weerapat1003 - stock.adobe.com

Sicherheits- und Datenschutzverstoß: Der Fall Equifax

Der Fall Equifax führt zur bislang größten bekannt gewordenen Strafzahlung in den USA. Wie sind die Cyberkriminellen unbemerkt an eine große Menge sensibler Informationen gelangt?

Die Wirtschaftsauskunftei Equifax hat inzwischen zugestimmt bis zu 700 Millionen US-Dollar Schadenersatz an staatliche und bundesstaatliche Regulierungsbehörden zu zahlen. Mit dieser Zahlung will sie Anklagen beilegen, die sich aus dem Datenschutzverstoß im Jahr 2017 ergeben. Vor zwei Jahren waren sensible Informationen von etwa 150 Millionen Menschen vornehmlich Bürgern in den USA und Großbritannien betroffen. Die persönlichen Daten, die dort gespeichert wurden, umfassen den Namen, die Sozialversicherungsnummer, die Adresse und die Führerscheinnummer.

Dies ist die bislang größte bekannt gewordene Strafzahlung in den USA. Die Frage ist, wie haben Cyberkriminelle – in den USA verdächtigt man eine chinesische Hackergruppe – unbemerkt eine große Menge an sensiblen Informationen gestohlen?

Unterschätztes Sicherheitsrisiko Maschinenidentitäten

Es gab Hunderte von Maschinenidentitäten, von denen die Verantwortlichen bei Equifax nichts wussten und die bereits abgelaufen waren. Diese ermöglichten den Angreifern, sich in Verschlüsselungstunneln zu verstecken. Die Berichte des US Government Accountability Office (PDF) und des US House of Representatives Commitee on Oversight and Government Reform (PDF) zum Equifax-Vorfall kamen letztlich zu dem Schluss, dass die Angreifer abgefangen hätten können, wenn die Maschinenidentitäten nicht abgelaufen wären. Mehrere hundert Maschinenidentitäten waren dort abgelaufen und hätten als Einfallstor dienen können.

Letztlich dauerte der Angriff insgesamt 76 Tage, denn am 76. Tag wurde die abgelaufene Maschinenidentität ausgetauscht. Die Angreifer versteckten sich in einem Verschlüsselungstunnel, um die Kontrolle über das Equifax-Netzwerks zu gewinnen.

Sie fanden eine Datei mit unverschlüsselten Zugangsdaten (Benutzernamen und Passwörter), die es den Angreifern ermöglichte, auf sensible Daten außerhalb der ACIS-Umgebung zuzugreifen. Sie konnten mit diesen Zugangsdaten auf 48 unabhängige Datenbanken zugreifen und 9.000 Anfragen stellen, um 265 Mal unverschlüsselte Datensätze mit personenbezogenen Daten zu finden.

Diese Daten wurden kopiert und an den Command-and-Control-Server gesendet, ohne dass die Verantwortlichen davon Kenntnis hatten. Die IT-Abteilung konnte die Daten-Exfiltration nicht sehen, weil das Gerät zur Überwachung des ACIS-Netzwerkverkehrs aufgrund eines abgelaufenen Sicherheitszertifikats 19 Monate lang inaktiv war. Erst nach 76 Tagen wurde das abgelaufene Zertifikat aktualisiert und der verdächtige Datenverkehr von einer IP-Adresse aus China bemerkt. Danach erst wurden Maßnahmen zur Behebung des ungewollten Datenabflusses eingeleitet und versucht, die Kontrolle über die Systeme zurückzugewinnen.

Verantwortlich für das Management von Maschinenidentitäten war nicht der CISO und das wissen die Vorstände, der CEO und die mit dem Fall betrauten Politiker. In der Anhörung vor dem Untersuchungsausschuss wurde deutlich, dass darüber hinaus auch das CISO-Team verantwortlich für den Vorfall ist, denn der CISO bat sein Team vor laufender Kamera um Antworten, die er selbst nicht hatte. Die Folge des Vorfalls ist nun, dass der Schutz der Maschinenidentität jetzt ein Thema für den CEO, den Vorstand und einzelne Politiker geworden ist. Daraus abgeleitet könnte es in der Zukunft also Gesetze zum Schutz der Maschinenidentität geben. Eine erste Initiative dazu gibt es bereits bei der NIST.

Kevin Bocek, Venafi

„Unternehmen benötigen einen Überblick über alle Maschinenidentitäten verbunden mit der Intelligenz, diese zu kontrollieren. IT-Abteilungen müssen schnell handeln und verstehen können, wenn die Maschinenidentitäten ausgetauscht werden müssen.“

Kevin Bocek, Venafi

Obwohl die Bedeutung der Datensicherheit zunimmt, nehmen viele Unternehmen diese leider nicht ernst. Sie untersuchen ihren verschlüsselten Datenverkehr nicht auf verdächtiges Verhalten, obwohl sie böswillige Akteure dadurch erkennen und stoppen könnten.

Laut einer Umfrage wussten fast ein Viertel (23 Prozent) der Sicherheitsexperten nicht, wie viel von ihrem verschlüsselten Datenverkehr entschlüsselt und überprüft wurde. Cyberkriminelle können diese Sicherheitslücke leicht ausnutzen.

Das übertriebene Selbstvertrauen sowie mangelnde Interesse an der Sicherheitslücke hindert viele Unternehmen daran, Investitionen in Datensicherheit zu tätigen, was zu IT-Sicherheitsverletzungen wie im Falle von Equifax führt. Kriminelle wissen, wo sich sensible Daten befinden, und sie können diese unbemerkt durch verschlüsselte Tunnel exportieren.

Fazit

Unternehmen sollten sich auf die Implementierung zentralisierter Intelligenz und Systeme konzentrieren, die Maschinenidentitäten wie kryptographische Schlüssel und digitale Zertifikate automatisch widerrufen, ersetzen, erneuern und verändern können.

Dadurch wird sichergestellt, dass ihre Sicherheits-Tools wie Next-Generation Firewalls, Web Application Firewalls, DDoS-Schutz, Intrusion Detection Systeme und viele andere mehr eine ständig aktualisierte Liste aller relevanten Maschinenidentitäten führen. Diese aktualisierte Liste benötigt ein Unternehmen, um verschlüsselten Datenverkehr zu überprüfen. Indem sie wissen, welchen Maschinenidentitäten sie vertrauen können, und indem sie diese Daten in Sicherheits-Tools integrieren, können Sicherheitsexperten endlich ein Licht auf die verschlüsselten Tunnel werfen, die Cyberkriminelle so gerne missbrauchen.

Unternehmen benötigen einen Überblick über alle Maschinenidentitäten verbunden mit der Intelligenz, diese zu kontrollieren. IT-Abteilungen müssen schnell handeln und verstehen können, wenn die Maschinenidentitäten ausgetauscht werden müssen. Darüber hinaus braucht es Automatisierung, um sicherzustellen, dass Anwendungen und Schutzsysteme auf dem neuesten Stand sind, denn sonst kann jedes Unternehmen zum nächsten Equifax werden.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.

Nächste Schritte

Gratis-eBook: Unternehmen Schritt für Schritt absichern

Die DSGVO und die Folgen für die Verschlüsselung

Bei Microservices die Maschinenidentitäten absichern

Erfahren Sie mehr über Datensicherheit