Die Attacke sei von Mitte Mai bis Juli erfolgt, teilte der Finanzdienstleister mit. In mehr als 200 000 Fällen seien Kreditkarten-Nummern betroffen und zum Teil auch die Führerschein-Daten – die in Amerika ebenfalls zur Identifikation dienen. Diese Dokumente können relativ schnell ausgetauscht werden – die Sozialversicherungsnummer dagegen begleitet einen Amerikaner üblicherweise durch sein gesamtes Leben.

Der Vorfall sei am 29. Juli bei einer internen Untersuchung festgestellt, die Sicherheitslücke danach sofort geschlossen worden, erklärte die Firma. Auffällig ist, dass Equifax im Gegensatz zu anderen ähnlichen Fällen keine Angaben dazu machte, ob die Daten durch Verschlüsselung geschützt waren. Unklar blieb auch, wie genau die Angreifer ins System gelangten und ob sie an die Gesamtheit der verknüpften Informationen herankommen konnten. Die Daten hätten normalerweise getrennt segmentiert aufbewahrt werden müssen, betonte IT-Sicherheitsexperte Helge Husemann von der Firma Malwarebytes. Das soll dafür sorgen, dass die verschiedenen Informationen nicht kombiniert werden können.

Zugleich warf der Vorfall Fragen auf, weil Finanzchef John Gamble und zwei weitere Top-Manager in den ersten August-Tagen Equifax-Aktien für rund 1,8 Millionen Dollar verkauften. Ein Sprecher sagte dem „Wall Street Journal“, sie hätten nur einen geringen Teil ihrer Anteile abgestoßen und zu dem Zeitpunkt nichts von dem Hacker-Einbruch gewusst. Die Equifax-Aktie fiel am Freitag vorbörslich um rund 13 Prozent. Für sogenannten Insiderhandel, bei dem Aktiengeschäfte auf Basis öffentlich nicht zugänglicher, interner Informationen getätigt werden, gibt es in den USA strenge Strafen.

Auch Kunden in Kanada und Großbritannien seien in geringerem Umfang betroffen, in anderen Ländern aber nicht, teilte Equifax mit. Man habe die Aufsichtsbehörden informiert und externe Spezial­isten mit einer forensischen Prüfung beauftragt. Es sei noch zu früh, die Kosten zu beziffern.

Vorstandschef Richard Smith entschuldigte sich bei den betroffenen Kunden und sprach von einem Schlag, der auf das Herz des Unternehmens gezielt habe. Für Equifax ist der Vorfall besonders unangenehm, weil das Unternehmen selbst Produkte gegen Daten- und Identitätsdiebstahl durch Hacker anbietet.

Es ist indes nicht das erste Mal, dass die Firma im Zusammenhang mit Cyber-Attacken auffällt. Schon 2013 sollen bei Equifax laut Medienberichten Finanzdaten und persönliche Informationen von US-Prominenten entwendet worden sein. Zu den Betroffenen zählten damals auch die damalige First Lady Michelle Obama sowie Ex-Vize-Präsident Joe Biden.

Der Umgang von Equifax mit dem Angriff sorgte für Kritik, die Firma habe sich zu lange Zeit mit der Benachrichtigung der Betroffenen gelassen und zu wenige Informationen öffentlich gemacht. In Europa gilt ab kommendem Mai die neue Datenschutzverordnung, demnach die Behörden binnen 72 Stunden nach Entdeckung eines Cyberangriffs informiert werden müssen. „Eine der Lehren ist, dass Unternehmen jederzeit alles nötige für solche Bekanntmachungen vorhalten müssen“, sagte Carl Leonhard von der IT-Sicherheitsfirma Forcepoint. Aber es sei auch schwierig, sofort das Ausmaß eines Angriffs einzuschätzen.