Target-Einbruch (USA)
Über den gestohlenen Zugang eines Klima-Dienstleisters drangen Angreifer bis zu den Kassensystemen von Target vor.
Der US-Händler Target lässt Heizung und Klima von einem externen Dienstleister betreuen — dieser hat Zugang zu einem Lieferanten-Portal.
In 30 Sekunden
Ende 2013 stahlen Angreifer per Phishing die Zugangsdaten eines Haustechnik-Dienstleisters (Heizung, Lüftung, Klima) des US-Detailhändlers Target. Mit diesem Zugang zum Lieferanten-Portal drangen sie ins Firmennetz ein und arbeiteten sich bis zu den Kassensystemen vor. Dort las Schadsoftware Kartendaten direkt aus dem Arbeitsspeicher — mitten im Weihnachtsgeschäft. Rund 40 Millionen Kartendaten und etwa 70 Millionen Kundendatensätze wurden gestohlen. Der Fall zeigt wie kaum ein anderer, dass der Zugang eines Gebäudetechnik-Dienstleisters zum Einfallstor für das ganze Unternehmen werden kann.
Was geschah
2013
Ziel waren die Kartendaten der Kundschaft des US-Detailhändlers Target — abgegriffen direkt an den Kassensystemen (POS, Point of Sale) von fast 1800 Filialen.
Der Angriffsweg
- Phishing beim Dienstleister: Angreifer schicken Mitarbeitenden des Haustechnik-Dienstleisters Fazio Mechanical Services (Heizung/Lüftung/Klima) eine Schadsoftware-Mail und stehlen dessen Zugangsdaten für Target.
- Anmeldung am Lieferanten-Portal: Mit den gestohlenen Zugangsdaten melden sie sich Mitte November 2013 am Lieferanten-Portal von Target an — ein zweiter Faktor war dort nicht nötig.
- Vordringen ins Firmennetz: Weil Lieferanten-Zugang und internes Netz nicht sauber getrennt waren, arbeiten sich die Angreifer schrittweise bis zu den Kassensystemen vor.
- Schadsoftware auf den Kassen: Auf den Kassensystemen (POS) installieren sie einen sogenannten RAM-Scraper — ein Programm, das Kartendaten im Moment des Bezahlens aus dem Arbeitsspeicher liest.
- Abfluss im Weihnachtsgeschäft: Zwischen dem 27. November und dem 15. Dezember 2013 fliessen rund 40 Millionen Kredit- und Debitkarten-Datensätze ab.
- Entdeckung und Aufräumen: Nach Hinweisen von Ermittlern und Banken entfernt Target die Schadsoftware; später wird bekannt, dass zusätzlich rund 70 Millionen Kundendatensätze betroffen sind.
Auswirkung
Rund 40 Millionen Kredit- und Debitkarten-Datensätze sowie etwa 70 Millionen Kundendatensätze (Namen, Adressen, Kontaktdaten) wurden gestohlen. Banken mussten massenhaft Karten ersetzen, es folgten Klagen und Vergleichszahlungen; die Gesamtkosten für Target gingen in die Hunderte Millionen Dollar. CEO und CIO traten in der Folge zurück — der Fall gilt bis heute als einer der prägendsten Datendiebstähle im Detailhandel.
So schützt du dich
Fakten
- 2013 (Nov.–Dez.)
- Target (US-Detailhändler) und seine Kundschaft
- Zugangsdaten eines HLK-Dienstleisters, per Phishing gestohlen
- RAM-Scraper-Schadsoftware auf den Kassensystemen (POS)
- ~40 Mio. Kartendaten + ~70 Mio. Kundendatensätze
- 27. November bis 15. Dezember 2013
- Rücktritt von CEO und CIO, Kosten in dreistelliger Millionenhöhe
- Drittzugänge strikt trennen und minimal berechtigen
Im Detail
Der Umweg über die Haustechnik
Target liess Heizung, Lüftung und Klima (HLK) teilweise von der externen Firma Fazio Mechanical Services betreuen. Diese hatte dafür Zugang zu einem Lieferanten-Portal von Target, etwa für Rechnungen und Aufträge. Die Angreifer griffen deshalb gar nicht Target direkt an, sondern zuerst den kleinen Dienstleister: Laut Berichten fingen sie mit einer Phishing-Mail samt Schadsoftware dessen Zugangsdaten ab — der bequemste Weg ins Haus führte über den Handwerker.
Vom Portal zu den Kassen
Ein Lieferanten-Portal sollte eigentlich eine Sackgasse sein. Bei Target war das Netz jedoch nicht streng genug getrennt: Vom Portal-Zugang aus konnten sich die Angreifer über Wochen durch das interne Netz bewegen (laterale Bewegung), bis sie die wertvollsten Systeme erreichten — die Kassen. Genau diese fehlende Trennung zwischen «Nebensystemen» und Kerngeschäft machte aus einem kleinen Vorfall eine Katastrophe.
Erntezeit an der Kasse
Auf den Kassensystemen installierten die Angreifer einen RAM-Scraper: Beim Bezahlen liegen die Kartendaten für einen kurzen Moment unverschlüsselt im Arbeitsspeicher der Kasse — genau dort griff die Schadsoftware zu. Der Zeitpunkt war gezielt gewählt: Zwischen Thanksgiving und Mitte Dezember, im dichtesten Weihnachtsgeschäft, kamen so rund 40 Millionen Kartendatensätze zusammen.
Die Entdeckung
Öffentlich wurde der Fall Mitte Dezember 2013 durch den Sicherheitsjournalisten Brian Krebs, nachdem Banken auffällige Kartenbetrugs-Muster bemerkt hatten und Ermittler Target informierten. Laut Berichten hatten interne Sicherheitssysteme von Target durchaus Alarm geschlagen — die Warnungen wurden aber nicht konsequent weiterverfolgt. Technik allein genügt nicht, wenn niemand verbindlich reagieren muss.
Die Folgen
Target musste den Vorfall mitten im wichtigsten Geschäftsquartal öffentlich machen. Es folgten Sammelklagen, Vergleiche mit Banken und US-Bundesstaaten und massive Investitionen in die Sicherheit; die Gesamtkosten erreichten eine dreistellige Millionenhöhe. Anfang 2014 trat zuerst die IT-Chefin (CIO) zurück, wenige Monate später der Konzernchef (CEO) — ein deutliches Signal, dass Cybersicherheit Chefsache ist.
Warum dieser Fall in eine OT-Sammlung gehört
Der Einstieg gelang über einen Dienstleister der Gebäudetechnik — also über die Welt der Anlagen und Haustechnik (OT), nicht über die klassische Büro-IT. Der Fall zeigt die Verbindung in beide Richtungen: Wer OT- und Dienstleister-Zugänge nicht strikt von den Kernsystemen trennt, öffnet Angreifern die Tür. Eigene Netze für Lieferanten, minimale Rechte und Zwei-Faktor-Anmeldung hätten die Kette an mehreren Stellen unterbrochen.
