Im Jahr 2012 erwarb die Kreditauskunftei Experian ein Unternehmen namens Court Ventures, das Informationen aus öffentlichen Aufzeichnungen sammelt und zusammenführt. Dabei übernahm Experian unwissentlich einen Kunden von Court Ventures, der die Daten anderer Kunden im Dark Web verkauft hatte. In diesem Blog werden die Hintergründe des Einbruchs, die Methoden des Angreifers, der Umgang mit den Daten und die Auswirkungen des Einbruchs auf Experian erläutert. Außerdem werden Lehren für das Risikomanagement von Drittanbietern gezogen, um Einblick in die Sicherheitskontrollen und -praktiken von Drittanbietern zu erhalten.
Hintergrund der Datenpanne
Im März 2012 erwarb Experian Court Ventures, ein Unternehmen, das öffentlich zugängliche Informationen aus 1.400 lokalen und regionalen Datenbanken sammelt und diese dann zu Marketingzwecken weiterverkauft. Nach der Übernahme setzte sich der US-Geheimdienst mit Experian in Verbindung und informierte das Unternehmen darüber, dass die US-Regierung gegen einen Kunden von Court Ventures wegen der Beteiligung an einem Identitätsdiebstahlring ermittelte.
Verwendete Methoden
Hieu Minh Ngo, ein vietnamesischer Hacker, war für den Einbruch verantwortlich. Er gab sich als Privatdetektiv in Singapur aus und gründete eine Scheinfirma, US Info Search. Anschließend erstellte Ngo ein Konto bei Court Ventures, durchsuchte dessen Datenbank für 12 Cent pro Suche nach Kundendaten und stellte die gefundenen Daten zusammen.
Was ist mit den Daten passiert?
Ngo verkaufte die gestohlenen Daten an Hacker auf seinen Dark-Web-Seiten, die den Identitätsdiebstahl unterstützten. Infolgedessen wurden die Identitäten von 1.300 Personen gestohlen. Ngo verdiente mit dem Verkauf der gestohlenen Daten mehr als 2 Millionen Dollar. Im Jahr 2015 wurde Ngo an die USA ausgeliefert und zu 13 Jahren Haft verurteilt.
Wie sich der Einbruch auf Experian auswirkte
Obwohl die Daten von Experian nicht kompromittiert wurden und das Unternehmen jegliche Schuld an der Sicherheitsverletzung abstritt, musste es mit negativen Konsequenzen rechnen. Im Jahr 2013 reichten Opfer von Identitätsdiebstahl infolge von Ngo's Handlungen eine Sammelklage gegen Experian wegen Verstößen gegen den Fair Credit Reporting Act und andere Vorschriften ein. Eine der Behauptungen lautete, Experian habe es versäumt, die Kunden darüber zu informieren, dass ihre Daten kompromittiert worden waren. Das Verfahren wurde im Oktober 2015 eingestellt.
Außerdem ereignete sich die Sicherheitsverletzung weniger als ein Jahr, nachdem der Ausschuss für Handel, Wissenschaft und Verkehr des US-Senats eine Untersuchung darüber eingeleitet hatte, wie die Datenvermittlungsbranche mit Kundeninformationen umgeht. Dieses schlechte Timing verschlimmerte den Imageschaden, den Experian durch die Sicherheitsverletzung erlitt. Im Oktober 2013 weitete der Ausschuss seine Untersuchung aus und befragte Führungskräfte von Experian zu den Kundenüberprüfungspraktiken des Unternehmens und zum Identitätsdiebstahlservice von Ngo. Der Senior Vice President of Government Affairs von Experian räumte öffentlich ein, dass das Unternehmen nicht die erforderliche Due-Diligence-Prüfung durchgeführt hatte, die die Aktivitäten von Ngo hätte aufdecken können.
Was Praktiker im Bereich Risikomanagement für Dritte aus dem Experian-Verstoß lernen können
Es gibt viele Lehren, die Risikomanagement-Experten aus der Sicherheitsverletzung bei Experian ziehen können. Am wichtigsten ist, dass Experian im Rahmen des M&A-Prozesses eine Due-Diligence-Prüfung der internen Kontrollen und Sicherheitsrichtlinien von Court Ventures hätte durchführen sollen, um festzustellen, wie der Zugriff auf Kundendaten durch Dritte ermöglicht wird und inwiefern Experian dadurch Geschäftsrisiken ausgesetzt wird. Dies kann sich jedoch als schwierig erweisen, da in der Regel nur eine begrenzte Sichtbarkeit und ein Mangel an zentralisierten Informationen über die geschäftliche Gesundheit eines Übernahmeziels besteht.
Prevalent bietet eine einzige Dashboard-Ansicht aktueller und historischer Geschäftsinformationen für Anbieter, Lieferanten und andere Drittparteien. Diese Informationen umfassen Finanz-, Marken-, Regulierungs- und Führungsdaten sowie Informationen über rechtliche Maßnahmen, Rechtsstreitigkeiten und mehr. In diesem Anwendungsfall kann Prevalent einen zentralen Überblick über die öffentlichen Aktivitäten von M&A-Zielen bieten. In Kombination mit Cyber-Scans im Dark Web und anderen Tools für die Cybersicherheit hätte dies die Aufmerksamkeit auf mögliche ruchlose Aktivitäten von Court Ventures lenken können.
Unsere Lösung zur Überwachung von Geschäftsrisiken ist Teil der ganzheitlichen Plattform von Prevalent für das Risikomanagement von Drittanbietern, die die Analyse von Bedrohungen von außen mit der Bewertung interner Kontrollen von innen verbindet, um eine vollständige 360-Grad-Ansicht der Risiken von Drittanbietern zu erhalten.
Angesichts der zunehmenden Regulierungsaktivitäten im Bereich der Informationssicherheit, der Empörung der Verbraucher über Datenschutzverletzungen und der wachsenden Komplexität der Unternehmensrisiken werden die rechtlichen und finanziellen Auswirkungen von Datenschutzverletzungen durch Dritte weiter zunehmen. Mit den richtigen Maßnahmen können Fachleute für das Risikomanagement von Drittanbietern dafür sorgen, dass ihre Unternehmen nicht in die Schlagzeilen geraten.
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Sie bei der Bewältigung komplexer Risiken Dritter unterstützen kann, fordern Sie eine Demo unserer TPRM-Plattform an
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
