Equifax-Hack: Apache-Lücken und grosse Nachwehen

Am Freitag ging die Nachricht vom riesigen Datenklau beim US-Kreditauskunftsdienst Equifax um die Welt. Hierzulande dürfte es zwar kaum Betroffene geben, aber in den USA könnte dies der Datenverlust mit den bisher gravierendsten direkten Auswirkungen sein.
 
Wie schon am Freitag bekannt wurde, dürften die Angreifer eine Sicherheitslücke in Apache Struts ausgenützt haben, um an die Daten von bis zu 143 Millionen US-Bürgern heranzukommen. Mittlerweile hat sich laut 'heise.de' herauskristallisiert, dass wohl entweder diese seit März oder diese seit rund einer Woche bekannte Schwachstelle benützt wurde. Beide dürften schon seit mehreren Jahren in Apache Struts existieren. In der neusten Version 2.5.13 sind beide geschlossen.
 
Equifax ist mittlerweile einer Welle von Kritik ausgesetzt. Das Unternehmen hat beispielsweise den Hack schon Ende Juli entdeckt, aber die Öffentlichkeit erst am letzten Donnerstag informiert. Zudem scheint die Website, auf der potentiell Betroffene nachschauen können, ob ihre Sozialversicherungsnummer möglicherweise kompromittiert wurde, nur ungenügend funktioniert zu haben.
 
Dilemma für Kreditnehmer und -Geber
Das grössere Problem ist jedoch, was die Hacker mit den gestohlenen Daten tun werden. Dazu gehören Namen, Social-Security-Nummern, Geburtstage, Adressen und manchmal auch die Fahrausweis-Nummern. Damit, insbesondere mit der Social-Security-Nummer, kann man in den USA sehr vieles im Namen eines nichtsahnenden Opfers tun.
 
Gegenwärtig konzentrieren sich die Sorgen, wenn man nach den US-Presseberichten geht, hauptsächlich auf betrügerisch aufgenommene Kredite. Das liegt daran, dass in den USA Kreditinstitute Antragsteller kaum einmal persönlich identifizieren, wie das 'Wall Street Journal' berichtet. Stattdessen verlassen sie sich auch die Kreditwürdigkeitsauskünfte von Infomationsunternehmen wie eben Equifax, die sie aufgrund der Sozialversicherungsnummer abfragen.
 
Einige Vertreter von Behörden, wie der Generalstaatsanwalt von New York, haben potentiell Betroffenen deshalb geraten, bei den Informationsunternehmen die Ausgabe von Reports sperren zu lassen. So könnte Betrüger nicht in ihrem Namen neue Kredite aufnehmen oder Konten eröffnen. Allerdings können sie dies auch selbst nicht mehr tun, so lange die Sperre in Kraft ist.
 
Eine massenweise Sperrung der Kreditreports würde auch den Kreditunternehmen nicht passen, da sie ein allgemeines Nachlassen ihres Geschäfts befürchten müssten. Andererseits müssten sie wohl in vielen Fällen selbst den Schaden tragen, wenn betrügerisch Kredite aufgenommen würden. Und selbst ein System zur Identifizierung der Kreditantragsteller einzurichten, wäre sehr teuer. (hjm)