TJX-Sicherheitslücke: 80 GB an Kartendaten wurden abgesaugt

29.10.2007
Anlässlich des rekordverdächtigen Datenverlusts beim US-Einzelhändler TJX sind neue Vorwürfe gegen die Security-Verantwortlichen erhoben worden. Sie hätten demnach neun von zwölf vorgeschriebenen Sicherheitskriterien nicht erfüllt.

Die Affäre um gestohlene Kreditkarten beim US-Einzelhandelskonzern TJX wird immer brisanter: Nachdem vergangene Woche die Summe der gestohlenen Datensätze auf über 94 Millionen verdoppelt worden war, sehen sich nun die Verantwortlichen für die Sicherheitslücken mit handfesten Vorwürfen konfrontiert. Indes darf man die Anschuldigungen nicht zu 100 Prozent für bare Münze nehmen, denn die Unterlagen wurden im Rahmen eines Schadensersatzprozesses durch betroffene Finanzdienstleister bei einem Gericht eingereicht.

Demnach soll TJX neun von zwölf Security-Standards nicht erfüllt haben, die von der der Payment Card Industry (PCI) vorgeschrieben sind. Die Vorgaben betreffen etwa die Konfiguration (drahtloser) Netze, eine strikte Trennung der Netze für Kreditkartendaten von den Konzernnetzen sowie die verbotene Speicherung spezifischer Daten. Ein Experte für IT-Forensik, der den Vorfall untersucht hat, entdeckte zudem Fehler beim Patchen sowie beim Management von Log-Files. Bereits vor dem Einbruch soll TJX bekannt gewesen sein, dass die drahtlosen Netze nicht ausreichend geschützt sind. Allerdings seien keine Schritte eingeleitet worden, die Situation zu verändern.

Zudem wurde behauptet, dass insgesamt mehr als 80 GB an Kreditkartendaten illegal an eine Stelle in Kalifornien transferiert wurden. Dies hatte sich von Juli 2005 bis Dezember 2006 hingezogen, als der Einbruch entdeckt worden war. In diesem Zeitraum sei dem Konzern nicht aufgefallen, dass Daten transferiert worden sind, so der Vorwurf. Im Mai 2006 hätten die Einbrecher ein "Traffic-Capture-Programm" im Netz des Konzerns implementiert, mit dem unverschlüsselt übertragene Kreditkartendaten abgegriffen wurden. Außerdem wurde eine Vielzahl von Informationen aus dem "Track 2" der Magnetstreifen kopiert. Unter den Vorgaben der PCI ist die Speicherung dieser Daten explizit nicht zulässig. (ajf)