Im September 2017 gab die Kreditauskunftei Equifax bekannt, dass sie Opfer einer der größten Datenschutzverletzungen aller Zeiten geworden sind. Nur Yahoo übertrifft diesen Leak, bei dem 2013 Details von rund 3 Milliarden Konten verloren gingen. Bei Equifax wurden sowohl Daten von rund 145 Millionen US-Verbrauchern als auch von Millionen von Menschen aus anderen Ländern exponiert.

Das Unternehmen entdeckte die Verletzung im Juli 2017 desselben Jahres und schätzte, dass diese im Mai 2017 begann. Ein Bericht des House Oversight Committee´s kam zu dem Schluss, dass die Sicherheitsverfahren von Equifax unzureichend und die Systeme veraltet waren. Es zeigte auch die schlechte IT-Infrastruktur des Unternehmens auf, da grundlegende Basismaßnahmen wie Patch Management diese Verletzung hätten verhindern können.

Die Auswirkungen auf Equifax sind noch nicht absehbar

Ende Mai dieses Jahres hat die Ratingagentur Moody’s ihren Prognosebericht für das Unternehmen von stabil auf negativ herabgestuft. Die Kostensumme des Schadens setzt sich wie folgt zusammen (alle Angaben in US-Dollar): 786.8 Mio. allgemeine Kosten im Zusammenhang mit der Vorschriftverletzung, zudem 82 Mio. an Technologie- und Datensicherheitskosten, 12.5 Mio. Anwaltskosten und 1.5 Mio. Produkthaftung. Die Gesamtkosten der Verletzung beliefen sich bisher auf 1.4 Mrd. US-Dollar und werden zweifellos weiter steigen.

Der Fall Equifax ist besonders signifikant, da Cybersicherheit erstmalig namentlich genannter Faktor für eine Prognoseänderung ist.

Was können wir aus diesem Fall lernen?

 Das Unternehmen hat bei ihrer Cybersicherheit zahlreiche Aspekte vernachlässigt, die in Kombination zu diesen immensen Kosten geführt hat. Nach Angaben des Unternehmens ignorierte ein Mitarbeiter einen wichtigen Sicherheitspatch für das Apache Struts Framework, dass zwei Monate vor der Datenschutzverletzung zur Verfügung stand. Die Sicherheitslücke war 3 Monate aktiv: Mit diesem Hintergrund wusste das Unternehmen nicht, was in Ihrem Netzwerk vorgeht, und das es keine Kontrolle über die zu verwaltenden personenbezogenen Daten gibt. Dies war in der Tat eine der Schlussfolgerungen im Bericht des Oversight Committee: „Equifax sah das Datenleck nicht, weil das Gerät zur Überwachung des Netzwerkverkehrs aufgrund eines abgelaufenen Sicherheitszertifikats seit 19 Monaten inaktiv war.“

Wie Sie einen solchen Schaden wie den von Equifax verhindern können

 Kein Unternehmen möchte für einen Sicherheitsverstoß auf sich aufmerksam machen. Finanzielle und Reputationsschäden können Unternehmen gefährden, die Opfer dieser Art von Cyberkriminalität wurden. Und es sei daran erinnert, dass es mit der DSGVO sehr wahrscheinlich ist, dass die Kosten, die durch Datenschutzverletzungen entstehen, weiter steigen werden.

Eine der wichtigsten Aufgaben, die jedes Unternehmen erfüllen muss, um vor jeglicher Art von Cyberbedrohung geschützt zu sein, ist die vollständige Transparenz über alles, was in ihrer IT-Umgebung passiert. Die Überwachung aktiver Prozesse in Echtzeit, mit Panda´s Adaptive Defense, ermöglicht Ihnen, potenzielle Bedrohungen zu erkennen, bevor sie ein Sicherheitsrisiko darstellen können. Es verfügt zudem über ein Modul, das speziell zur Überwachung und zum Schutz personenbezogener Daten entwickelt wurde.

Der Equifax-Verstoß wurde durch einen nicht installierten Patch ermöglicht. Unternehmen haben oft Schwierigkeiten bei der Suche und Anwendung relevanter Patches, da es an Zeit und Ressourcen mangelt. Mit Panda Patch Management, einem Modul von Panda Adaptive Defense, können Sie sicher sein, dass Sie immer die erforderlichen Patches haben und somit vor jedem Cyberangriff, die diese Schwachstellen ausnutzen würden, geschützt sind.