In diesen Blogpost betrachten wir Datenlecks und Hacking an den Beispielen Equifax und Sony. Wir werden den Verlauf der Daten nachvollziehen und die Auswirkungen der jeweiligen Hacks umreißen.

Einführung

Hacks und Datensicherheit sind mittlerweile in aller Munde. Ob es um die zugeklebten Kameras an Laptops oder den herumliegenden USB Stick geht, ein wenig Angst vor den mysteriösen Hackern am anderen Ende des Internetanschlusses hat wohl jeder. Doch vor allem Firmen sollten sich vor ihnen in Acht nehmen: Der Verlust der eigenen Firmendaten die bei vielen Unternehmen den Kern des Geschäfts darstellen ist ziemlich unangenehm.

Doch woher kommen diese Daten? Und wie haben Hacker überhaupt eine Möglichkeit an die Daten zu kommen, es versichern uns doch alle Firmen dass unsere Daten sicher seinen.

Was für Auswirkungen hat es außerdem konkret für die Firmen und Privatpersonen deren Daten veröffentlicht wurden?

Im folgenden wollen wir uns um die Fragen zu beantworten mit Hacks bei Firmen und dazugehörigen Datenlecks beschäftigen, im besonderen bei Equifax und Sony. Um die Problematik besser zu verstehen werden wir die Geschichten der Daten rekonstruieren: Wie sie entstanden sind, was die Firmen mit den Daten tun und wie sie sich um ihre Sicherheit kümmern. Anschließend analysieren wir den Verlauf des Hacks und die Veröffentlichung der Daten bis hin zu den Auswirkungen.

Zwar sind die Hacks von Sony und Equifax nicht die größten Hacks (siehe Graph), aber die Geschichte ihrer Daten beleuchtet doch einige interessante Punkte der Datensicherheit. Denn bei Firmen Medien und Privatpersonen waren die Auswirkungen der Hacks durchaus spürbar.

Überblick über die Firmen

Zunächst betrachten wir einmal die Firmen mit denen wir uns im folgenden genauer beschäftigen werden: Equifax und Sony Pictures. Equifax ist eine der drei größten (zusammen mit Experian and TransUnion) Finanzdienstleistungsunternehmen in Amerika, die sich mit der Kreditwürdigkeit von zumeist amerikanischen Personen auseinandersetzt. Dies wird auch Wirtschaftsauskunftei genannt. In Deutschland ist das Äquivalente z.b. die Schufa AG. Sony Pictures ist ein amerikanisches Film- und Fernsehstudio und Distributor, bekannt für die Filme “Men in Black” oder “Spiderman”.

Wie Firmen ihre Daten bekommen und benutzen

Anfangen tun wir mit unserer Recherche bei den Daten. Diese können alles erdenkliche enthalten: Von der Social Security Number oder der Adresse über E-Mails oder Bankauszüge bis hin zu technischen Zeichnungen oder digitale Produkte. Die Social Security Nummer (deutsch: Sozialversicherungsnummer) ist eine Nummer die von dem Staat für jeden Amerikanischer Bürger ausgegeben wird. Diese Nummer wird für viele Identitäts Zwecke benutzt, obwohl sie eigentlich nicht dafür gedacht ist. Deswegen ist sie auch nicht sehr sicher, im Vergleich zum deutschen Personalausweis. Außerdem kann sie schlecht oder gar nicht geändert werden.

(https://techcrunch.com/2017/11/08/are-social-security-numbers-going-away/

http://www.slate.com/articles/technology/future_tense/2015/07/opm_anthem_data_breaches_show_the_insecurity_of_the_social_security_number.html

https://www.theverge.com/2012/9/26/3384416/social-security-numbers-national-ID-identity-theft-nstic)

Zum einem gibt es Equifax, welches eine große Menge an Daten sammelt. Insgesamt hat Equifax die Daten von über 143 Millionen Amerikanern. Equifax hat Daten, welches die Social Security Nummer und Daten über die Kredite einer Person enthalten. Diese Kreditdaten enthalten z.b. wann die Kredite anfingen und evtl. bezahlt wurden, die Zahlungsgeschichte, also wie und wann die Kredite bezahlt wurden und die Höhe der Kredit- und Darlehensbeträge. Weitere Daten die gesammelt wurde sind öffentliche Daten, die oft vom Staat gekauft werden oder auch selber erhoben werden. Hierzu gehören offene Kredite bei den Staaten, Insolvenzen, und Steuerpfändungen. Außerdem werden noch andere Daten, wie z.b. frühere Adressen und Telefonnummer gespeichert.

Die meisten Daten, die nicht öffentlich sind, bekommt Equifax meistens von den Firmen, die die Kredite vergeben. Zu diesen Firmen gehören Kreditkartenunternehmen, Banken, Einzelhändler und Auto- / Hypothekenfinanzierer. Weitere Daten werden auch noch von anderen Firmen, die Datensammlung betreiben, eingekauft.

(https://blog.equifax.com/credit/how-do-credit-reporting-agencies-get-their-information/

https://money.usnews.com/money/personal-finance/banking-and-credit/articles/2017-09-19/what-is-equifax-and-why-does-it-have-my-financial-information)

Bei Sony stammen die Datensätze um die es hier geht aus der Firma selbst. Doch wohl auch weil die Daten Firmeninterna sind enthalten sie brisante Informationen: Von persönlichen Informationen wie Löhne der Mitarbeiter, deren E-Mails, Rechnungen, Verträge, Präsentationen und Dokumente aus dem Management sowie ganze unveröffentlichte Filme.

Doch was machen Firmen wie Equifax und Sony Pictures mit den Daten, die sie haben? Wie werden in ihrem Tagesablauf die Daten benutzt?

Equifax nimmt die Daten und verkauft sie weiter, z.b. an Banken, Kreditkartenunternehmen etc… Diese Firmen benutzen dann diesen Daten, zusammen mit einem Credit-Score, um zu entscheiden ob Personen Kredite bekommen und zu welchem Zinssatz. Der Credit-Score ist eine Zahl, die Equifax berechnet aus all den Daten, den sie haben. Diese Zahl sagt aus, wie gut oder schlecht die Kreditwürdigkeit einer Person ist. Je höher die Zahl, desto besser die Kreditwürdigkeit. Wie genau diese Zahl berechnet wird, ist Firmengeheimnis.

Bei Sony umfassen die Daten das ganze Tagesgeschäft und die Zukunftsplanung, zwei wichtige Grundsteine der Tätigkeiten der Firma lassen sich daraus konstruieren. Außerdem sind unveröffentlichte Filme einiges an Geld wert.

(https://money.usnews.com/money/personal-finance/banking-and-credit/articles/2017-09-19/what-is-equifax-and-why-does-it-have-my-financial-information

https://blog.equifax.com/credit/how-do-credit-reporting-agencies-get-their-information/

http://time.com/money/collection-post/2791957/what-is-my-credit-score/

https://www.experian.com/blogs/ask-experian/credit-education/score-basics/what-is-a-good-credit-score/)

Sicherheitsstandards bei den Firmen

Schauen wir uns jetzt die Sicherheitsstandards innerhalb Firmen am Beispiel von Equifax und Sony Pictures an. Laut einer Studien von “Black Duck’s Center for Open Source Research & Innovation” (COSRI) benutzen bis zu 60% von ihren getesteten Firmen Open Source Code (Quellcode der offen ist und kann von jedem angeschaut und editiert werden) der veraltet ist und eine Vulnerabilität hat. Dies zeigt ein Problem bei Firmen auf, wobei Software oft gar nicht oder nicht sehr oft aktualisiert wird. Software zu aktualisieren ist oft kostspielig und kann auch fehlerhaft verlaufen, besonders wenn neue Versionen nicht mit älteren Code kompatibel ist. Besonders bei großen Firmen ist dass ein Problem, weil oft viel Software benutzt wird und diese auch oft wichtig für das Bestehen der Firma ist. Somit kann und wird Code und Software nicht aktualisiert, und wenn dann nur sehr selten. Durch die Benutzung von veralteter Software auf Seiten von Equifax konnten Hacker hier auch in das System eingreifen und Daten klauen. Die Software heisst Apache Struts und ist eine Open Source Software zur bauen von Webseiten. Dieser Fehler war in einer neueren Version von Struts schon behoben und Equifax wurde auch diesbezüglich gewarnt:

(https://gizmodo.com/report-equifax-warned-of-vulnerability-six-months-befo-1819880735

http://fortune.com/2017/10/26/equifax-ignored-warning-of-breach-says-researcher/)

Allerdings durch die Problem des Softwareaktualisierung, wie vorher beschrieben, hat Equifax den Fehler nicht behoben, sondern einen veraltete und unsichere Version von Struts benutzt, was den Hack ermöglicht hat.

(https://techbeacon.com/why-equifax-breach-should-never-have-happened)

Auch verschiedene Teile des Firmenkonglomerats von Sony, zu den auch Sony Pictures gehört, waren schon von Hacks betroffen (wie z.B. das Playstation Network). Trotzdem schien kein besonders hoher Wert auf Datensicherheit gelegt worden zu sein bei Sony. Veraltete Software war wie bei Equifax vorhanden, außerdem waren alle Firmenrechner in einem großem Netzwerk zusammengeschaltet. Innerhalb des Netzes waren jedoch keine Sicherheitsmaßnahmen mehr. Das heißt der Zugriff auf die Daten der Firmenrechner ist recht einfach sobald man erfolgreich in das Firmennetzwerk eingedrungen ist. Sogar Sony selbst wusste nicht genau welche Geräte alle zum Netzwerk gehören und lies über 100 Netzwerkkomponenten unbeobachtet. Außerdem wurden E-Mails für lange Zeit und nicht verschlüsselt aufbewahrt und administrator Passwörter wurden im Klartext in Dokumenten abgelegt.

Die Hacker welche sich Guardians of Peace (GOP) nennen, wobei nicht klar ist genau von wem der Hack ausging, drangen in das Netzwerk von Sony mit Hilfe einer Malware welche über einen längeren Zeitraum das ganze Netzwerk auskundschaftete und Daten zurück an die Hacker übermittelte. Dies passierte komplett unbemerkt von Sony. Im finalen Stadium des Hacks löschten die Hacker die Festplatten von etwa der Hälfte der Rechner und Server von Sony und stoppten damit kurzfristig den Firmenbetrieb.

(http://fortune.com/sony-hack-part-two/

https://arstechnica.com/information-technology/2014/12/malware-believed-to-hit-sony-studio-contained-a-cocktail-of-badness)

Auswirkung der Hacks

Nun haben die Hacker die Daten erbeutet. Doch was tun sie damit? Erpressung wird oft versucht, doch hier ist es nicht der Fall, sonst hätten wir womöglich nach Zahlung der Firma nie etwas von den Hacks mitbekommen.

Der Hack von Equifax hatte eine besonders große Auswirkung, denn es wurden insgesamt Daten von 143 Millionen Amerikaner gestohlen. Diese Daten enthalten auch die Social Security Nummer, die meist nicht geändert werden kann und jetzt von unbekannten benutzt werden kann. Sie kann zum Beispiel dafür benutzt werden um, ohne dass der Besitzer es merkt, neue Krediten und Hypotheken aufzunehmen oder neue Kreditkarten zu bekommen. Das kann dann benutzt werden um die Kreditwürdigkeit eines Geschädigten kaputt zu machen und ihn/sie massive Schulden aufzuladen.

Es gibt allerdings Möglichkeiten, diese Nutzung der Social Security Nummer zu unterbinden. Man kann einen Credit Freeze beantragen, wobei das Anfragen von der Credit Report unterbunden wird. Ein Credit Report ist ein Dokument, welches die Kreditwürdigkeit einer Person beschreibt und enthalten Daten über die Kreditgeschichte dieser Person. Um dann diesen Credit Report noch an bestimmte Menschen zu erlauben, muss man es temporär “Unfreezen” (entsperren) und dann wieder “Refreezen” (wieder sperren) oder, je nach Firma auch einfach es für bestimmte Personen erlauben.

Ein weitere Weg ist der Credit Lock, der ähnlich wie der Credit Freeze ist in dem Sinnen das beide das Credit Report durch andere unterbindet. Der Credit Lock ist auch schneller und weniger aufwendig als der Freeze. Allerdings ist der Lock teurer und nicht so sicher. Credit Freezes unterstehen den Gesetzen der einzelnen Staaten in der USA, wobei der Lock nur zwischen der Person und der Firma ist.

(https://www.consumer.ftc.gov/articles/0497-credit-freeze-faqs

https://www.valuepenguin.com/2017/10/credit-lock-vs-credit-freeze)

Die Daten die die Hacker von Sony kopiert hatten wurden über einen längeren Zeitraum veröffentlicht, anfangend gleichzeitig mit der Löschung der Firmenrechner. Dies sollte wohl bei Sony den größtmöglichen Schaden anrichten und die mediale Aufmerksamkeit lag für über einen Monat stark auf Sony.

Die Daten wurden über Torrents ins Internet gestellt, jeder kann sie per Download herunterladen und weiterverbreiten, ein Abrufen ist auch heute noch möglich.

Anfangs wurden gleich mehrere unveröffentlichte Filme (unter anderem ‘The Interview’) verfügbar gemacht sowie Mitarbeiterdaten verbreitet. (Über 47000 Social Security Nummern, Adressen und Gehaltsabrechnungen waren enthalten) (http://fortune.com/2014/12/20/sony-pictures-entertainment-essay/)

Dann wurden Informationen und Passwörter zu Sonys Firmen Servern veröffentlicht sowie Unternehmensverträge mit Partnerfirmen. Auch finanzielle Dokumente sowie komplette E-Mail Archive von ranghohen Mitarbeitern wurden von den Hackern zur allgemeinen Verfügung gestellt.

Mit diesen Daten lässt sich der gesamte Firmenablauf in den Jahren vor den Hacks nachvollziehen und finanzielle Daten und Verträge sind öffentlich was das Ende von geschäftsbeziehungen bedeuten kann.

(https://www.riskbasedsecurity.com/2014/12/a-breakdown-and-analysis-of-the-december-2014-sony-hack/)

Wie wurde die Informationen über das Thema gesammelt?

Wie genau haben wir den eben beschrieben Weg den die Daten von der Entstehung bis zur Veröffentlichung nachvollziehen können? Hauptsächlich durch das zusammenfügen von verschieden Internetquellen die unter dem Blogpost zu finden sind. Denn es gibt oberflächliche Zeitungsberichte sowie genaue technische Blogs die sich mit einem Teilbereich der Hacks befassen und gemeinsam lässt sich die Geschichte der Daten gut rekonstruieren.

Fazit

In diesem Blogpost haben wir den Datenfluss der Daten verfolgt. Von welche Daten Firmen haben und wie sie sie bekommen, bis hin zu wie die Daten gehackt wurden. Hierbei kann man gut ein Überblick über das Thema der Datensicherheit bei Firmen am Beispiel von Equifax und Sony Pictures bekommen. Die Frage die man sich stellen kann ist, ist Sicherheit überhaupt möglich und wie viel will man dafür investieren? Hier gehen die Meinung auseinander, besonders ob Sicherheit zu einem realistischen Preis möglich ist. Viele Menschen haben die Sicht, dass Sicherheit in Firmen nicht gut genug ist, und die Firmen mehr investieren sollten in die Sicherheit ihrer Daten. Was denken Sie? Sind Ihre Daten bei Firmen wirklich sicher?

George Bellamy

Studium Bachelor Informatik seit 2015

Studium Bachelor Ingenieurwissenschaften 2014-2015

Programmierer Renishaw Plc 2013

Martin Schumann

Programmierer IntraFind Software AG 2016

Studium Bachelor Informatik seit 2014

Studium Bachelor Elektrotechnik 2013- 2014

Hier geht es zum PDF der Seminararbeit zum Blogpost: