Wirtschaftsauskunftei Equifax: Datenklau im großen Stil

New York Vor einer Schrankwand und Büro-Palme zeigt Rick Smith seine Reue. Der Vorstandsvorsitzende der amerikanischen Wirtschafsauskunftei Equifax wendet sich per Video-Botschaft an die amerikanischen Verbraucher. Smith spricht von einer „demütigenden Erfahrung“ und entschuldigt sich öffentlich für einen der größten Hackerangriffe auf persönliche Daten der letzten Jahre.
Bei Equifax – einer Art amerikanischen Schufa – haben sich Hacker Zugang zu den Daten von 143 Millionen Verbrauchern geschafft. Das entspricht 44 Prozent der US-Bevölkerung. Auch einige Kanadier und Briten waren dabei. „Ich bereue diesen Vorfall zutiefst“, sagte Equifax-Chef Smith. „Wir haben mehr zu tun und wir werden das tun“.
Wer in den USA eine Wohnung mieten, ein Konto eröffnen oder einen Handy-Vertrag abschließen will, der kommt an einem Kredit-Check nicht vorbei. Die Vermieter, Banken und Handyanbieter lassen die Bonität ihrer Kunden über Agenturen wie Equifax prüfen. Als eine der drei größten Anbieter sammelte die Wirtschaftsauskunftei möglichst viel Finanz-Informationen über das Zahlungsverhalten aller Amerikaner, inklusive Sozialversicherungsnummern, Kreditkraten- und Führerscheindaten, Adressen und Geburtsdaten. Doch wie sich nun herausstellte, waren die Daten dort nicht sicher aufgehoben.

Es ist einer der größten Hacker-Angriffe in den letzten Jahren. Die Aktie verlor am Freitag Morgen in New York mehr als 14 Prozent. Passiert ist der Angriff im Sommer zwischen Mai und Ende Juli. Man habe die Lücken sofort geschlossen, betonte der Unternehmenschef Smith. Aber theoretisch können die Hacker mit diesen Daten im Internet die Identität der betroffenen Personen annehmen, einkaufen oder auch Konten räumen.
„Die Art der Information, die betroffen ist, ist sehr sensibel“ sagte Beth Givens von der Verbraucherschutz-Gruppe Privacy Rights Clearinghouse. „Insgesamt hat das Ganze das Potential ein sehr gefährlicher Vorfall zu sein für alle, die betroffen sind“.
Besonders peinlich für das Unternehmen: Equifax verkauft selbst Produkte gegen Daten- und Identitätsdiebstahl. Die jüngste Attacke hat gezeigt, wie real die Gefahr ist. Jetzt will sich Equifax bei den Verbrauchern entschuldigen und diese Produkte gratis zur Verfügung stellen. „Wir bieten jedem Verbraucher in den USA gratis ein komplettes Paket an, um sich vor Identitätsdiebstahl zu schützen und die eigenen Kreditdateien im Auge zu behalten“, kündigte Smith an. Ob die Verbraucher diesem Produkt trauen, wird sich zeigen.

Das sind die häufigsten Fallen im Netz

Angriff aus dem Netz

1 von 10

Cyberkriminelle werden immer erfinderischer, ihre Angriffe mit Trojanern, Viren und Phishing immer ausgefeilter. Da ist es wichtig, vorsichtig zu sein und sich gut zu schützen. Auf diese Fallen sollten Sie achten.

(Foto: dpa)

E-Mails und Phishing

2 von 10

Der häufigste Infektionsweg ist immer noch die E-Mail, insbesondere der E-Mail-Anhang: „Wenn man den öffnet, hat man meist schon verloren”, sagt Joachim Wagner, Sprecher beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Hintergrund werde sofort eine Datei ausgeführt, die die Schadsoftware installiert. Oder man landet via Link auf einer gefälschten Webseite. Dort soll man dann persönliche Daten preisgeben („Phishing”).

(Foto: dpa)

Vorsicht vor allem bei Rechnungen

3 von 10

In den E-Mails geht es meist um Rechnungen. Die Fälschungen werden auch immer besser: „Die Angreifer schauen sich etwa die Kontakte eines Nutzers bei Facebook an, um dann in deren Namen Mails zu versenden”, sagt Wagner. Die Texte enthielten weniger Rechtschreibfehler als früher, teils erkenne man selbst an der Absenderadresse kaum noch, dass nicht der vorgegebene Dienst dahintersteckt.

(Foto: dpa)

Erst denken, dann klicken

4 von 10

„Geht es um Bankgeschäfte, Kontosperrungen und ähnliches und wird man aufgefordert, etwas anzuklicken, sollte man immer skeptisch sein”, rät Maurice Ballein, Redakteur beim IT-Portal „Netzwelt.de”. Und BSI-Sprecher Wagner sagt: „Erst denken, dann klicken!” Helfen könnten drei Fragen: Kenne ich den Absender? Ist der Betreff sinnvoll oder vage („Dringende Nachricht”)? Erwarte ich einen Anhang? „Wenn da schon Zweifel bestehen, die Mail ungeöffnet löschen.”

(Foto: dpa)

Nicht dem Link folgen

5 von 10

Im Zweifel kann man auch bei der Firma anrufen, die vermeintlich hinter der Mail steht. „Nur nicht dem Link folgen”, sagt Wagner. Die Adresse könne man stattdessen manuell in den Browser eingeben und auf diese Weise prüfen. Hinter dem sichtbaren Link-Text kann sich nämlich eine andere Adresse verstecken. Ist angeblich ein Online-Konto betroffen, loggt man sich am besten über den offiziellen Weg dort ein und schaut nach, ob wirklich etwas vorliegt.

(Foto: dpa)

Ransomware

6 von 10

Krypto-Trojaner verschlüsseln die Dateien auf einem Rechner, dann wird der Nutzer erpresst: Er soll für den Entschlüsselungscode zahlen. Verbreitet wird Ransomware über manipulierte Webseiten, Downloads und via E-Mail. „Wir raten ganz klar, nicht zu zahlen und die Erpressung anzuzeigen”, sagt Frank Timmermann vom Institut für Internet-Sicherheit in Gelsenkirchen.

(Foto: dpa)

Backup auf externen Datenträgern

7 von 10

Wagner rät zu einer möglichst geringen Angriffsfläche. Browser, Betriebssystem und Programme sollten immer aktuell sein. Nutzer sollten Updates schnellstmöglich einspielen. „Wichtig ist eine vernünftige Sicherheitslösung aus Firewall und Antivirensoftware”, erläutert Ballein. Alle drei Experten raten zu regelmäßigen Backups auf externen, vom Rechner getrennten Datenträgern.

(Foto: gms)

Verbraucherschützer sind entsetzt über den jüngsten Vorfall und auch darüber, dass es so lange gedauert hat, bis Equifax damit an die Öffentlichkeit kam.
Auch das Internetunternehmen Yahoo war im vergangenen Jahr mit Hacker-Angriffen in die Schlagzeilen geraten. Dort hatte es sogar Jahre gedauert, bis das Unternehmen damit an die Öffentlichkeit kam.
Senator Mark Warner schlug nach dem Vorfall bei Equifax vor, per Bundesgesetz vorzuschreiben, innerhalb welcher Zeitspanne gehackte Unternehmen Angriffe bekannt geben müssen.
Doch bei Equifax hören die Probleme nicht mit den Sicherheitslücken auf: Wie nun bekannt wurde, haben drei Manager kurz nach dem internen Bekannt-Werden des Hacker-Angriffs Aktien im Wert von insgesamt 1,8 Millionen Dollar verkauft. Da liegt der Verdacht des Insider-Tradings nahe. Laut Equifax hätten die Betroffenen zu dem Zeitpunkt noch nichts von dem Daten-Desaster gewusst.
Für Equifax ist es auch nicht das erste Mal, dass es wegen Sicherheitslücken in die Schlagzeiten gerät: 2013 waren schon einmal Daten gestohlen worden. Damals waren auch Michelle Obama, die Sängerin Beyonce und die Schauspieler Ahston Kutcher und Mel Gibson betroffen.