Finanzdatendiebstahl in den USA betrifft Millionen Europäer

Die von der US-Kreditschutzfirma Equifax vergangene Woche gestohlenen Datzensätze enthalten auch Millionen von Bonitätsprofilen aus der EU. Der Gesamtumfang der gekaperten Text-Datensätze liegt im Terabyte-Bereich.

von Erich Moechel

Durch den Großeinbruch in die führende US-Kreditschutzfirma Equifax sind längst nicht nur die Daten von US-Bürgern betroffen. Nach Angaben des Unternehmens wurden mehr als 140 Millionen Datensätze gestohlen, darunter ist auch ein großer Anteil von europäischen Finanzdaten. Britischen Medienberichten zufolge könnten sogar bis zu 44 Millionen Briten betroffen sein. Equifax verfügt über 800 Millionen an Bonitätsdatensätzen von Individuuen, aber auch von Firmen weltweit.

Unter den Betroffen müssen daher auch österreiche Firmen sein, die Geschäfte in den USA tätigen. Die bisher bekannten Umstände dieser sowohl im Umfang wie in der Qualität der Datensätze rekordverdächtigen Aktion erwecken zwar auf den ersten Blick das Bild eines Angriffs von Kriminellen. Das schiere Ausmaß dieses „Hacks“ mit einem Datenvolumen im Terabytebereich wie auch das Engagement der Sicherheitsfirma Mandiant durch Equifax deuten jedoch in eine andere Richtung.

„Zahlungshistorie, Kredite, Schuldenstand“

Die Zahl von 143 Millionen Datensätzen stammt von Equifax, ist also derzeit nicht wirklich überprüfbar, gut möglich ist, dass sie nach oben revidiert wird. Was die Qualität betrifft, so handelt es sich keineswegs nur um Stammdatensätze wie Namen, Adressen, Konto- oder Sozialversicherungsnummern.

„Die in Kreditreports enthaltenen Informationen betreffen ihre Zahlungshistorie, aufgenommene Kredite, den aktuellen Schuldenstand und andere Finanzinformationen. Dazu kommen Informationen über ihren Arbeitsplatz und ihre Wohnsituation, ob und wann sie warum verhaftet oder angeklagt wurden, oder ob ein Insolvenzverfahren eröffnet wurde“ heißt es auf der Website der US-Regierung zu Kreditschutzfirmen.

Drei Firmen, alle Finanztransaktionen

Bei den größten Firmen Equifax, TransUnion und Experian landen sämtliche Finanztransaktionen der USA und eben auch von jenen Europäern, die Finanztransfers mit amerikanischen oder britischen Firmen oder Personen getätigt haben. In Großbritannien muss es jedenfalls mehr Betroffene als in den übrigen EU-Staaten geben, weil Equifax dort Filialen unterhält.

Die zu Hilfe gerufene Sicherheitsfirma Mandiant ist seit 2013 der Shooting-Star unter den Vertragsfirmen des militärischen Komplexes der USA, die Mutterfirma FireEye spielt eine ähnliche Rolle unter den Top 500 US-Unternehmen. 2013 hatte Mandiant ein umfangreiches Dossier über die „Cyber“-Einheit 61398 der chinesischen Volksarmee veröffentlicht. Dieser Report nannte nicht nur die Kommandierenden bei vollem Namen, sondern enthielt auch Transkripte von Kommunikationen dieser Militäreinheit und übersetzte Artikel aus Fachzeitschriften der Volksarmee.

Mandiant und die NSA

Quasi als Draufgabe hatte Mandiant auch noch ein Video von einem gekidnappten Rechner der chinesischen „Cyber“-Brigade bei einem missglückten Einbruchsversuch in ein Netzwerk in den USA veröffentlicht. Nicht nur den Betroffenen war danach klar, dass dieser bis dahin beispiellose Coup - eine US-Firma „hackt“ die chinesische Volksarmee - niemals ohne ausdrücklich Billigung und operative Unterstützung aus dem US-Geheimdienstkomplex möglich gewesen wäre.

Gleichzeitig mit dem Engagement von Mandiant durch Equifax entfernte FireEye ein „Testimonial“ von seiner Website, in dem der Sicherheitsschef von Equifax die „Produkte der nächsten Generation von FireEye“ als unverzichtbar für die Abwehr komplexer Angriffe mit hochwertigen „Zero-Day-Exploits“ gepriesen hatte. Wenn auch die Hintergründe des aktuellen Coups noch im Dunklen liegen, so lässt sich jetzt schon sagen, dass es sich genau um einen solchen Angriff handeln muss.

Wie der Angriff ablief

Die Angreifer waren Ende Mai oder schon früher in das interne Netz von Equifax eingebrochen und hatten erst einmal erkundet, wo welche Daten zu holen waren. Wie üblich wurden dabei die internen Sicherheitsmechanismen ausgeschaltet. Nur so war es dann möglich, eine derartige Menge an Daten mehrere Wochen lang zu exfiltrierten, ohne dass dies aufgefallen wäre. Die gestohlenen Datensätze enthalten nämlich neben den Stammdaten der jeweiligen Kontoinhaber, alle Transaktionen über diese Konten, die Equifax gemeldet wurden, beziehungsweise die Zahlungsprofile der Personen und Firmen, denen diese Konten zugeordnet sind.

Unter der reichlich konservativen Annahme, dass jeder Datensatz nur wenige Kilobyte an Text umfasst, kommt man auf eine Summe im Terabyte-Bereich. Für einen solchen Angriff braucht es ein ziemlich großes Team gut ausgebildeter „Hacker“, eine hochentwickelte Softwaresuite, ein bis zwei Dutzend gestaffelte Command/Control-Server und hochwertige Exploits. Natürlich ist es nicht auszuschließen, dass sich von allen Geheimdiensten unbemerkt, ein kriminelles Syndikat gebildet hat das über die nötigen Mittel verfügt, einen solchen Angriff zu planen, zu finanzieren und auszuführen.

Mit einem Satz gesagt

Wahrscheinlich ist das schon deshalb nicht, weil schon ein Prozent dieser Datenmenge nicht mehr auf den üblichen Wegen zu vermarkten ist, indem die Datensätze in Tausenderpaketen über einschlägige Foren an Betrüger und andere Kriminelle verkauft werden. Das würde Jahre dauern, während die Daten immer mehr veralten und deshalb schnell an Wert verlieren. Schon eher denkbar wäre Erpressung, doch auch dieser Hypothese steht ein ebenso gewichtiges Argument entgegen.

Große Erpressungsversuche haben im Scheinwerferlicht der Öffentlichkeit zum einen noch nie funktioniert. Kriminelle, die einen solchen Mega-Coup riskieren, der unweigerlich die NSA und den gesamten Geheimdienstkomplex der USA auf den Plan ruft, sind bis dato ebenfalls noch nicht aufgetreten. Mit einem Satz gesagt, sieht die gesamte Aktion ganz nach einem Angriff staatlicher Akteure eines unbekannten Drittstaats aus, die ganz andere Ziele verfolgen als Kriminelle.

Equifax und die moderne Technik

In einer ersten Reaktion hatte Equifax vollmundig erklärt, man werde „die Firma Apache“ wegen der Lieferung fehlerhafter Software auf Schadenersatz verklagen. Am Mittwoch - eine Woche nach Bekanntwerden des Hacks - stellte sich dann heraus, dass die Angreifer tatsächlich über eine Sicherheitslücke der Apache-Webserver eingedrungen waren. Dieser Bug war bereits im März veröffentlicht und beseitigt worden, die Techniker von Equifax hatten das Software-Update jedoch bis Ende Mai nicht eingespielt. Apache ist auch keine Firma, sondern das mithin bekannteste Linux-basierte Open-Source-Projekt, die Software wird auch für Firmen kostenfrei zur Verfügung gestellt.

Wie es weitergeht

Bis jetzt sind auf den Daten-Schwarzmärkten im Netz noch keine Daten aufgetaucht, die nachweislich von diesem Angriff stammen, auch gibt es keinen Hinweis auf Erpressung. In den USA haben 40 Bundesstaaten Ermittlungen gegen Equifax beantragt, der Kongress hat einen Untersuchungsausschuss eingeleitet und die Vorladung des Geschäftsführers von Equifax angekündigt. Seit mehreren Tagen gilt eine Nachrichtensperre, nur wenige Details sind bisher durchgesickert. Entlang dazu wird hier berichtet, denn es handelt sich um den größten je bekanntgewordenen Datendiebstahl überhaupt.

Mehr zu diesem Thema:

• Mehr über die 1899 gegründete Kreditschutzfirma Equifax
• Die reichlich dürre Informationswebsite von Equifax für Betroffene
• Die BBC über britische Datensätze, die durch den Angriff möglicherweise betroffen sind
• Das Dossier von Mandiant über die „Cyber“-Einheit 61398 der chinesischen Volksarmee sowie das dazugehörige Video