Die Equifax-Datenpanne 2017 – Der Hack, der vermeidbar war

00:00:00: Im Jahr zwei tausend siebzehn wurde der wahrscheinlich folgenreichste Datenraub, der naja der modernen Geschichte durchgezogen und zwar nicht etwa mit irgendwelchen futuristischen hoch komplexen Hacking Tools.

00:00:13: Oh

00:00:13: nein absolut nicht

00:00:15: sondern passierte weil ein multimiliarden-Dollar Konzern schlichtweg vergessen hatte einen ganz simples digitales Zertifikat für vielleicht fünfzig Dollar zu erneuern ja und weil ein IT-Team in so einem absoluten Netzwerkchaos überhaupt nicht herausfinden konnte, wer eigentlich für einen völlig veralteten Server aus den neunzehnhundertsiebziger Jahren zuständig war.

00:00:38: Das ist das ultimative Paradebeispiel dafür dass die größte Bedrohung für ein Unternehmen nicht immer die Brillianz der Angreifer ist sondern eher die eigene unsichtbare Inkompetenz im Alltag?

00:00:49: Absolut

00:00:50: und damit willkommen zu diesem Deep Dive!

00:00:53: Schön, dass du heute dabei bist.

00:00:55: Unsere heulige Mission basiert auf einem massiven Stapel von dreiundvierzig Quellen?

00:01:02: Ja, ein ordentlicher Berg an Material.

00:01:04: Kann man so sagen!

00:01:05: Wir haben Berichte von US-Behörden Gerichtsdokumente, Analysen von Cyber-Sicherheitsfirmen und interne Audits vorlegen.

00:01:13: Wir nehmen heute nämlich den Equifax-Datendiebstahl von zwei tausend siebzehn extrem genau unter die Lupe.

00:01:19: Genau.

00:01:20: Und wir sprechen hier von einem Vorfall, bei dem die hochsensiblen Daten von fast der Hälfte der gesamten US-Bevölkerung also rund onehundertundvierzigkommann neun Millionen Menschen und auch etlichen Nutzern in Großbritannien und Kanada kompromittiert wurden.

00:01:33: Das ist so eine unvorstellbare Zahl!

00:01:36: Wahnsinn, oder?

00:01:38: Ein Unternehmen das laut seinem damaligen CEO zwölfhundertmal mehr Daten verwaltete als die Library of Congress hat quasi über Nacht die komplette Kontrolle verloren

00:01:48: Und genau deshalb wollen wir heute nicht so eine chronologische Checkliste abhaken.

00:01:53: Wir wollen verstehen, wie und vor allem warum so etwas überhaupt passiert?

00:01:59: Richtig!

00:01:59: Wir reden hier über die Mechanik hinter diesen technischen Versagen, über die toxische Dynamik von Firmenübernahmen und sogar über Insiderhandel tief in der Führungsebene.

00:02:10: Das

00:02:10: ist wirklich ein Krimi für sich.

00:02:11: Oh ja Also dröseln wir das mal Schritt-für-Schritt auf.

00:02:15: Die offizielle Timeline unserer Quellen beginnt mit einem ganz klaren Datum.

00:02:19: Und zwar dem siebten März, zwei Tausend Siebzehn.

00:02:21: Genau an diesem Tag wurde nämlich eine extrem kritische Schwachstelle in einem super weit verbreiteten Web-Framewerk veröffentlicht.

00:02:29: das nennt sich Apache Struts.

00:02:31: Okay?

00:02:31: Die Lücke bekam die Kennung CVE two tausend siebzehnen minus fünf sechs drei acht und dieses Apache Strats wird halt von unzähligen Unternehmen weltweit genutzt um Web Anwendungen zu bauen.

00:02:42: also ein echtes Standard Tool

00:02:44: Absolut.

00:02:45: Ein Reparatur-Update, also ein sogenannter Patch stand von den Entwicklern auch sofort bereit und am achten März gab es dann schon die hochoffizielle Warnung des USCRT – der Nationalen Cyber-Sicherheitsbehörde.

00:02:59: So weit so normal in der IT-Welt oder?

00:03:01: Eine Lücke wird gefunden eine Warnungen geht raus

00:03:04: Eigentlich schon.

00:03:05: In den Berichten steht jetzt, dass die Angräfer über einen Moment manipulierten HTTP-Header Befehle ausführen konnten.

00:03:14: Bevor wir da weitergehen – was genau bedeutet das in der Praxis?

00:03:17: Ein Header klingt für mich erst mal nach etwas ziemlich harmlosen!

00:03:21: Ja, das ist auch normalerweise so.

00:03:23: Stell dir vor, so ein HTTP Header ist im Grunde wie das digitale Versandetikett auf einem Paket, das du per Post verschickst.

00:03:32: Ah ok…

00:03:33: Auf diesem Etikett stehen eigentlich nur Standardinformationen für den Empfänger, also in dem Fall den Server.

00:03:39: So was wie?

00:03:40: Hallo ich bin ein Firefox Browser, ich spreche Deutsch.

00:03:42: bitte zeig mir diese Webseite.

00:03:44: Der Server soll dieses Etiket einfach nur ablesen um zu wissen wie er das Paket verarbeiten muss?

00:03:50: Exakt!

00:03:51: Nur ablese.

00:03:53: Aber bei dieser speziellen Schwachstelle in der Patchesstruts haben die Angreifer statt einer normalen Information einen schadhaften Befehl auf das Etikette geschrieben.

00:04:01: Oh wow!

00:04:02: Ja und durch ein Fehler im Code hat der Server diesen Befehl nicht einfach nur gelesen, sondern versehentlich direkt ausgeführt.

00:04:08: Krass das heißt die Angreifer konnten dem Server von außen völlig unbemerkt Anweisungen geben

00:04:14: Richtig und zwar ohne sich jemals einloggen zu müssen.

00:04:17: Das ist natürlich fatal.

00:04:19: Aber Equifax hat ja anscheinend reagiert?

00:04:22: Am neunten März, also wirklich nur einen Tag nach dieser offiziellen Warnung schickt das Interna Global Threat and Vulnerability Management Team kurz GTVM eine E-Mail an über vierhundert Mitarbeiter.

00:04:35: Ja die E-mail gab es!

00:04:36: Und die Anweisung war unmissverständlich.

00:04:38: Das stand, jeder der Apache Strots nutzt muss dieses Update innerhalb von achtundvierzig Stunden installieren – aber das System namens ACs, also das Automated Consumer Interview System ein riesiges Online-Streitportal von Equifax wurde schlichtweg nie gepatched!

00:04:54: Naja, wenn du eine E-Mail an vierhundert Leute schickst.

00:04:56: Dann ist das doch wie ein überfüllter Gruppenchat oder?

00:04:59: Ganz genau!

00:05:00: Da greift sofort der Bystander Effekt.

00:05:02: Jeder denkt naja jemand anders wird sich schon drum kümmern.

00:05:05: Aber ganz ehrlich... Wie kann ein Milliarden Unternehmen sich bei so einem roten Alarm auf so ein reines Ehrensystem verlassen?

00:05:12: Um das zu verstehen müssen wir uns ansehen wie dieses Unternehmen organisch gewachsen ist.

00:05:17: Equafax hatte nämlich in den zehn Jahren vor dem Breach eine extrem aggressive Akquisitionsstrategie gefahren.

00:05:24: Die haben massiv Firmen aufgekauft, richtig.

00:05:26: Genau!

00:05:27: Die hatten achtzehn verschiedene Unternehmen gekauft und wenn du eine Firma kaufst, kauf's ja nicht nur deren Produkte – Du kaufs halt achtzehnt unterschiedliche IT-Netzwerke.

00:05:37: Oh je...

00:05:38: Ja, achtzehen verschiedenen Arten Server zu benennen… Und achtzehin völlig unterschiedliche Sicherheitskulturen.

00:05:44: Das heißt die haben diese ganzen Netzwerke einfach aneinander gestöpselt und gehofft dass es irgendwie funktioniert?

00:05:50: Ein riesiges Frankensteinnetzwerk quasi

00:05:52: Frankenstein-Netzwerk trifft es perfekt.

00:05:54: Das führte zu einer Infrastruktur, die derart unübersichtlich war, dass Equafax nicht einmal ein vollständiges Inventar seiner eigenen Software hatte.

00:06:03: Wahnsinn!

00:06:04: Wenn also diese E-Mail an vierhundert Leute rausgeht dann liest ein Administrator diese Mail schaut in seine wahrscheinlich völlig unvollständige Liste von Systemen sieht kein Apache Struts und zack löscht die E-mail

00:06:18: Weil er denkt er ist nicht betroffen

00:06:19: Genau.

00:06:20: Niemand wusste, dass dieses alte ACIS-System, dessen Wurzeln ja wirklich tief in die Neunzehnhundertsiebziger Jahre zurückreichen überhaupt auf dieser spezifischen Version von Strutsleaf?

00:06:31: Es gab einfach keinen offiziell zugewiesenen Systeminhaber!

00:06:34: Aber gab's denn da niemanden der das mal kontrolliert hat?

00:06:37: So ein Audit-Team, das noch diesen Achtundvierzig Stunden sagt Leute zeigt uns den Bericht, dass alle Maschinen gepatched sind.

00:06:44: Ähm, lustigerweise hatte ein internes Audit genau diese reaktive fehleranfällige Patch-Kultur bereits in den letzten Jahren scharf kritisiert.

00:06:53: Echt jetzt?

00:06:54: Zwei Jahre vorher?

00:06:55: Ja!

00:06:56: Die Prüfe hatten gewarnt dass Equifax komplett blind fliegt.

00:06:59: Das Management hat dann auch Besserung bis Ende Jahrzehnte versprochen aber passiert es halt nichts.

00:07:06: Klassiker

00:07:08: Die Untersuchungsausschüsse haben später festgestellt, dass das Schließen dieser organisatorischen Lücken für die IT-Führung schlicht keine Priorität hatte.

00:07:17: Okay!

00:07:18: Also...die Haustür stand sperrangelweit offen und am dreizehnten Mal, zwei tausend siebzehn spazierten die Angreifer dann gemütlich durch diese offene Tür in das ACRIS System herein.

00:07:29: So

00:07:29: zu sagen ja

00:07:31: Aber ab hier wird es für mich extrem rätselhaft wenn ich mir die Quellen so ansehe.

00:07:35: Vom derzehnten Mai bis zum neunundzwanzigsten Juli wühlen die Hacker in den Datenbanken und laden im kleinen Tröpfchen Daten herunter.

00:07:44: Warte mal kurz, das sind siebenundsechzig Tage!

00:07:48: Wenn ein normaler Mitarbeiter plötzlich Millionen von Datensätzen kopiert schlägt doch sofort irgendein Bandbreiten-Monitor oder eine Fireball an.

00:07:58: Warum behandelte das System diesem massiven Datenabfluss als völlig normales Verhalten?

00:08:03: Naja, weil das System, dass diesen Abfluss hätte erkennen sollen buchstäblich blind war.

00:08:08: Blind?

00:08:09: Ja!

00:08:10: Und hier kommt dieses abgelaufene digitale Zertifikat ins Spiel, das du ganz am Anfang erwähnt hast.

00:08:15: Netzwerk-Traffic ist heutzutage ja fast immer verschlüsselt – also unlesbar gemacht und damit niemand auf dem Weg vom Browser zum Server mitlesen kann.

00:08:23: Soweit logisch….

00:08:23: Das ist diese SSL Verschlüsselung, das kleine Schlosssymbol im Browser.

00:08:27: Richtig Aber um sich vor genau solchen internen Bedrohungen zu schützen, nutzen Großkonzerne eine sogenannte SSL Visibility Appliance.

00:08:37: Okay was genau ist das?

00:08:39: Stell dir das vor und geh einen offiziell genehmigten Mittelsmann im eigenen Netzwerk.

00:08:44: Dieses Gerät fängt den verschlüsselten Datenverkehr ab Entschlüsselt ihn kurz, scant ihn auf bösartige Befehle oder eben auf Datenabfluss.

00:08:51: Verschlüsselt den dann wieder und schickt ihn weiter.

00:08:53: Ah!

00:08:54: Und damit dieses Gerät diesen sanktionierten Lauschangriff überhaupt durchführen darf, braucht es ein digitales Zertifikat.

00:09:00: Ah ok...und ich ahne worauf das jetzt hinausläuft.

00:09:03: Dieses Zertifikat muss regelmäßig erneuert werden?

00:09:06: Richtig?!

00:09:06: Oh ja.

00:09:07: Und dass Zertfikat für genau das Gerät, das den Traffic des betroffenen ACS-Portals überwachen sollte… Das war abgelaufen.

00:09:15: Für wie lange?

00:09:22: Also, wenn das Gerät den Traffic nicht mehr entschlüsseln durfte hat es den kompletten Datenstrom einfach blind durchgewunken anstatt ihn zu blockieren.

00:09:30: Exakt so war's!

00:09:31: Das ist ja als hätte man den massivsten Hochsicherheitsbank-Tresor der Welt gebaut aber der Wachmann hat vergessen die Stromrechnung für die Überwachungskameras zu bezahlen und dass für anderthalb Jahre.

00:09:45: Das ist eine perfekte Analogie.

00:09:47: Und niemand im Management hat jemals nachgeschaut, ob das rote Aufnahmelicht der Kamera überhaupt noch brennt!

00:09:54: Nein

00:09:54: und das Perfide daran ist ja?

00:09:56: Als das Zertifikat dann am neunzwanzigsten Juli aus völlig anderen routinemäßigen Gründen endlich mal erneuert wurde, da gingen quasi sofort alle roten Lampen an... Oh krass!

00:10:08: Das System schlug augenblicklich Alarm, weil es massiven völlig verdächtigen Traffic zu einer chinesischen IP-Adresse gesehen hat.

00:10:15: Es wirft für mich aber noch eine andere Frage auf – die Hacker kamen ja über dieses einmales Streitportal, also dieses ACRAIS rein.

00:10:23: Wie um alles in der Welt konnten sie von dort aus fast die halbe US-Bevölkerung absaugen?

00:10:29: War das alles in einer einzigen riesigen Datenbank

00:10:32: gespeichert?!

00:10:33: Nein und das ist dann das nächste architektonische Desaster bei Equifax….

00:10:37: Die Angreifer stießen im Inneren auf ein völlig flaches Netzwerk.

00:10:41: Flaches Netzwerke heißt was genau?

00:10:42: Es gab Null-Segmentierung

00:10:44: Das heisst, sie waren durch die Haustür drinnen und im Haus selbst gab es nicht mal mehr abgeschlossene Zimmertüren.

00:10:49: Ganz

00:10:50: genau Wer einmal drin war der konnte überall hin.

00:10:53: Und das kommt noch schlimmer.

00:10:54: Noch schlimmer

00:10:55: Ja Sie fanden auf einem DerServer einfach unverschlüsselte Textdateien in denen interne Passwörter im Klartext abgespeichert waren.

00:11:03: Nicht dein Ernst

00:11:04: Doch, und mit diesen Passwörtern könnten sie sich dann systematisch von Datenbank zu Datenbank hangeln.

00:11:10: Die haben rund neuntausend Abfragen über einundfünfzig verschiedene Datenbanken in Weg gestartet.

00:11:16: Also wir haben gigantische Datenmengen!

00:11:20: Wir reden hier von Sozialversicherungsnummern, Geburtsdaten, Führerscheindaten die im absoluten toten Winkel der Überwachung in kleinen Paketen abfließen.

00:11:30: Wer sah es denn am anderen Ende dieser Leitung?

00:11:33: Also im Februar, hat das US-Justizministerium dazu eine offizielle Anklageschrift veröffentlicht.

00:11:40: Okay und wer wurde da angeklagt?

00:11:42: Angeklagt wurden vier namentlich genannte Mitglieder des chinesischen Militärs also der People's Liberation Army.

00:11:49: Der PLA.

00:11:50: Richtig!

00:11:51: Konkret sollen sie zum sogenannten fifty-fünfzigste Forschungsinstitut gehört haben.

00:11:56: Und die Operation war extrem raffiniert aufgebaut.

00:12:00: Inwiefern

00:12:01: Naja, Sie haben den Traffic über vierunddreißig Server in fast zwanzig verschiedenen Ländern umgeleitet.

00:12:07: Einfach, um Ihre Herkunft extrem gut zu verschleiern.

00:12:10: und sie haben jeden einzelnen Tag routinäremäßig ihre eigenen digitalen Spuren- und Lockdateien gelöscht.

00:12:17: Die haben das also wirklich wie eine hoch professionelle militärische Geheimdienstoperation aufgezogen?

00:12:23: Ganz genau!

00:12:24: Und hier ist ein ganz wichtiger Punkt für dich wenn du uns gerade zuhörst Wir beziehen hier absolut keine Stellung in geopolitischen Fragen.

00:12:32: Nein, überhaupt nicht!

00:12:33: Wir berichten rein auf Basis der offiziellen Akten die wir vorliegen haben.

00:12:38: Laut dem US-Justizministerium war es die chinesische PLA.

00:12:43: Die Chinesische Regierung hingegen hat jede Beteiligung an diesem Heck oder an Cyberspionage generell extrem vehement bestritten.

00:12:51: Wir geben hier also wirklich nur das wieder was auf dem Papier der Ermittler steht.

00:12:55: Absolut verstanden.

00:12:56: Aber wenn wir mal rein bei den Fakten bleiben, da fällt mir in den Quellen ein Detail wirklich extrem ins Auge!

00:13:03: Diese ganzen hundred und vierzig Millionen Datensätze sind danach nie irgendwo aufgetaucht.

00:13:09: Richtig.

00:13:10: Normalerweise also wenn Hacker Kreditkarten oder Sozialversicherungsnummern stehlen dann landen die doch wenige Wochen später auf irgendwelchen Plattformen im Darknet und werden zu Geld gemacht.

00:13:20: aber hier einfach nichts?

00:13:23: Gar nichts.

00:13:24: Warum stiehlt jemand quasi ein halbes Land an Daten, wenn er sie gar nicht verkaufen will?

00:13:29: Das ist genau der Mechanismus, der Sicherheitsexperten sofort hat auffolchen lassen.

00:13:32: Wenn Daten nicht monetarisiert werden, dann geht es fast immer um staatliche Spionageabwehr oder Informationsdominanz.

00:13:39: Denk mal darüber nach welche Macht in solchen Daten steckt!

00:13:42: Wie meinst du

00:13:42: das?!

00:13:43: Wie erpresst man jemanden mit seinem Equifax-Score?

00:13:46: Es geht weniger um den Score an sich sondern um das Zusammenführen von riesigen Datensätzen.

00:13:53: Zwei Jahre vor Equifax gab es einen gigantischen Heck auf das Office of Personnellmanagement der US-Regierung.

00:14:00: Ah, das OPM!

00:14:02: Genau da wurden Millionen Akten von Regierungsmitarbeitern gestohlen.

00:14:07: Wenn ein Geheimdienst nun diese Personalakten mit den tiefgreifenden Finanzdaten von Equifox abgleicht dann bekommt er ein absolut perfektes Radar für menschliche Schwächen.

00:14:18: Oh

00:14:19: Du weißt dann plötzlich exakt, welcher Geheimdienstmitarbeiter heimlich spielsüchtig ist, wer in massiven Schulden steckt oder wer vielleicht kurz vor der Privatinsolvenz steht.

00:14:28: Und diese Menschen sind dann extrem anfällig für Bestechung?

00:14:31: Exakt!

00:14:32: Es is die ultimative Datenbank zur Rekrutierung von Spionen oder eben für Erpressungen.

00:14:38: Wow okay... Das iis ein beängstigen logischer Mechanismus.

00:14:42: Definitiv

00:14:43: Also.

00:14:43: die externen Angreifer nutzten diese toten Winkel der IT, um an diese Daten zu kommen ohne sie jetzt direkt zur Geld zu machen.

00:14:52: Aber – und das ist ja das Paradoxe an der Geschichte – dass Management von Aquafax hat als Sie den Heck am neunzwanzigsten Juli endlich bemerkt haben, sofort Ihren eigenen massiven internen toten Winkle erschaffen!

00:15:07: Ja, das haben Sie in der Tat….

00:15:09: Und genau diesen toten Winkel haben dann Führungskräfte genutzt, um sich selbst die Taschen voll zu machen.

00:15:16: Lassen's mal über das sogenannte Project Sparta reden!

00:15:19: Oh ja – Das ist der Moment in dem aus einem technischen Versagen ein richtiges juristisches Beben wird.

00:15:27: Als der Breach Ende Juli entdeckt wurde entschied das Management absolute Geheimheitung zu wahren angeblich, um Panik zu vermeiden während man das Ausmaß der Katastrophe untersucht.

00:15:37: Das ist ja erst einmal nicht unüblich

00:15:39: Nein, aber sie bründeten einen Krisenteam unter dem Decknamen Project Sparta.

00:15:44: Und den beteiligten Mitarbeitern wurde dann erzählt, Sie würden an einem Projekt für einen unbenannten externen Kunden arbeiten der gehackt worden sei.

00:15:53: Das ist doch völlig naiv!

00:15:54: Du kannst doch nicht ein Team von brillanten Software-Engineuren und Datenanalisten anheuern um einen massiven Datendiebstahl zu untersuchen?

00:16:02: Und dann ernsthaft glauben die würden nicht herausfinden wessen Daten das sind?

00:16:06: Ja, das war ein fataler Irrglaube.

00:16:08: Wie ist das denn dann konkret aufgeflogen intern?

00:16:11: Ein perfektes Beispiel dafür ist Sudhakar Redi Bontju.

00:16:15: Das war ein Software-Manager bei Equifax.

00:16:17: Er sollte ein spezielles Portal für diesen ominösen Kunden bauen.

00:16:21: Zuerst wurde ihm gesagt, dass Portal müsse Anfragen von über hundert Millionen Betroffenen aushalten.

00:16:27: Da wird man als ITler doch sofort stutzig oder?

00:16:30: Natürlich!

00:16:31: So viele Unternehmen dieser Größe gibt es gar nicht und der endbildige Beweis kam dann durch eine reine technische Unachtsamkeit.

00:16:39: Was ist passiert?

00:16:40: Er hielt ein Arbeitsdatei für einen Schnittstellen-Tool, eine sogenannte Postman Collection Und der Dateinahme dieser Datei war schlicht und ergreifend FX Databreach.postmancollection

00:16:53: Und Efex ist das offizielle Börsenkürzel von Equifax?

00:16:56: Exakt!

00:16:57: Da wusste er sofort, wir untersuchen hier nicht irgendeinen Kunden – wir untersuchern uns selbst.

00:17:02: Und statt dann so voll zum Compliance-Office zu gehen und zu sagen hey Leute ich weiß Bescheid dachte er sich wahrscheinlich wie kann ich daraus am besten Profit schlagen?

00:17:12: Ganz genau Am ersten September, also fast eine komplette Woche bevor Equifax den Breach der Öffentlichkeit gemeldet hat, kaufte Bontour über einen Konto seiner Frau, sechsunachtzig Put-Optionen auf die Equifox Aktie.

00:17:24: Wahnsinn!

00:17:25: Kurz zur Einordnung für alle, die das vielleicht nicht so oft im Schirm haben – mit einer Put Option erwirbt man das Recht, eine Aktie in der Zukunft zu einem bestimmten heute festgelegten Preis zu verkaufen.

00:17:38: Richtig.

00:17:38: Wenn ich also weiß, dass ein Unternehmen nächste Woche einen massiven Skandal veröffentlichen wird und der Aktienkurs ins Bodenlose stürzt – dann kaufe ich heute Put-Optionen!

00:17:48: Wenn der Kurs dann tatsächlich crasht… ist diese Option plötzlich extrem viel wert?

00:17:53: Genau so funktioniert das.

00:17:55: Es ist quasi eine Finanzwette auf den Untergang des eigenen Arbeitgebers.

00:17:59: Sehr gut zusammengefasst.

00:18:00: Und am siebten September machte Equifakes den Breach dann öffentlich.

00:18:03: Die Akze brach massiv ein und Bonchew verkaufte seine Option.

00:18:07: Er strich über seventy-fünf Tausend US-Solle an purem Profit ein.

00:18:10: Unglaublich!

00:18:11: Ja... Dafür wurde er später vom FBI überführt, zu acht Monaten Hausarist verurteilt und verlor natürlich am Ende alles.

00:18:18: Zu Recht

00:18:19: Und er war ja nur ein Beispiel.

00:18:21: Ein weiteres war der damalige Chief Information Officer der US-Sparte Jung Ying

00:18:27: Der CIO

00:18:28: Der CIO persönlich, der nutzte seine administrativen Zugänge um interne E-Mails zu durchsuchen zog die gleichen Schlüsse und verkaufte dann vorab einfach mal dreizehn Prozent seines gesamten Portfolios an Equifax Aktien.

00:18:43: Das ist ja noch Dreister!

00:18:45: Er ging dafür vier Monate ins Bundesgefängnis.

00:18:47: Das zeigt doch extrem deutlich wie gefährlich solche internen Tarnprojekte sind.

00:18:52: das Management verhängt keine formellen Trading Sperren für die breite Belegschaft Weil sie hier offiziell niemandem sagen wollen, was eigentlich los ist.

00:19:00: Ja das war das Hauptproblem!

00:19:02: Sie lassen ihre Mitarbeiter komplett im Dunkeln und die Mitarbeiter, die es durch ihre eigenen technischen Zugänge dann doch selbst herausfinden, fühlen sich moralisch scheinbar nicht mehr an die Regeln gebunden weil sie offiziell ja nie eingeweiht wurden.

00:19:14: Das ist ein völliges systemisches Versagen der Krisenkommunikation Und genau das hat auch die US-Börsenaufsicht später extrem scharf kritisiert.

00:19:25: Was war deren Fazit?

00:19:27: Die Lektion für Unternehmen hier ist Du kannst in einer echten Krise nicht einfach den Kopf in den Sand stecken und auf Geheimhaltung hoffen.

00:19:33: Wenn es Anzeichen für ein signifikantes Problem gibt, muss sofort ein strenger unternehmensweiter Trading Blackout verhängt werden – auch wenn du dir Belegschaft noch gar nichts sagst.

00:19:43: warum eigentlich?

00:19:44: Weil die Alternative ist das die Gerüchteküche brodelt und Leute anfangen die Situation kriminell auszunutzen!

00:19:50: Ganz genau.

00:19:51: Also fassen wir das mal zusammen Die IT-Architektur is' ein Müllhaufen aus achtzehn Firmenkäufen.

00:19:58: Ein Zertifikat für, na ja, fünfzig Dollar läuft ab und lässt das Sicherheitssystem erblinden.

00:20:04: Externe Angreifer stehlen einhundert vierzig Millionen Identitäten.

00:20:10: Und das eigene Führungspersonal wettet dann auch noch an der Börse gegen das Unternehmen?

00:20:15: Wie zur Hölle sieht am Ende die Rechnung für so ein monumentales Desaster aus?

00:20:20: Die Konsequenzen waren absolut historisch!

00:20:23: Erst einmal rollten dann natürlich Köpfe.

00:20:25: Der CEO Richard Smith, der Chief Information Officer und der Chief Security Officer mussten das Unternehmen relativ schnell verlassen.

00:20:32: War ja zu erwarten!

00:20:33: Dann kam die juristische Welle.

00:20:35: Equifax stand nicht nur vor unzähligen Sammelklagen sondern vor über vierzig Generalstaatanwälten der US-Bundesstaaten.

00:20:42: Dazu kamen die Handelsbehörde FDC und die Verbraucherschutzbehördes CFPB.

00:20:46: eine Armee an Anwelten quasi...

00:20:49: ...und auch die britische Finanzaufsicht schaltete sich ein.

00:20:51: Und das Resultat war dann dieser gigantische Vergleich, über den wir gelesen haben.

00:20:55: Richtig?

00:20:56: Ja!

00:20:56: Das war der größte Datenleckvergleich aller Zeiten.

00:21:00: Equifax verpflichtete sich zu Zahlungen von bis zu siebenhundert Millionen US-Dollar.

00:21:08: Ein riesiger Betrag – ein Großteil davon so zwischen dreihundert und vierhundertundzwanzig Millionen floss in einen Fonds zur Entschädigung der betroffenen Bürger.

00:21:19: Hundertfünfundsiebzig Millionen gingen als direkte Strafe an die Bundesstaaten und nochmal hundert Millionen an das CFPB.

00:21:27: Und technisch mussten sie da auch was ändern?

00:21:29: Absolut!

00:21:31: Sie wurden gerichtlich dazu verdonnert, ihre komplette Sicherheitsarchitektur von Grund auf neu aufzubauen – und sich fortan regelmäßig von unabhängigen Dritten prüfen zu lassen.

00:21:42: Weißt du, was ich aus all diesen Dokumenten und Berichten als die vielleicht größte Erkenntnis mitnehme?

00:21:48: Lass hören….

00:21:49: Es ist dieser abstrakte Begriff der technischen Schulden, von dem IT-Leute immer sprechen.

00:21:54: Wenn ein System wie dieses ACIs aus den Neunzehnhundertsiebzigern stammt und niemals das aktualisiert?

00:22:01: Dann denken Firmen doch oft... naja es läuft ja noch!

00:22:04: Das zu modernisieren kostet nur Geld und bringt uns überhaupt keinen neuen Umsatz.

00:22:08: Und genau diese Denkweise war hier der Sacknagel.

00:22:11: Technische Schulden sind nämlich nicht einfach nur alte Software.

00:22:14: Genau

00:22:15: Es ist eine gigantische, völlig unverbuchte finanzielle Verbindlichkeit.

00:22:27: Und genau

00:22:44: deshalb ist Zeibersicherheit heute einfach kein reines IT-Thema mehr.

00:22:49: Richtig!

00:22:49: Es ist ein reines Governance und Vorstandsthema.

00:22:53: Es reicht einfach nicht, eine E-Mail an vierhundert Leute zu schicken und dann zu beten das jemand was macht.

00:22:59: Man muss Netzwerke segmentieren, Verantwortlichkeiten erzwingen und vor allem kontrollieren.

00:23:05: Vertrauen ist gut – ein auditiertes Systeminventar ist definitiv besser.

00:23:09: Besser hätte man es nicht auf den Punkt bringen können.

00:23:12: Danke für diese tiefe strukturelle Analyse.

00:23:15: Das hat für mich wirklich wahnsinnig viele Puzzleteile zusammengeflügt.

00:23:18: Sehr gerne!

00:23:19: Und danke an dich, dass du bei diesem Deep Dive dabei warst und dich durch die vielen Schichten aus Technik- und Firmenpolitik mit uns durchgearbeitet hast.

00:23:27: Aber bevor wir uns vor heute verabschieden möchte ich dir noch einen Gedanken mitgeben der weit über Equifax hinausgeht.

00:23:33: Jetzt wird's philosophisch.

00:23:34: Ein bisschen, wir haben heute gesehen wie ein einziges Unternehmen auf einen Schlag die tiefsten der Heimnisse von über hundertvierzig Millionen Menschen verloren hat und das sind ja lebenslange statische Daten.

00:23:46: Eine Kreditkartennummer kann man sperren und neu ausstellen, ein Passwort kann man leicht ändern aber dein Geburtsdatum Die Historie deiner Wohnorte Deine Sozialversicherungsnummer.

00:23:55: Diese Daten bleiben ein ganzes Leben lang gleich

00:23:57: Stimmt

00:23:57: Und nach Hex wie diesem bei Equifax liegen diese Daten jetzt endgültig und für immer in den Datenbanken von Kriminellen oder eben fremden Geheimdiensten.

00:24:06: Wenn also all die Fakten, mit denen wir traditionell sagen wir mal am Telefon bei der Bank oder bei Online-Portalen beweisen wer wir sind gar nicht mehr geheim sind.

00:24:15: Bedeutet das nicht dass das gesamte Konzept der wissensbasierten Identitätsprüfung in unserer modernen Welt endgültig tot ist?

00:24:21: Das ist ein extrem spannender Punkt!

00:24:23: Wenn das Wissen von Geheimnissen nicht mehr ausreicht um unsere Identität zu beweisen weil es de facto einfach keine Geheimnisse mehr gibt Wie genau sollen Regierungen und Banken in der Zukunft dann überhaupt noch feststellen, ob wir wirklich diejenigen sind, die wir vorgeben zu sein?

00:24:42: Ein Gedanke zum Grübeln bis zum nächsten Deep Dive.

00:24:46: Macht's gut!