US-Bericht: "Equifax-Hack hätte verhindert werden können"

Der Behördenbericht zeigt, wie organisatorische Fehler, Legacy-Systeme und eine Wachstumsstrategie einen Mega-Hack ermöglichten.
 
"In den über zwanzig Jahren, die ich in der Cybersecurity-Branche verbracht habe, ist dieser Bericht einer der detailliertesten Berichte, die ich je über einen Verstoss in dieser Grössenordnung gesehen habe", schreibt Lance Spitzner, Director von SANS Security Awareness in einem Blog-Post.
 
Security-Guru Bruce Schneier sieht dies gleich.
 
Beide beziehen sich auf den Bericht des US-Kongresses über den Mega-Hack bei Equifax, der soeben publiziert wurde. Der 96-seitige Bericht bietet eine detaillierte Timeline der Ereignisse – was geschah wann und wer wusste was – und macht damit klar, wie der eigentliche Identitätsdiebstahl von 145,5 Millionen Datensätzen ablief und welche organisatorischen und menschlichen Fehler mitspielten.
 
Ein Fazit: "Equifax hätte mindestens zwei Punkte im Griff haben müssen, bei denen es nicht gelungen ist, den Datenabfluss zu minimieren oder sogar zu verhindern. Erstens bestand ein Mangel an Rechenschaftspflicht und keine klaren Zuständigkeiten in der IT-Managementstruktur von Equifax, was zu einer Lücke zwischen IT Policy Development und der Umsetzung im Betrieb von IT-Richtlinien führte. Dies limitierte zudem die umfassende und zeitnahe Umsetzung anderer Sicherheitsinitiativen des Unternehmens".
 
Und zweitens, so die Autoren, "führten die aggressive Wachstumsstrategie von Equifax und die Ansammlung von Daten zu einer komplexen IT-Umgebung. Equifax führte eine Reihe seiner wichtigsten IT-Anwendungen auf custom Altsystemen aus. Aufgrund der Komplexität und der veralteten IT-Systeme von Equifax war die IT-Sicherheit besonders anspruchsvoll. Equifax erkannte die inhärenten Sicherheitsrisiken beim Betrieb bestehender IT-Systeme und hatte mit der Modernisierung älterer Infrastrukturen begonnen. Diese Bemühungen kamen jedoch zu spät, um den Verstoss zu verhindern."
 
Und das vernichtetende Fazit: "Equifax konnte die Risiken der Cybersicherheit nicht vollständig einschätzen und minimieren. Hätte das Unternehmen bereits vor diesem Cyberangriff Massnahmen ergriffen, um seine bekannten Sicherheitsprobleme zu beheben, hätte die Verletzung der Daten verhindert werden können."
 
CISOs, CSOs und allen Security-Leuten, aber auch CEOs, CIOs und CFOs sei die Lektüre des Berichts (PDF) ans Herz gelegt. Ergänzend dazu sei an einen weiteren US-Behördenbericht erinnert, der weitere Facetten des Hacks beleuchtet. Beide Berichte sind zusammen 136 Seiten dünn. Und hätten CEO, CIO und CSO von Equifax diese vor dem Hack gelesen, sie hätten ihre Jobs wohl noch. (mag)