Eine "Kultur der Selbst­zufrieden­heit" führte zu Equifax-Breach

Die IT-Sicherheit bei Equifax war so schlecht, dass Senatoren US-Gesetze fordern, um eine solche Nachlässigkeiten zu verbieten.
 
Mit einem Hackerangriff wurden bei Equifax 2017 sensible Informationen von mehr als 145 Millionen Amerikaner gestohlen. Die "institutionelle Vernachlässigung" der Cyber-Sicherheit habe zur Kompromittierung der Daten beigetragen. Zu diesem Schluss kommt ein Ausschuss des US-Senats, das United States Senate Committee on Homeland Security and Governmental Affairs, in einem Bericht.
 
Equifax habe es versäumt, auch nur grundlegende Schritte zum Schutz der IT-Systeme vor Sicherheitsbedrohungen zu unternehmen. "Die Defizite von Equifax sind langjährig und spiegeln eine breitere Kultur der Selbstzufriedenheit gegenüber der Bereitschaft auf die Cybersicherheit wider", so der Bericht (PDF).
 
Obwohl die Schwachstelle bekannt war, habe es Equifax versäumt, die Apache-Struts-Lücke zu schliessen, die von Hackern ausgenutzt wurde. Das US-CERT warnte am 8. März 2017 vor der Struts-Lücke und das Global Threats and Vulnerability Management Team (GTVM) von Equifax habe einen Tag später Mitarbeitende darüber informiert. Die Schwachstelle sei auch am 16. März in einer monatlichen Teamsitzung besprochen worden. Und zwar nachdem Hacker bei Equifax erstmals einen verwundbaren Server gefunden haben, aber noch bevor sie Daten abgesaugt hatten.
 
Obwohl rund 400 Mitarbeitende vom GTVM-Team über die Lücke informiert worden seien, fehlte ein wichtiger Adressat auf dem Verteiler, wie der Bericht zeigt. Der Administrator, der für die Struts-Applikationen zuständig war, hätte das E-Mail deshalb nicht erhalten.
 
Insgesamt zeichnet der Bericht ein buntes Bild der Mängel innerhalb des Unternehmens bezüglich der Cyber-Security, einschliesslich mangelnder Kommunikation zwischen den Sicherheitsteams. Auch seien leitende Manager der Security-Teams nicht regelmässig an den monatlichen Sitzungen erschienen, bei denen Schwachstellen besprochen worden seien. Der damalige CIO habe das Patchen als eine "untergeordnete Verantwortung, die sechs Ebenen tiefer liegt als er" bezeichnet. Equifax hätte den eigenen Zeitplan für das Beseitigen von Schwachstellen nicht eingehalten. Und weil das Unternehmen nicht über ein ausführliches Inventar der IT-Assets verfügt habe, hätte es auch nicht gewusst, dass verwundbare Versionen von Apache Struts im System waren.
 
Probleme beim Patch-Management bekannt
Wenn Patches vorhanden waren, sei der Prozess chaotisch und unorganisiert gewesen, so der Bericht weiter. Ein lokaler und globaler Prozess für den Patch-Management-Prozess sei schlecht koordiniert worden.
 
Das Patch-Problem sei aber nicht unbekannt gewesen. Ein Audit von 2015 hätte bereits viele tausende nicht gepatchte Schwachstellen festgestellt, 8500 davon über 90 Tage alt. Die eigene Policy wäre gewesen, als kritisch eingestufte Schwachstellen innert 48 Stunden zu fixen. Die Kontrolle von Patches und aktuellen Konfigurationen sei "nicht ausreichend, um sicherzustellen, dass die Equifax-Systeme sicher konfiguriert sind und rechtzeitig gepatcht werden können", hiess es im damaligen Audit. Das Unternehmen habe es versäumt, nach dem Audit von 2015 weitere Überprüfungen durchführen zu lassen. Noch 2017 hätte Equifax keinen formalen Prozess gehabt, um sicherzustellen, dass Patches erfolgreich eingespielt werden.
 
Es brauche nationale Standards
Der Senatsausschuss bezeichnet Equifax als "fahrlässig" was das IT-Security-Management anbelangt. Deshalb rät er dem Kongress, Schritte auf Bundesebene einzuleiten. Es brauche für den Schutz von persönlichen Daten nationale, einheitliche Standards, um Cyber-Angriffe und Daten-Lecks zu verhindern. Es gebe Frameworks aber keine verpflichtenden Massnahmen.
 
Der Kongress solle ausserdem Gesetze verabschieden, die private Unternehmen, die von einem Datenschutzvorfall betroffen sind, verpflichten, die betroffenen Verbraucher, die Strafverfolgungsbehörden und die zuständige Regulierungsbehörde zu informieren und zwar ohne Verzögerungen. Bei Equifax vergingen über zwei Monate bis das Unternehmen am 7. September über den Breach informierte.
 
Ausserdem fordert der Ausschuss mehr Massnahmen auf bundesebene, um private Unternehmen in Sachen Cyber-Sicherheit zu unterstützen. Es brauche Best-Practices und mehr Informationen über Cyber-Bedrohungen. (kjo)