Datenklau im großen Stil


Vor einer Schrankwand und Büro-Palme zeigt Rick Smith seine Reue. Der Vorstandsvorsitzende der amerikanischen Wirtschafsauskunftei Equifax wendet sich per Video-Botschaft an die amerikanischen Verbraucher. Smith spricht von einer „demütigenden Erfahrung“ und entschuldigt sich öffentlich für einen der größten Hackerangriffe auf persönliche Daten der letzten Jahre.
Bei Equifax – einer Art amerikanischen Schufa – haben sich Hacker Zugang zu den Daten von 143 Millionen Verbrauchern geschafft. Das entspricht 44 Prozent der US-Bevölkerung. Auch einige Kanadier und Briten waren dabei. „Ich bereue diesen Vorfall zutiefst“, sagte Equifax-Chef Smith. „Wir haben mehr zu tun und wir werden das tun“.
Wer in den USA eine Wohnung mieten, ein Konto eröffnen oder einen Handy-Vertrag abschließen will, der kommt an einem Kredit-Check nicht vorbei. Die Vermieter, Banken und Handyanbieter lassen die Bonität ihrer Kunden über Agenturen wie Equifax prüfen. Als eine der drei größten Anbieter sammelte die Wirtschaftsauskunftei möglichst viel Finanz-Informationen über das Zahlungsverhalten aller Amerikaner, inklusive Sozialversicherungsnummern, Kreditkraten- und Führerscheindaten, Adressen und Geburtsdaten. Doch wie sich nun herausstellte, waren die Daten dort nicht sicher aufgehoben.


Es ist einer der größten Hacker-Angriffe in den letzten Jahren. Die Aktie verlor am Freitag Morgen in New York mehr als 14 Prozent. Passiert ist der Angriff im Sommer zwischen Mai und Ende Juli. Man habe die Lücken sofort geschlossen, betonte der Unternehmenschef Smith. Aber theoretisch können die Hacker mit diesen Daten im Internet die Identität der betroffenen Personen annehmen, einkaufen oder auch Konten räumen.
„Die Art der Information, die betroffen ist, ist sehr sensibel“ sagte Beth Givens von der Verbraucherschutz-Gruppe Privacy Rights Clearinghouse. „Insgesamt hat das Ganze das Potential ein sehr gefährlicher Vorfall zu sein für alle, die betroffen sind“.
Besonders peinlich für das Unternehmen: Equifax verkauft selbst Produkte gegen Daten- und Identitätsdiebstahl. Die jüngste Attacke hat gezeigt, wie real die Gefahr ist. Jetzt will sich Equifax bei den Verbrauchern entschuldigen und diese Produkte gratis zur Verfügung stellen. „Wir bieten jedem Verbraucher in den USA gratis ein komplettes Paket an, um sich vor Identitätsdiebstahl zu schützen und die eigenen Kreditdateien im Auge zu behalten“, kündigte Smith an. Ob die Verbraucher diesem Produkt trauen, wird sich zeigen.


Verbraucherschützer sind entsetzt über den jüngsten Vorfall und auch darüber, dass es so lange gedauert hat, bis Equifax damit an die Öffentlichkeit kam.
Auch das Internetunternehmen Yahoo war im vergangenen Jahr mit Hacker-Angriffen in die Schlagzeilen geraten. Dort hatte es sogar Jahre gedauert, bis das Unternehmen damit an die Öffentlichkeit kam.
Senator Mark Warner schlug nach dem Vorfall bei Equifax vor, per Bundesgesetz vorzuschreiben, innerhalb welcher Zeitspanne gehackte Unternehmen Angriffe bekannt geben müssen.
Doch bei Equifax hören die Probleme nicht mit den Sicherheitslücken auf: Wie nun bekannt wurde, haben drei Manager kurz nach dem internen Bekannt-Werden des Hacker-Angriffs Aktien im Wert von insgesamt 1,8 Millionen Dollar verkauft. Da liegt der Verdacht des Insider-Tradings nahe. Laut Equifax hätten die Betroffenen zu dem Zeitpunkt noch nichts von dem Daten-Desaster gewusst.
Für Equifax ist es auch nicht das erste Mal, dass es wegen Sicherheitslücken in die Schlagzeiten gerät: 2013 waren schon einmal Daten gestohlen worden. Damals waren auch Michelle Obama, die Sängerin Beyonce und die Schauspieler Ahston Kutcher und Mel Gibson betroffen.

KONTEXT

Fünf Einfallstore für Hacker

"Todsichere Tipps"

Digitale Kompetenz ist im Mittelstand weiterhin ungleich verteilt. Der IT-Sicherheitsdienstleister Nexus hat fünf "todsichere Tipps" zusammengestellt für alle, die Opfer eines Hackerangriffs werden möchten.

Passwort mit weniger als acht Zeichen

Das zu knacken, dauert in der Regel nicht einmal eine Minute. Längere Passwörter sind zwar sicherer, empfehlenswert ist dennoch die Kombination mit einer weiteren Authentifizierungsmethode - beispielsweise einer Smartcard. Eine solche Zwei-Faktor-Authentifizierung bietet einen zuverlässigen Schutz und hilft, Sicherheitsrisiken zu vermeiden.

Verschiedene Schlüssel

Wer schon einmal seine Geldbörse oder seine Schlüssel verloren hat, weiß: Je mehr Schlüssel und je mehr Karten man besitzt, desto mehr Schlösser sind im Fall eines Verlusts oder Diebstahls auszutauschen und desto mehr Karten zu sperren. Wer sämtliche Zugänge auf einer geschützten Karte speichert, hat nicht nur eine bessere Übersicht über seine Datenträger, sondern muss sich bei Verlust auch nur noch um die Sperrung einer einzigen Karte kümmern.

Das passiert nur den anderen

Kein Unternehmen ist zu klein oder zu unwichtig für einen Cyberangriff. Zwar setzen viele IT-Chefs als gefährlich eingestufte Webseiten und Programme auf eine Blacklist - sicherer aber ist es, die als ungefährlich geltenden Programme über Whitelists zu erlauben und alle anderen Programme grundsätzlich zu blockieren. Whitelisting eignet sich besonders für vernetzte Geräte, die nur zu bestimmten Zwecken, aber von vielen verschiedenen Personen genutzt werden und selten Updates benötigen, etwa Drucker.

Unbekannte Links

Wer sie anklickt, lädt Erpresser geradezu ein: Die Wahrscheinlichkeit, Opfer dieser Form von Schadsoftware zu werden, hat sich 2016 noch einmal deutlich erhöht. Entdeckt wird eine Infektion mit Ransomware jedoch meist erst, nachdem das Programm die Daten des Nutzers verschlüsselt und unzugänglich gemacht hat. Um wieder auf die Daten zugreifen zu können, muss der Nutzer ein Lösegeld zahlen.

Updates alle drei Jahre

Eine Site, die nicht aktualisiert wird, ist ein Einfallstor für Datendiebe. Wer die Wartung und das Aktualisieren von Plug-Ins ignoriert und sich auf Instandhaltungsarbeiten alle drei Jahre verlässt, macht sich selbst zur Zielscheibe für alle, die Geheimnisse stehlen wollen. Also bitte keine Website online stellen und sie dann sich selbst überlassen.

Quelle: Creditreform 02 2017

Creditreform 02/2017.

Creditreform 02/2017.