Neun Lehren aus dem Equifax-Megahack

Am 7. September 2017 gab Equifax, die größte US-Wirtschaftsauskunftei, bekannt, dass sie von einem massiven Datenklau betroffen war. Unbekannte Angreifer hatten sensible Daten von über 145 Millionen Konsumenten in den USA erbeutet. Auch Opfer in Kanada und Großbritannien waren von dem Datenleck betroffen. Der Megahack war 2017 der größte Datenklau und zählt bis heute zu den zehn größten Datendiebstählen überhaupt.

Die besondere Brisanz des weitreichenden Equifax-Datenabgriffs liegt darin, dass langlebige Personendaten in die falschen Hände gelangten. Ausgespäht wurden Namen, Geburtsdaten, lebenslang gültige Sozialversicherungsnummern, E-Mail-Adressen Adressen, Führerscheindaten und weitere Informationen, die noch über Jahrzehnte hinweg einen hohen Wert haben.

Natürlich können auch Sicherheitsverletzungen, bei denen Kreditkarteninformationen geraubt werden, verheerende Folgen nach sich ziehen — aber zumindest sind Kreditkarten nicht unbegrenzt gültig. Falls einzelne oder viele Kreditkarten kompromittiert wurden, lässt sich die Sicherheitsgefahr durch Sperren der betroffenen Bankkarten beheben.

Es gibt eine Reihe von Gründen, warum es bei Equifax zu einem Megahack kommen konnte, die neun größten Fehler und Versäumnisse lauten wie folgt:

1. Uneffektive IT-Sicherheitsstrategie und -Infrastruktur

2. Schlechtes Patch Management

3. Fehlen eines Zertifikat-Managementprogramms

4. Unzureichend voreingestelltes Warnmeldesystem

5. Veraltete IT-Systeme mit schwerwiegenden Sicherheitsproblemen

6. Ineffiziente IT-Managementstruktur

7. Schwache Informationssicherheitsregeln

8. Fehlende Software-Inventarisierung

9. Versäumnisse bei der PCI-Compliance für kritische Applikationen

Das Fatale ist: Hätte Equifax einfach nur ein effektives Patch-Management implementiert und aufrecht erhalten, wäre der Datenabfluss 2017 bereits zu verhindern gewesen. Leider versäumte man es aber ganze 145 Tage lang, eine kritische Sicherheitslücke in Apache Struts zu schließen, die das Einschleusen und Ausführen von bösartigem Code ermöglichte. Und so konnten die Hacker fast fünf Monate lang über eine der weltweit größten Datenbanken mit Verbraucherdaten frei verfügen.

Im Nachhinein investierte Equifax $300 Millionen zur Behebung der Sicherheitsverletzung, wobei lediglich $75 Millionen von Versicherungsseite aus abgedeckt waren. Hätte Equifax zuvor einen Teil dieser gigantischen Geldsumme für wirksame IT-Sicherheitslösungen verwendet (beispielsweise für Enterprise Vulnerability Management), wären sie nicht zum Inbegriff versäumter Sicherheitsvorkehrungen geworden.

Die Schutzvorkehrungen von Equifax versagten vor allem darum, weil es an einer funktionierenden IT-Governance-Strategie zum Schutz sensibler Daten mangelte. Für die Organisation ist es eine bittere Lektion, dass der Equifax-Megahack komplett vermeidbar war.

Was folgt daraus? Unternehmen müssen das Thema Informationssicherheit äußerst ernst nehmen und IT-Abteilungen mit dem erforderlichen Fachpersonal und Budget ausstatten, um zu vermeiden, dass Fehler wie im Fall Equifax zu geschäftlichen Verwerfungen führen und in den Medien breite Wellen schlagen. Ansonsten riskieren CISOs, dass sie von „Spaf’s Law“ betroffen werden: „Wer in einer Organisation für Sicherheit zuständig ist, aber nicht mit den dafür notwendigen Befugnissen ausgestattet wird, dient im Organisationsverbund lediglich als Sündenbock, wenn etwas schief läuft.“ (Der Begriff „Spaf’s Law“ wurde geprägt von Gene Spafford, Professor für Informatik an der renommierten Purdue University in West Lafayette, Indiana.)

Mehr Informationen über den Equifax-Datenraub, und welche Lehren sich daraus ableiten, ist in diesem On-Demand-Webinar abrufbar.