister, die man rief – Mobs im Internet

2,2 Milliarden E-Mail-Adressen mit Passwörtern aufgetaucht – sind Ihre dabei?
Zurück zur Übersicht

Kommentar schreiben

Bitte melden Sie sich an, um zu kommentieren.