VSD Schweiz Logo

Bis zu 40 Millionen Kreditkartendaten und 70 Millionen Kundeninfos erbeuteten Hacker bei der US-Kette Target. Sie dürften Zugangsdaten eines Facility-Dienstleisters genutzt haben.

Im November und Dezember hatten sich Kriminelle über die Kassensysteme der US-Kaufhauskette Target wertvolle Daten beschafft. Sie gelangten an Datensätze von bis zu 40 Millionen Kredit- und Debitkarten sowie bis zu 70 Millionen Kundenkonten. Einfallstor dürfte ein Netzwerkzugang für den technischen Dienstleister Fazio Mechanical Services gewesen sein. Diese regionale Firma installiert Kühlgeräte und kümmert sich um Heizungs- und Lüftungssysteme. Mit Zahlungsabwicklung hat sie nichts am Hut.

Fazio Mechanical besaß einen Fernzugang zum internen Netzwerk Targets. Wie der Security-Blogger Brian Krebs berichtet, sollen die Angreifer diese Zugangsdaten erbeutet und dann für ihre Target-Attacke benutzt haben. Die beiden Unternehmen bestätigen das nicht konkret; sie verwiesen auf die laufenden Ermittlungen.

Doch Ross E. Fazio, Eigentümer und Präsident der Firma, bangt um deren Ruf. Er veröffentlichte am Donnerstag eineStellungnahme (PDF): "Wie Target sind auch wir Opfer einer raffinierten Cyber-Attacke. Wir arbeiten voll mit dem Secret Service und Target zusammen, um die mögliche Ursache für die Sicherheitsverletzung zu identifizieren." Außerdem gehe es darum, die "Sicherheit von Kunden-Auftraggeber-Verbindungen weniger verletzlich" zu machen.

"Unsere Datenverbindung mit Target bestand ausschließlich für elektronische Rechnungslegung, die Übermittlung von Verträgen und für Projektmanagement, und Target ist der einzige Kunde, für den wir diese Prozesse aus der Ferne abwickeln", heißt es weiter. Andere Kunden Fazios seien nicht betroffen.

Regeln für die Abwicklung von Kartenzahlungen

Die vorliegenden Informationen deuten darauf hin, dass Target kein separates Netzwerk für Zahlungsabwicklungen hat. Vielmehr dürfte es ein gemeinsames Netz für Übertragungen aller Art geben. Krebs weist darauf hin, dass der Datensicherheitsstandard der US-Bezahlkartenbranche eine solche Trennung auch nicht verlangt. Allerdings ist darin eine Zwei-Faktor-Authentifizierung vorgeschrieben.

Username und Passwort alleine dürfen zum Zugriff also nicht ausreichen. Derzeit ist nicht bekannt, ob Target diese Auflage eingehalten hat.

Krebs schildert auch, dass die Angreifer die erbeuteten Informationen nicht direkt heruntergeladen haben. Vielmehr haben sie die Daten auf zuvor gehackte Computer in verschiedenen Ländern kopiert und erst von dort heruntergeladen. Flink wie ein Gletscher kommen die Ermittlungen in diesem Bereich voran: "Ermittler sagen, dass die Vereinigten Staaten von Amerika derzeit Rechtshilfe von brasilianischen Behörden erbitten, um Zugriff auf die Target-Daten zu erlangen, die auf einem Server (in Brasilien liegen)", schrieb Krebs am Mittwoch. (Daniel AJ Sokolov) / (js)