Equifax Breach: Der Angriff im Überblick
Am 7. September 2017 machte Equifax, eine der drei großen amerikanischen Auskunfteien, öffentlich, dass es Opfer eines massiven Datenlecks geworden war. Bereits im Juli hatte das Unternehmen ungewöhnliche Aktivitäten in seinen Systemen entdeckt. Am Ende stellte sich heraus, dass persönliche Daten von etwa 147 Millionen Verbrauchern kompromittiert wurden – darunter Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern und teilweise auch Führerscheindaten.
Für viele Beobachter war dies einer der gravierendsten Cyberangriffe aller Zeiten. Während Kreditkarteninformationen regelmäßig Ziel von Hackern sind, handelte es sich hier um sensible Identitätsdaten, die praktisch nicht austauschbar sind. Damit war der Equifax Breach nicht nur in seiner Dimension, sondern auch in seinen langfristigen Folgen außergewöhnlich.
Ursache: Ein fehlender Patch
Die technische Ursache lag in einer bekannten Schwachstelle in Apache Struts, einem weit verbreiteten Web Framework. Bereits im März 2017 hatte Apache einen Patch veröffentlicht, der die kritische Lücke CVE 2017 5638 schloss. Equifax versäumte es jedoch, das Update rechtzeitig einzuspielen. Angreifer nutzten die Lücke ab Mai und hatten dadurch mehrere Wochen lang weitgehend ungestörten Zugriff auf zentrale Systeme.
Die Forensikberichte zeigten, dass Angreifer Datenbanken mit hochsensiblen Inhalten auslesen konnten. Darin fanden sich unter anderem Sozialversicherungsnummern, die in den USA als Schlüsselidentifikatoren im Finanzwesen dienen. Dieser Umstand verschärfte die Tragweite des Vorfalls erheblich.
Entdeckung und verspätete Reaktion
Obwohl erste Anomalien im Juli entdeckt wurden, informierte Equifax die Öffentlichkeit erst im September. Diese Verzögerung führte zu massiver Kritik. Noch schwerer wog, dass mehrere Führungskräfte des Unternehmens kurz nach der internen Entdeckung Aktien verkauften, was den Verdacht von Insiderhandel aufkommen ließ. Später stellte sich heraus, dass einige dieser Verkäufe zwar geplant gewesen waren, doch das Vertrauen in die Unternehmensführung war stark erschüttert.
Auswirkungen auf Verbraucher
Die Folgen für Betroffene waren erheblich. Anders als bei Kreditkarten, die gesperrt und ersetzt werden können, lassen sich Sozialversicherungsnummern oder Geburtsdaten nicht ändern. Experten warnten vor einem massiven Anstieg von Identitätsdiebstahl, Kreditanträgen unter falschem Namen und Steuerbetrug.
Equifax bot betroffenen Kunden kostenlose Bonitätsüberwachung und Identitätsschutzdienste an. Allerdings meldeten sich Millionen Verbraucher gleichzeitig an, wodurch die Systeme überlastet waren. Die Hotline war über Wochen hinweg nicht erreichbar. Viele Betroffene fühlten sich von Equifax im Stich gelassen.
Finanzielle Folgen
Die direkten Kosten des Angriffs lagen bei weit über einer Milliarde US Dollar. Allein die Vergleiche mit Aufsichtsbehörden und Sammelklagen führten 2019 zu einem Rekordvergleich in Höhe von bis zu 700 Millionen US Dollar. Darin enthalten waren Gelder für Betroffene, Strafen sowie Investitionen in Sicherheitsmaßnahmen.
Darüber hinaus verlor Equifax innerhalb weniger Wochen einen erheblichen Teil seines Börsenwertes. Das Vertrauen in das Unternehmen war nachhaltig beschädigt, was in einer Branche, die von Zuverlässigkeit lebt, besonders schwer wog.
Politische und regulatorische Folgen
Der Equifax Breach führte zu intensiven Diskussionen in den USA und weltweit. Aufsichtsbehörden stellten die Frage, wie Unternehmen, die so viele sensible Daten verarbeiten, mit solch gravierenden Sicherheitsversäumnissen umgehen können.
In den USA forderten Politiker strengere Anforderungen an Meldefristen und Cybersicherheitsstandards. In der EU fiel der Vorfall zeitlich mit der Einführung der Datenschutzgrundverordnung (DSGVO) zusammen, die 2018 in Kraft trat und unter anderem strenge Pflichten zur Meldung von Datenpannen einführte. Der Equifax Fall wurde oft als Beispiel dafür zitiert, warum solche Regelungen notwendig sind.
Vergleich mit anderen Angriffen
Verglichen mit Retail Angriffen wie bei Target oder Home Depot lag der Unterschied in der Art der Daten. Dort waren es in erster Linie Zahlungsinformationen, bei Equifax jedoch Kerndaten der Identität. Damit wurde eine neue Qualität erreicht. Während Kartendaten innerhalb weniger Tage wertlos werden können, behalten Sozialversicherungsnummern und Geburtsdaten über Jahrzehnte ihre Gültigkeit. Der Vorfall gilt deshalb als einer der folgenreichsten Hacks aller Zeiten.
Maßnahmenkatalog für Unternehmen
- Konsequentes Patch Management mit klaren Fristen und Prioritäten
- Einführung eines transparenten Incident Response Prozesses mit schneller Kommunikation
- Segmentierung von Datenbanken, um großflächigen Zugriff zu verhindern
- Einsatz von Verschlüsselung auch für ruhende Daten
- Kontinuierliche Sicherheitsüberprüfungen durch externe Audits und Penetrationstests
Fazit: Equifax Breach als Lehrstück
Der Equifax Breach von 2017 ist ein Musterbeispiel dafür, wie ein einfacher, nicht geschlossener Softwarefehler zu einer Katastrophe führen kann. Die Kombination aus sensiblen Daten, verspäteter Reaktion und fehlendem Vertrauen machte den Vorfall zu einem Wendepunkt in der Wahrnehmung von Cybersicherheit. Für Unternehmen weltweit gilt er als Mahnung, dass Patch Management, Transparenz und Verantwortung im Umgang mit Daten keine Nebensache sind, sondern Kernaufgaben jeder Organisation.
Glossar
Apache Struts: Web Framework in Java, das häufig für Unternehmensanwendungen genutzt wird
CVE 2017 5638: Kritische Sicherheitslücke in Apache Struts, die Remote Code Execution erlaubte
Identitätsdiebstahl: Nutzung fremder persönlicher Daten, um sich unrechtmäßig Vorteile zu verschaffen
Bonitätsauskunftei: Unternehmen, das Kreditwürdigkeit von Verbrauchern bewertet und Daten über Finanzhistorien sammeltme, man hätte „noch Zeit“.