Der riesige Datendiebstahl bei dem US-Unternehmen Equifax zeigt die Risiken der IT-Datenspeicherung auf. Aber was sind wirklich die Konsequenzen?
Banken und sonstige Geld- oder Kreditgeber verlassen sich gerne auf die Prüfung von Kreditsuchenden, Aspiranten auf eine Kreditkarte, Auto- und Hauskäufern und so weiter. Dafür gibt es eigene, von vielen Privatpersonen gefürchtete Institutionen – in Deutschland zum Beispiel die Schufa. In den USA heißen sie Experian, TransUnion oder Equifax.
Bei Equifax ist es Hackern im Juli 2017 gelungen, 143 Millionen Datensätze zu stehlen, die zum Beispiel Vor- und Familiennamen, Sozialversicherungsnummern, Geburtsdaten, Führerscheinnummern sowie Kreditkartennummern enthalten – vor allem von erwachsenen US-Bürgern. Damit kann man eine ganze Menge anfangen, und das nicht nur mit den für die Kreditkarten relevanten Daten.
Diejenigen Personen, die überhaupt mitbekommen haben, was mit ihren Daten passiert ist, müssen sich mit vorläufigen Vermutungen begnügen, was ihnen passieren könnte. Das britische Information Commissioner’s Office (ICO) hat versucht, Druck auf Equifax auszuüben, weil auch UK-Staatsbürger betroffen sind, rät aber zur Vorsicht: „Es wird einige Zeit dauern, bis wir alle möglichen Konsequenzen aufgedeckt haben. Betroffene, aber auch andere Personen sollten sehr zurückhaltend sein bei E-Mails, SMS oder Anrufen, deren Absender oder Person sie nicht kennen. Und das selbst dann, wenn es so aussieht, als würden sie die andere Seite kennen.“
Cyber-Attacken sind in den letzten Jahren vor allem für solche Unternehmen eine Gefahr gewesen, die sehr große Datenmengen vorhalten, darunter in Großbritannien die Bank HSBC und die Telekom-Gesellschaft TalkTalk. Es gibt darüber hinaus Tausende von Unternehmen weltweit, die immense Datenbanken verwalten. Diese Data Broker sind sicher nicht in erster Linie für Attacken und Datendiebstähle verantwortlich zu machen, aber sie laden allein aufgrund ihrer Größe dazu ein.
Ein Versagen der Cyber-Security
Es gibt bereits die ersten Experten in dieser Szene, die von einem Big-Data-Problem sprechen und nach staatlicher Regulierung rufen. So schreibt Jathan Sadowski in der englischen Tageszeitung Guardian vom 8. September 2017: „Dieser Dateneinbruch stellt ein massives Versagen der Cyber-Security dar, der viele noch unklare Folgen für die Privatsphäre der Betroffenen haben wird. Daneben wird jedoch ein grundsätzliches Problem des modernen Umgangs mit Daten deutlich: Datenbanken wie die von Equifax sind einfach zu groß.“
Unternehmen wie Equifax sind Teil einer Data-Broker-Industrie mit Multi-Milliarden-Umsätzen, die sich mit dem Sammeln, der Analyse und dem Verkauf von Informationen über einzelne Personen beschäftigt. Damit schaffen sie es, ein detailliertes Bild der Lebensumstände einzelner Personen zu entwerfen, was für diese oft fatale Konsequenzen hat – von der Genehmigung eines Darlehens über das Finden eines Jobs oder einer Wohnung. Je mehr Daten solche Broker verwalten, desto größer wird ihr Einfluss.
Für Sadowski genügt es aus diesen Gründen nicht, sich lediglich mit den Problemen und Unzulänglichkeiten der Datensicherheit zu befassen. Daten würden oft in simpler Manier als „neues Öl“ oder als „eine Art neues Kapital“ betrachtet. Man sollte über solche (falschen) Analogien nicht nur lächeln, sondern sie ähnlich wie „Big Oil“ oder „Big Finance“ behandeln. Und das heißt ganz klar: Sie ähnlich eingreifenden staatlichen Mechanismen unterwerfen.
Erschwerend kommt im Fall Equifax hinzu, dass das Unternehmen bereits am 29. Juli 2017 über die massive Data Breach informiert war, aber erst Anfang September entsprechende Informationen an Kunden und Öffentlichkeit weiterreichte. Dabei wurden zusätzliche Fehler begangen wie zum Beispiel extrem arrogante E-Mails an die Kunden und entsprechende Webseiten, die sie versteckt mit einer Einladung zu einem einjährigen kostenlosen Support zu einem Verzicht auf Regress-Forderungen einluden. Außerdem waren eigens eingerichtete Hotlines auch nach stundenlangem Warten nicht zugänglich, um die verzweifelten Kunden am Schluss nur wieder auf die Webseiten mit ihren getürkten Informationen umzuleiten.
Pannen bei der Aufklärung
Der Forrester-Analyst Jeff Pollard kommt deshalb zu diesem Urteil: „Wenn Retailer von so einer Data Breach wie dieser erwischt werden, sind womöglich nur einzelne Kreditkarteninformationen gestohlen worden. Aber in einem Fall wie dem von Equifax geht es um viel mehr Informationen und Auswirkungen. Wir brauchen unbedingt mehr Informationen von Equifax, was eigentlich abgelaufen ist.“ Pollard rät ausdrücklich davon ab, sich als Equifax-Kunde auf die kostenlosen Service-Angebote des Providers einzulassen.
Inzwischen sind die ersten Sammelklagen bei amerikanischen Gerichten eingegangen. Sie könnten sich um Beträge von insgesamt 68,6 Milliarden Dollar handeln.
Equifax hat offenbar kein Interesse, den Vorfall ernsthaft aufzuklären. So versuchte das Unternehmen unter anderem, die Verantwortung auf die Open-Source-Software Apache Struts zu schieben. Später musste man zugeben, dass man einen überfälligen Patch nicht installiert hatte. Wie die Apache Foundation mitteilte, war dieser Patch seit sechs Monaten verfügbar gewesen.
James Stranger, Chief Technologist Evangelist bei CompTIA, kommentiert den ganzen Vorfall: „Der Equifax-Hack ist vor allem deshalb so interessant, weil die Reaktion auf den Angriff so armselig war. Die Schuld einfach auf ein proprietäres oder open-source Software-Problem zu schieben, ist absolut nicht angemessen. Und riecht nach der klassischen Ausrede: Ich weiß von nichts, irgendjemand muss sich da eingemischt haben.“
Inzwischen wurden Konsequenzen auf der persönlichen Ebene gezogen: Nach dem Abgang einiger führender Manager nahm auch Equifax-CEO Richard Smith seinen Hut. Ein paar Tage später hätte er vor einem Ausschuss des US-Kongresses Rede und Antwort stehen sollen. Das muss er jetzt nicht mehr.
