Der CEO von Equifax, Richard Smith, ist wegen des grossen Datenverlusts beim US-Finanzdienstleister zwar seinen Job los, aber muss dem US-Kongress noch Red und Antwort stehen. Dabei wurden gleich drei neue Fakten bekannt:

Erstens: Ein erster, bekannter Exploit einer Lücke, der schon im März stattfand, wurde entgegen anderslautender Aussagen nicht gepatcht. Obwohl Apache Struts einen Patch geliefert hatte, obwohl das Unternehmen vom U.S. Homeland Security Department über das Eindringen informiert worden war und laut 'Ars Technica' eine Zwei-Tage-Deadline für das Patchen erhielt.

Zweitens ist nun klarer, warum nicht gepatcht wurde: Erst blieb das Warnungs-E-Mail unbeachtet und erst sechs Tage später, am 15. März, führte das Equifax-Security-Team einen Scan durch. Aber es fand keine verletzlichen Systeme. So blieb die Lücke sperrangelweit offen.

Unklar ist noch, warum die Equifax-Manager nicht kontrollierten, ob die Security-Leute das Warn-Mail der US-Behörde auch beachteten.

Wenig überraschend nutzten Hacker dieselbe Apache Struts-Lücke Monate später – laut Smith zwischen 13. Mai und 30. Juli – ebenfalls (oder nochmals) aus. Dieser erfolgreiche Angriff wurde am 29. Juli durch Equifax-Mitarbeiter entdeckt, am 31. Juli nahm man das System offline, am 2. August beauftragte man Mandiant mit der forensischen Untersuchung.

Drittens waren nicht 142,5 Millionen sensible Kundendaten betroffen, sondern 2,5 Millionen zusätzliche Daten. Es handelt sich um Namen, Adressen, Sozialversicherungsnummern, teilweise Fahrausweis-Daten und Geburtsdaten, de facto handelt es sich bei den Daten um eine "E-ID" im Kreditwesen.

Damit kommt der Diebstahl auf ein Total von bis zu 145 Millionen Kundendaten, so die mit der Untersuchung betraute FireEye-Tochter Mandiant. Dafür sollen weniger Kanadier betroffen sein als initial kommuniziert. Die Anzahl betroffener Briten ist noch offen.

"Es scheint, als wäre der Breach durch menschliche und technologische Fehler möglich gewesen", so Smith laut 'Reuters'.

Neben vielen entschuldigenden Sätzen und der Ankündigung eines Bonus-Verzichts für 2017, sagte der nun pensionierte Smith, dass jetzt eine zusätzliche Security-Firma die Informationssicherheits-Systeme von oben nach unten analysieren solle. Wer den Auftrag erhielt, ist unbekannt.

Inzwischen zeigen sich Spekulationen, die Hacker seien im staatlichen Auftrag tätig gewesen. Anonyme Quellen verweisen laut 'Bloomberg' darauf, dass Spuren nach China führen. Dabei handelt es um chinesische Hacker-Websiten und eine Webshell namens "China Chopper", die chinesische Referenzen enthalte und 2012 entdeckt wurde.

Übrigens: Die verbreitete, ausführliche technische Analyse stammt von FireEye.

Ex-CEO Smith hat diese Woche noch drei weitere Termine mit dem Kongress. Die betroffenen Bürger müssen noch jahrelang Angst haben, dass die Hacker sie mit den erbeuteten Finanzdaten massiv schädigen, beispielsweise mit unrechtmässig ausgestellten Kreditkarten. (mag)