Eine "Kultur der Selbst­zufrieden­heit" führte zu Equifax-Breach

8. März 2019, 13:18
  • security
image

Die IT-Sicherheit bei Equifax war so schlecht, dass Senatoren US-Gesetze fordern, um eine solche Nachlässigkeiten zu verbieten.

Die IT-Sicherheit bei Equifax war so schlecht, dass Senatoren US-Gesetze fordern, um eine solche Nachlässigkeiten zu verbieten.
Mit einem Hackerangriff wurden bei Equifax 2017 sensible Informationen von mehr als 145 Millionen Amerikaner gestohlen. Die "institutionelle Vernachlässigung" der Cyber-Sicherheit habe zur Kompromittierung der Daten beigetragen. Zu diesem Schluss kommt ein Ausschuss des US-Senats, das United States Senate Committee on Homeland Security and Governmental Affairs, in einem Bericht.
Equifax habe es versäumt, auch nur grundlegende Schritte zum Schutz der IT-Systeme vor Sicherheitsbedrohungen zu unternehmen. "Die Defizite von Equifax sind langjährig und spiegeln eine breitere Kultur der Selbstzufriedenheit gegenüber der Bereitschaft auf die Cybersicherheit wider", so der Bericht (PDF).
Obwohl die Schwachstelle bekannt war, habe es Equifax versäumt, die Apache-Struts-Lücke zu schliessen,.
Obwohl rund 400 Mitarbeitende vom GTVM-Team über die Lücke informiert worden seien, fehlte ein wichtiger Adressat auf dem Verteiler, wie der Bericht zeigt. Der Administrator, der für die Struts-Applikationen zuständig war, hätte das E-Mail deshalb nicht erhalten.
Insgesamt zeichnet der Bericht ein buntes Bild der Mängel innerhalb des Unternehmens bezüglich der Cyber-Security, einschliesslich mangelnder Kommunikation zwischen den Sicherheitsteams. Auch seien leitende Manager der Security-Teams nicht regelmässig an den monatlichen Sitzungen erschienen, bei denen Schwachstellen besprochen worden seien. Der damalige CIO habe das Patchen als eine "untergeordnete Verantwortung, die sechs Ebenen tiefer liegt als er" bezeichnet. Equifax hätte den eigenen Zeitplan für das Beseitigen von Schwachstellen nicht eingehalten. Und weil das Unternehmen nicht über ein ausführliches Inventar der IT-Assets verfügt habe, hätte es auch nicht gewusst, dass verwundbare Versionen von Apache Struts im System waren.
Probleme beim Patch-Management bekannt
Wenn Patches vorhanden waren, sei der Prozess chaotisch und unorganisiert gewesen, so der Bericht weiter. Ein lokaler und globaler Prozess für den Patch-Management-Prozess sei schlecht koordiniert worden.
Das Patch-Problem sei aber nicht unbekannt gewesen. Ein Audit von 2015 hätte bereits viele tausende nicht gepatchte Schwachstellen festgestellt, 8500 davon über 90 Tage alt. Die eigene Policy wäre gewesen, als kritisch eingestufte Schwachstellen innert 48 Stunden zu fixen. Die Kontrolle von Patches und aktuellen Konfigurationen sei "nicht ausreichend, um sicherzustellen, dass die Equifax-Systeme sicher konfiguriert sind und rechtzeitig gepatcht werden können", hiess es im damaligen Audit. Das Unternehmen habe es versäumt, nach dem Audit von 2015 weitere Überprüfungen durchführen zu lassen. Noch 2017 hätte Equifax keinen formalen Prozess gehabt, um sicherzustellen, dass Patches erfolgreich eingespielt werden.
Es brauche nationale Standards
Der Senatsausschuss bezeichnet Equifax als "fahrlässig" was das IT-Security-Management anbelangt. Deshalb rät er dem Kongress, Schritte auf Bundesebene einzuleiten. Es brauche für den Schutz von persönlichen Daten nationale, einheitliche Standards, um Cyber-Angriffe und Daten-Lecks zu verhindern. Es gebe Frameworks aber keine verpflichtenden Massnahmen.
Der Kongress solle ausserdem Gesetze verabschieden, die private Unternehmen, die von einem Datenschutzvorfall betroffen sind, verpflichten, die betroffenen Verbraucher, die Strafverfolgungsbehörden und die zuständige Regulierungsbehörde zu informieren und zwar ohne Verzögerungen. Bei Equifax vergingen über zwei Monate bis das Unternehmen am 7. September über den Breach informierte.
Ausserdem fordert der Ausschuss mehr Massnahmen auf bundesebene, um private Unternehmen in Sachen Cyber-Sicherheit zu unterstützen. Es brauche Best-Practices und mehr Informationen über Cyber-Bedrohungen. (kjo)

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022