Megahack Equifax' war "absolut vermeidbar"
Schonungslos rechnet der US-Kongress mit der Wirtschaftsauskunftei Equifax ab. Ein Lehrbuchfehler bei der IT-Sicherheit reihte sich an den nächsten.
Equifax war mehrfach gewarnt, nahm die Warnungen aber nicht ernst genug.
(Bild: Daniel AJ Sokolov)
Vergangenes Jahr ereilte der Datenschutz-GAU die US-Finanzwelt: Equifax, die größte Wirtschaftsauskunftei der USA und vielleicht der Welt, wurde gehackt. 148 Millionen Amerikaner und eine unbekannte Zahl Kanadier und Briten waren betroffen. Der Gesamtschaden ist bis heute nicht absehbar. Ein Ausschuss des US-Repräsentantenhauses hat den Vorfall untersucht und fällt ein vernichtendes Urteil: Der Megahack wäre "absolut vermeidbar" gewesen.
Auf knapp hundert Seiten werden der rekonstruierte Tathergang und die frappierenden Versäumnisse der Datenfirma offengelegt. Verfasst haben den Bericht Angestellte des einflussreichen Ausschusses für Aufsicht und Regierungsreformen des Unterhauses, veröffentlicht wurde er auf Beschluss der Republikanischen Abgeordneten des Ausschusses.
Das Dokument beschuldigt Equifax einer "Kultur der Selbstgefälligkeit bei IT-Sicherheit". "Das Versagen der Firma, grundlegende Sicherheitsverfahren einzusetzen, darunter File Integrity Monitoring und Network Segmentation, hat es den Angreifern erlaubt, Zugang zu erlangen und große Mengen Daten (abzuschöpfen)", wird festgehalten.
Unabsehbarer Schaden
Datensätze über 148 Millionen US-Amerikaner mit deren Namen und Geburtsdaten, und verschiedentlich den lebenslang gültigen Sozialversicherungsnummern, Adressen, Steuernummern, Führerscheindaten und weiteren Dokumenten lagen den Eindringlingen offen. Außerdem gelangten die Kreditkartennummern von 209.000 US-Amerikanern in falsche Hände. Der Gesamtschaden wird sich wohl nie abschätzen lassen.
Vielleicht noch schlimmer: Akten über 182.000 US-Bürger, die falsche Angaben in ihrer Credit History bemerkt und um deren Korrektur angesucht hatten, sind ebenfalls von dem Hack erfasst. Im Zuge so eines Korrekturverfahrens müssen Antragsteller detaillierte Angaben machen und Dokumente vorlegen. Besseres Ausgangsmaterial für Identitätsanmaßungen kann man sich kaum vorstellen.
Credit Scores haben große Bedeutung
Die Credit Bureaus nutzen die Credit History und andere Daten, um für jeden Verbraucher verschiedene Credit Scores für unterschiedliche Anwendungsfälle zu berechnen. Diese Kennzahlen werden dann an Unternehmen, potenzielle Vermieter, potenzielle und tatsächliche Arbeitgeber und andere Geschäftskunden verkauft. Ein schlechter Credit Score kann, auch wenn er auf falschen Angaben beruht, beispielsweise den Abschluss eines Mobilfunkvertrages, die Eröffnung von Bankkonten oder das Leasen eines Kfz unmöglich machen, was jeweils zu einer weiteren Verschlechterung des Credit Score führt.
Darüber hinaus kann ein schlechter Credit Score auch die Anmietung einer Wohnung verhindern oder zum plötzlichen Verlust des Arbeitsplatzes führen. Das kann ganze Familien in den Abgrund reißen. Daten nicht preiszugeben, ist aber auch keine Lösung: Ohne Credit Score steht man besonders schlecht da.
