Amerikanische Sicherheitsfirma wegen "völlig unzulänglicher" Arbeit verklagt

Erst die zweite Sicherheitsfirma konnte ein zum Kreditkartenmissbrauch verwendetes Sicherheitsproblem eines amerikanischen Casino-Betreibers beseitigen. Der verklagt jetzt die zuerst konsultierte Sicherheitsfirma.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 74 Beiträge
Von

Der amerikanischer Casino-Betreiber Affinity Gaming verklagt die auf Computersicherheit spezialisierte Firma Trustwave. Letztere hatte ein zum Kreditkartenmissbrauch verwendetes Sicherheitsproblem nur halbherzig gestopft, sodass die Angreifer später erneut Kreditkartendaten des Casino-Betreiber abgreifen konnte.

Affinity Gaming hatte Trustwave im Oktober 2013 angeheuert, nachdem Missbrauch mit den Daten der Kreditkarten begangen wurde, die Kunden in Hotels und Restaurants des Casino-Betreiber eingesetzt hatte. Im Januar 2014 meldete die auf Computer-Sicherheit spezialisierte Firma, sie habe die zum Einbruch verwendete Lücke aufgespürt und den Angriff in die Schranken gewiesen.

Später wurde erneut ein Missbrauch von Kreditkartendaten bekannt, die aus den Systemen von Affinity Gaming stammten. Letztlich beauftragte der Casino-Betreiber den Trustwave-Mitbewerber Mandiant mit der Problemlösung. Laut Klageschrift stellte die Firma bei der forensischen Analyse fest, die zuvor von Trustwave geleistete Arbeit wäre "woefully inadequate" gewesen, was man grob mit "völlig unzulänglich" übersetzen kann.

Der Firma zufolge seien die Angreifer sogar unbemerkt in den Systemen des Casino-Betreibers unterwegs gewesen, während Trustwave seine Analyse vorgenommen hat. Verschiedene Trustwave-Empfehlungen zum Steigern der Sicherheit seien laut Mandiant sinnlos gewesen, weil sie die eigentliche Ursache nicht angegangen seien; zudem wären von den Angreifern eingebaute Hintertüren weder gefunden noch beseitigt worden.

Weitere Hintergründe liefert ein Artikel bei Ars Technica, der auch die Klageschrift enthält. Er erwähnt auch einen Bericht in der amerikanischen Financial Times, laut dem Trustwave-Vertreter die Vorwürfe abstreiten und die Schlussfolgerungen von Mandiant anzweifeln. Das Verfahren heißt Affinity Gaming vs. Trustwave Holdings (US District Court Nevada, 2:15-cv-2464). (thl)