Der Finanzdienstleister Equifax, die größte Wirtschaftsauskunftei der USA, hat eingeräumt, dass es im Zeitraum von Mitte Mai bis Juli 2017 zu illegitimen Zugriffen auf die Datenbanken des Unternehmens gekommen ist. Diese enthalten persönliche Informationen zu rund 143 Millionen US-Bürgern, darunter Namen, Adressen, Sozialversicherungsnummern und teilweise Kreditkartendaten. Auch Konsumenten aus Kanada und Großbritannien sind betroffen.
Kommentar von Adrian Rowley, EMEA Technical Director von Gigamon
„Die Fülle an Informationen, die Unternehmen wie Equifax gespeichert haben, machen sie zu einem bevorzugten Ziel für Hacker. Daher ist der Angriff alles andere als überraschend. Angesichts der sensiblen Daten braucht eine solche Organisation ein hochsicheres System, um Angriffsversuche erfolgreich abzuwehren.
Aber man kann nicht absichern, was man nicht kennt. Fakt ist: Für eine verlässliche IT-Sicherheitsstrategie ist es unverzichtbar, genau zu wissen, wo welche Daten in einem Netzwerk vorhanden sind. Ergo müssen Technologien vorhanden sein, die die wachsende Größe und Komplexität der heutigen Netzwerke berücksichtigen und auch sämtliche Bereiche erfassen, die durch die stetig wachsenden Datenvolumina fast automatisch neu hinzukommen. Blinde Flecken sind der Sicherheit in hohem Maße abträglich.
Eine umfassende Transparenz ist also der Schlüssel zu einer starken Sicherheitslösung. Allerdings besteht hier Nachholbedarf: So fanden wir bei einer aktuellen Untersuchung heraus, dass 61 Prozent der befragten britischen Unternehmen diese blinden Flecken im Netzwerk als eine der Hauptursachen für einen ineffektiven Datenschutz einstufen. Und für 41 Prozent der Unternehmen gilt, dass sie keine vollständige Transparenz ihres Netzwerks erreicht haben, ihnen also Informationen fehlen, um Bedrohungen zu identifizieren. So wie es aussieht, ist dies auch bei Equifax Realität.“
Kommentar von Daniel Wolf, Regional Director DACH von Skyhigh Networks
Equifax arbeitet sicherlich mit Hochdruck daran, den massiven Schaden einzudämmen – angesicht dessen sollten sich alle Unternehmen fragen: Welche Maßnahmen würden wir in einer vergleichbaren Situation ergreifen? Welche Untersuchungen würden wir einleiten und wie den Verlust sensibler Daten offenlegen? Und wie sähe unser Plan für die Kommunikation mit den Kunden aus? Hier wird schnell klar: Ohne gut vorbereiteten und getesteten Plan für derartige Sicherheitsverletzungen ist eine angemessene und zeitnahe Reaktion kaum möglich. Weitere Kritik und ein erheblicher Image-Schaden sind somit vorprogrammiert.
Ein zusätzlicher Aspekt: Sensible Daten befinden sich nicht nur im eigenen Unternehmen, sondern heutzutage mehr und mehr auch bei externer Stellen – bei Outsourcing-Dienstleistern, Geschäftspartnern oder Anbietern von Cloud-Diensten. Diese wiederum teilen ihre Daten mit anderen Organisationen. Treten hier Sicherheitsverletzungen auf, schraubt sich die Risikospirale also immer weiter nach oben.
Wir sollten uns klarmachen: Jemand, mit dem wir in keiner direkten Verbindung stehen, kann im Besitz unserer sensiblen Daten sein – und im Fall der Fälle wird dieser unbekannte Dritte Opfer eines Datendiebstahls.
Ixia: Was man vom Equifax-Datenklau lernen kann
Noch steht nicht endgültig fest, auf welche Weise Hacker in die Systeme der US-amerikanischen Wirtschaftsauskunft Equifax gelangen und persönliche Daten von 143 Millionen Verbrauchern stehlen konnten. Viel deutet jedoch darauf hin, dass sie zumindest eine von zwei Schwachstellen in Apache Struts ausnutzten, einem Framework zur Entwicklung von Java-Anwendungen. Eine dieser Schwachstellen war zum Zeitpunkt des Einbruchs seit mehreren Monaten bekannt (CVE-2017-5638), die andere noch nicht (CVE-2017-9805).
Unabhängig davon, welche Schwachstelle nun tatsächlich ausgenutzt wurde, zeigt der Vorfall einmal mehr, wie wichtig die Absicherung einer Webinfrastruktur gegen derartige Angriffe ist, zumal ab nächstem Mai dem Betreiber nach der neuen Datenschutzgrundverordnung (DSGVO) der EU bei solchen Vorfällen empfindliche Strafen drohen.
Jedes Unternehmen, das im Web Geschäfte macht, wird früher oder später mit bis dato unentdeckten Sicherheitslücken konfrontiert werden. Laut Ixia haben solche Unternehmen grundsätzlich 3 Möglichkeiten, dieses Problem anzugehen:
- Nichts tun und Angriffe auf die Web-Infrastruktur riskieren
Das wäre der Traum eines jeden Hackers und würde seinen Job erheblich erleichtern. Tatsächlich sind Web-Application-Attacken nach dem Verizon Data Breach Investigations Report 2017 die erfolgreichste Methode des Datendiebstahls – bei 6.502 bestätigten Vorfällen konnten Hacker in 571 Fällen tatsächlich Daten erbeuten. - Einen Patch einspielen, ohne zu wissen, wie dieser sich auf die Infrastruktur auswirkt, und das Risiko von Nebenwirkungen eingehen
Dieses Vorgehen beseitigt die Schwachstelle und verbessert Usability und/oder Performance. Schlecht designte Patches können jedoch neue Probleme mit sich bringen, die geschäftskritische Prozesse und die Produktivität beeinträchtigen können. - Einsatz eines virtuellen Patches, der dem Unternehmen Zeit gibt, den eigentlichen Patch ohne Risiko für die Infrastruktur zu testen
Ein virtueller Test ist eine temporäre Implementierung einer Sicherheitsrichtlinie, die das Ausnutzen der Schwachstelle verhindert, ohne die Verfügbarkeit der Web-Infrastruktur zu beeinträchtigen.
„In heutigen Umgebungen stellen virtuelle Patches eine sehr risikoarme Möglichkeit dar, kritische kundenzugewandte Anwendungen und Infrastrukturen zu sichern“, sagt Steve McGregory, Senior Director of Application Threat Intelligence (ATI) bei Ixia. „Das ATI Team von Ixia bietet die Tools zur Validierung von Patches vor deren Implementierung, so dass sie keine negativen Auswirkungen auf die Infrastruktur, das Geschäft oder auf Kundendaten haben.“
#Netzpalaver #Gigamon #SkyhighNetworks #Ixia#Equifax