Ein amerikanischer Casino-Betreiber musste erst ein zweites Sicherheitsunternehmen beauftragen, das dann ein zum Kreditkartenmissbrauch verwendetes Sicherheitsproblem beseitigte. Aus diesem Grund verklagte das Casino nun die erste beauftragte Sicherheitsfirma.
Das zum Kreditkartenmissbrauch verwendete Sicherheitsproblem
Bei dem in Frage stehenden amerikanischen Casino handelt es sich um den Betreiber Affinity Gaming, der die auf Computersicherheit spezialisierte Firma Trustwave nun verklagte. Das Sicherheitsunternehmen hatte ein zum Kreditkartenmissbrauch verwendetes Sicherheitsproblem nicht richtig in den Griff bekommen, so dass es den Angreifern später möglich war, erneut die Kreditkartendaten des Casino-Betreibers anzugreifen.
Im Oktober 2013 wurde Trustwave bereits von Affinity Gaming engagiert, nachdem Missbrauch mit den Kreditkartendaten begangen wurde. Im Januar 2014 vermeldete das Sicherheitsunternehmen, die um Einbruch verwendete Lücke entdeckt und geschlossen zu haben.
Erneuter Kreditkartendaten-Missbrauch
Allerdings kam es später erneut zu einem Missbrauch von Kreditkartendaten, die nachweislich aus den Systemen von Affinity Gaming stammten. Schließlich entschloss sich Affinity Gaming, das Konkurrenzunternehmen Mandiant mit der Problemlösung zu beauftragen. In der Klageschrift heißt es, dass die von Trustwave geleistete Arbeit „woefully inadequate“ gewesen sei, was grob mit „völlig unzulänglich“ übersetzt werden kann.
Einer forensischen Analyse nach sollen die Angreifer sogar im System unterwegs gewesen sein, während Trustwave seine eigene Analyse vorgenommen hatte. Nach Angaben von Mandiant waren die von Trustwave vorgeschlagenen Empfehlungen zum Steigern der Sicherheit sinnlos gewesen, da sie die eigentliche Ursache nicht bekämpft hätten. Außerdem hatte das Unternehmen eingebaute Hintertüren der Angreifer weder erkannt noch beseitigt.