Megahack Equifax' war "absolut vermeidbar"

Schonungslos rechnet der US-Kongress mit der Wirtschaftsauskunftei Equifax ab. Ein Lehrbuchfehler bei der IT-Sicherheit reihte sich an den nächsten.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 106 Beiträge

Equifax war mehrfach gewarnt, nahm die Warnungen aber nicht ernst genug.

(Bild: Daniel AJ Sokolov)

Von

Vergangenes Jahr ereilte der Datenschutz-GAU die US-Finanzwelt: Equifax, die größte Wirtschaftsauskunftei der USA und vielleicht der Welt, wurde gehackt. 148 Millionen Amerikaner und eine unbekannte Zahl Kanadier und Briten waren betroffen. Der Gesamtschaden ist bis heute nicht absehbar. Ein Ausschuss des US-Repräsentantenhauses hat den Vorfall untersucht und fällt ein vernichtendes Urteil: Der Megahack wäre "absolut vermeidbar" gewesen.

Auf knapp hundert Seiten werden der rekonstruierte Tathergang und die frappierenden Versäumnisse der Datenfirma offengelegt. Verfasst haben den Bericht Angestellte des einflussreichen Ausschusses für Aufsicht und Regierungsreformen des Unterhauses, veröffentlicht wurde er auf Beschluss der Republikanischen Abgeordneten des Ausschusses.

Das Dokument beschuldigt Equifax einer "Kultur der Selbstgefälligkeit bei IT-Sicherheit". "Das Versagen der Firma, grundlegende Sicherheitsverfahren einzusetzen, darunter File Integrity Monitoring und Network Segmentation, hat es den Angreifern erlaubt, Zugang zu erlangen und große Mengen Daten (abzuschöpfen)", wird festgehalten.

Datensätze über 148 Millionen US-Amerikaner mit deren Namen und Geburtsdaten, und verschiedentlich den lebenslang gültigen Sozialversicherungsnummern, Adressen, Steuernummern, Führerscheindaten und weiteren Dokumenten lagen den Eindringlingen offen. Außerdem gelangten die Kreditkartennummern von 209.000 US-Amerikanern in falsche Hände. Der Gesamtschaden wird sich wohl nie abschätzen lassen.

Vielleicht noch schlimmer: Akten über 182.000 US-Bürger, die falsche Angaben in ihrer Credit History bemerkt und um deren Korrektur angesucht hatten, sind ebenfalls von dem Hack erfasst. Im Zuge so eines Korrekturverfahrens müssen Antragsteller detaillierte Angaben machen und Dokumente vorlegen. Besseres Ausgangsmaterial für Identitätsanmaßungen kann man sich kaum vorstellen.

Die Credit Bureaus nutzen die Credit History und andere Daten, um für jeden Verbraucher verschiedene Credit Scores für unterschiedliche Anwendungsfälle zu berechnen. Diese Kennzahlen werden dann an Unternehmen, potenzielle Vermieter, potenzielle und tatsächliche Arbeitgeber und andere Geschäftskunden verkauft. Ein schlechter Credit Score kann, auch wenn er auf falschen Angaben beruht, beispielsweise den Abschluss eines Mobilfunkvertrages, die Eröffnung von Bankkonten oder das Leasen eines Kfz unmöglich machen, was jeweils zu einer weiteren Verschlechterung des Credit Score führt.

Darüber hinaus kann ein schlechter Credit Score auch die Anmietung einer Wohnung verhindern oder zum plötzlichen Verlust des Arbeitsplatzes führen. Das kann ganze Familien in den Abgrund reißen. Daten nicht preiszugeben, ist aber auch keine Lösung: Ohne Credit Score steht man besonders schlecht da.

Als Einfallstor diente den Hackern im Mai 2017 eine damals seit mehr als zwei Monaten bekannte und bereits fixbare Sicherheitslücke: Am 8. März 2017 hatte das US-CERT (Computer Emergency Readiness Team) Equifax offiziell über eine Sicherheitslücke in der Middleware Apache Struts informiert. Die Warnung wurde Equifax-intern an mehr als 430 Personen und diverse E-Mail-Verteiler weitergeleitet, mit der Anweisung, den verfügbaren Patch binnen 48 Stunden einzuspielen. Verschiedentlich geschah das auch, aber leider nicht auf allen Systemen.

Equifax scannte zudem auf den eigenen Systemen nach unsicheren Struts-Versionen, fand aber nichts. Der Fehler war so banal wie peinlich: Es wurde nur das Root-Verzeichnis durchsucht, nicht aber Unterverzeichnisse.

Schon am 10. März gab es die ersten Eindringlinge in betroffene IT-Systeme. Equifax bemerkte das aber zunächst nicht, und hängte es auch später nicht an die große Glocke. Ein direkter Zusammenhang mit dem Megahack vom Mai ist nicht erwiesen. Diese Täter kamen am 13. Mai und blieben bis Ende Juli unentdeckt.

Sie hatten eine nicht gepatchte Struts-Version auf jenen Equifax-Servern gefunden, die das "Automated Consumer Interview System" betreiben. Darüber dürfen Kunden sie betreffende Fehler in Equifax Datenbanken monieren. ACIS wurde seit den 1970er-Jahren intern entwickelt und lief auf "komplexen Legacy-Systemen". Die Server stammten noch von Sun Microsystems (heute ein Teil Oracles) und arbeiteten mit dem Betriebssystem Solaris. In "drei bis fünf Jahren" hätte ACIS auf moderne Server umgesiedelt werden sollen.

Die Hacker warteten aber nicht zu und installierten im Mai dreißig verschiedene Webshells, die ihnen fortan als Hintertür dienten. Da Equifax keine Datei-Integritäts-Überwachung laufen hatte, blieben die Webshells unentdeckt.

Der Ignoranz nicht genug, Equifax hatte sogar Benutzernamen und Passwörter unverschlüsselt auf einem Netzwerkspeicher abgelegt. Und natürlich fiel dieser Schatz den Hackern in die Hände. Denn Equifax beging einen weiteren Kardinalfehler: Obwohl ACIS nur Zugriff auf drei Datenbanken benötigte, gab es keine Einschränkungen beim Zugriff auf andere Ressourcen.

Equifax nennt die Zahl betroffener US-Amerikaner in verschiedenen Datenkategorien.

(Bild: Equifax (Faksimile))

Dadurch bekamen die Hacker Usernamen und Passwörter, sowie Zugriff auf 48 weitere Datenbanken, die mit dem ursprünglich gehackten ACIS nichts zu tun hatten. Ungestört konnten die Angreifer zirka 9.000 Datenbankanfragen durchführen. 265 davon lieferten personenbezogene Daten zurück.

Eine Verschlüsselung dieser extrem wertvollen Daten – erraten – gab es nicht.

Die Hacker waren nicht müde, den Datenschatz herunterzuladen. Dieser Datenverkehr sollte eigentlich sofort auffallen, wachen doch Intrusion Detection Systeme über ausgehenden Traffic. Eigentlich. Wenn sie den Datenverkehr mitlesen können.

Auch dafür gibt es bei Equifax ein System, eine so genannte SSL Visibility Appliance. Sie entschlüsselt den Datenstrom und serviert ihn der Intrusion Detection, damit diese gegebenenfalls Alarm schlagen kann. Nur muss die SSL Visibility Appliance auch die passenden SSL-Zertifikate haben, um den Traffic entschlüsseln zu können.

Diese Zertifikate waren aber bereits Anfang 2016 abgelaufen und wurden 19 Monate (neunzehn) lang nicht erneuert. Durch dieses Versäumnis legte Equifax seine eigene Intrusion Detection lahm. 76 Tage lang konnten sich die Täter so bei Equifax umsehen und an den Datenbanken bedienen.

Erst am Abend des 29. Juli 2017 wurden 67 von über 300 abgelaufenen SSL-Zertifikaten ausgetauscht; sogleich schlug die Intrusion Detection Alarm, wurden doch gerade Daten an eine verdächtige chinesische IP-Adresse übertragen. Die Equifax-Mitarbeiter sperrten zunächst dem chinesischen ISP, der diese IP-Adresse vergeben hatte, den Zugriff.

Am nächsten Tag ging die interne Untersuchung weiter. ACIS entpuppte sich als anfällig für SQL Injection und Insecure Direct Object Reference. Beide Schwachstellen hatten die Angreifer ausgenutzt. Bei einem Test im April waren diese Probleme nicht aufgefallen. Warum, bleibt unklar.

Außerdem fiel den Equifax-Mitarbeitern am 30. Juli weiterer verdächtiger Traffic auf, der personenbezogene Daten enthielt. Zu den erfassten IP-Adressen gehörte auch die eines deutschen ISP, der diese Adresse aber an einen chinesischen Provider weitergereicht hatte. Erst jetzt nahmen die IT-Mitarbeiter ACIS offline.

Am 2. August informierte das Unternehmen das FBI und beauftragte die IT-Sicherheitsfirma Mandiant mit einer Untersuchung. Sie dauerte bis 2. Oktober. Dabei wurde festgestellt, dass Datensätze über 143 Millionen US-Bürger in falsche Hände gelangt waren. Diese Zahl musste später in zwei Schritten auf 148 Millionen korrigiert werden – mehr als die Hälfte aller erwachsenen US-Bürger ist direkt betroffen.

Börsenrechtliche Vorschriften verpflichten Equifax dazu, Angaben über Risken bei der eigenen IT-Sicherheit zu machen. Equifax machte vor dem Hack aber nie solche Angaben – ganz so, als gäbe es das Sicherheitsrisiko nicht.

Der Kongressbericht moniert auch eine unzureichende Vorbereitung auf die Folgen des Hacks. Am 7. September 2017 ging Equifax an die Öffentlichkeit und schickte Briefe an Betroffene. Die Firma setzte eine separate Webseite auf und heuerte 1.500 Callcenter-Mitarbeiter an. Doch hielten weder Webseite noch Callcenter dem Ansturm Antwortsuchender stand. Dazu kamen Programmierfehler bei der Webseite.

Sogar die URL "equifaxsecurity2017.com" wird kritisiert: Zu lang, zu komplex. Den Beweis lieferte ein Equifax-Mitarbeiter: Er verdrehte die Reihenfolge der Worte, so dass Equifax' eigenes Twitter-Konto auf eine Phishing-Webseite verlinkte. Zwei Wochen lang. Glück im Unglück: Die Phishing-Seite war von einem Sicherheitsforscher aufgesetzt worden.

Die IT-Infrastruktur Equifax' wird als sehr komplex und historisch gewachsen beschrieben. Es gab nicht einmal eine Liste, wer für welche Datenbank verantwortlich ist. Aus einer Zeugenaussage geht hervor, dass das wahrscheinlich gar nicht klar geregelt war. Diese Umstände erschwerten Mandiants forensische Untersuchung.

Im September 2017 informierte Equifax schließlich die Öffentlichkeit und die Betroffenen. CEO Rick Smith versuchte, mit dieser Videoansprache seinen Job zu retten. Vergebens.

Die Komplexität der IT-Infrastruktur wird unter anderem auf eine aggressive Expansionsstrategie von CEO Richard Smith zurückgeführt. Er kaufte ab 2006 nicht weniger als 18 Firmen auf. Es galt, mehr und mehr Daten aus mehr und mehr Ländern anzuhäufen.

Selbst nach dem Hack war Smith noch stolz auf die Datenhamsterei: "Wenn Sie an die größte Bibliothek der Welt denken, die Kongressbibliothek … wir verarbeiten täglich fast 1.200 mal deren Datenmenge", sagte der CEO in einer öffentlichen Rede. Wenig später mussten er und eine Reihe weiterer hochrangiger Equifax-Manager den Hut nehmen.

Der Bericht schildert eine ungewöhnliche und wohl nicht förderliche Management-Struktur, und führt an, dass es einen "großen Spalt" zwischen den internen IT-Vorschriften und der gelebten Wirklichkeit gegeben habe. Das schlug sich unter anderem in dem Versagen nieder, den Apache-Struts-Patch einzuspielen. Ein Audit hatte Probleme beim Einspielen von Updates bereits 2015 aufgedeckt; die vorgesehenen Abhilfe-Maßnahmen wurden nicht getroffen.

Ähnlich den systematischen Problemen beim Installieren von Patches gab es Probleme mit dem Erneuern von SSL-Zertifikaten. Selbst diese Schwäche war intern bekannt. Dazu kam die Gemengelage alter IT-Systeme mit diversen bekannten Sicherheitslücken. Die Situation wurde dadurch verschärft, dass sich immer weniger Mitarbeiter mit den alten Systemen auskannten.

Übrigens war es kein Geheimnis, dass Equifax sein Sicherheitsrisiko nicht ernst nahm. Der Finanzdienstleister MSCI hatte bereits im August 2016 ein vernichtendes Zeugnis ausgestellt. Die Anstrengungen Equifax' in Sachen IT-Sicherheit wurden mit null von zehn möglichen Punkten bewertet. Ein halbes Jahr später fällte MSCI noch einmal das selbe Urteil. Da waren die ersten Hacker bereits eingedrungen, und der GAU stand kurz bevor.

(ds)