Die berüchtigte Verletzung der Zielsicherheit, die Ende letzten Jahres die finanziellen und persönlichen Informationen von zig Millionen Amerikanern enthüllte, war das Ergebnis des Versagens des Unternehmens, die Routinebetriebs- und Wartungsfunktionen in einem von kritischen Zahlungsfunktionen getrennten Netzwerk zu halten Forscher Brian Krebs, der den Verstoß erstmals im Dezember meldete.
Das Ziel in der vergangenen Woche hat dem Wall Street Journal mitgeteilt, dass die anfängliche Verletzung seines Netzwerks auf Anmeldeinformationen zurückzuführen ist, die einem Drittanbieter gestohlen wurden. Herr Krebs berichtet nun, dass es sich bei dem fraglichen Anbieter um Fazio Mechanical Services handelte, ein in Sharpsburg, PA, ansässiges Unternehmen, das mit Target einen Vertrag über die Installation und Wartung von Kälte- und Klimaanlagen abgeschlossen hatte. Ross Fazio, Präsident von Fazio, bestätigte, dass das Unternehmen im Rahmen der Untersuchung vom US-Geheimdienst besucht wurde, gab jedoch noch keine öffentlichen Erklärungen zu der gemeldeten Beteiligung der seinen Mitarbeitern zugewiesenen Anmeldeinformationen ab.
Fazio-Mitarbeitern wurde der Fernzugriff auf das Netzwerk von Target gewährt, um Parameter wie den Energieverbrauch und die Kühltemperaturen zu überwachen. Da Target das Netzwerk Berichten zufolge nicht segmentieren konnte, bedeutete dies, dass erfahrene Hacker dieselben Remote-Anmeldeinformationen von Drittanbietern für den Zugriff auf die POS-Server des Einzelhändlers verwenden konnten. Die noch unbekannten Hacker nutzten diese Sicherheitsanfälligkeit, um Malware auf die meisten POS-Systeme von Target hochzuladen, die dann die Zahlungs- und persönlichen Daten von bis zu 70 Millionen Kunden erfassten, die zwischen Ende November und Mitte Dezember im Geschäft eingekauft hatten.
Diese Enthüllung hat Zweifel an der Charakterisierung des Ereignisses durch Führungskräfte von Target als raffinierten und unerwarteten Cyberdiebstahl aufkommen lassen. Während die hochgeladene Malware in der Tat recht komplex war und die Mitarbeiter von Fazio die Schuld am Diebstahl von Anmeldeinformationen tragen, bleibt die Tatsache bestehen, dass eine der beiden Bedingungen in Frage gestellt worden wäre, wenn Target Sicherheitsrichtlinien befolgt und sein Netzwerk segmentiert hätte, um die Zahlungsserver isoliert zu halten von Netzwerken, die einen relativ breiten Zugang ermöglichen.
Jody Brazil, Gründer und CTO des Sicherheitsunternehmens FireMon, erklärte gegenüber Computerworld : „Es gibt nichts Besonderes. Target hat sich für den Zugriff von Drittanbietern auf sein Netzwerk entschieden, diesen Zugriff jedoch nicht ordnungsgemäß gesichert. “
Wenn andere Unternehmen nicht aus den Fehlern von Target lernen, können die Verbraucher mit weiteren Verstößen rechnen. Stephen Boyer, CTO und Mitbegründer des Risikomanagement-Unternehmens BitSight, erklärte: „In der heutigen hyper-vernetzten Welt arbeiten Unternehmen mit immer mehr Geschäftspartnern zusammen, die Funktionen wie Zahlungserfassung und -verarbeitung, Fertigung, IT und Personalwesen übernehmen. Hacker finden den schwächsten Zugangspunkt, um Zugang zu sensiblen Informationen zu erhalten, und dieser Punkt liegt häufig im Ökosystem des Opfers. “
Es wurde noch nicht festgestellt, dass Target aufgrund des Verstoßes gegen die PCI-Sicherheitsstandards (Payment Card Industry) verstoßen hat. Einige Analysten sehen jedoch Probleme in der Zukunft des Unternehmens. PCI-Standards werden zwar dringend empfohlen, erfordern jedoch keine Aufteilung der Netzwerke in Zahlungs- und Nichtzahlungsfunktionen. Es bleibt jedoch eine Frage, ob für den Zugriff von Drittanbietern die Zwei-Faktor-Authentifizierung verwendet wurde. Dies ist eine Voraussetzung. Verstöße gegen PCI-Standards können hohe Bußgelder zur Folge haben. Laut Avivah Litan, Analyst bei Gartner, drohen dem Unternehmen Strafen von bis zu 420 Millionen US-Dollar.
Die Regierung hat auch begonnen, auf den Verstoß zu reagieren. Die Obama-Regierung hat diese Woche die Verabschiedung strengerer Gesetze zur Cyber-Sicherheit empfohlen, die sowohl härtere Strafen für Straftäter als auch bundesstaatliche Anforderungen für Unternehmen vorsehen, um Kunden im Falle von Sicherheitsverletzungen zu benachrichtigen und bestimmte Mindestpraktiken in Bezug auf Cyber-Datenschutzrichtlinien einzuhalten.
