Equifax habe den Cyberangriff am 29. Juli bemerkt und mithilfe einer Firma für Computersicherheit "unverzüglich" reagiert, teilte das in Atlanta im US-Bundesstaat Georgia ansässige Unternehmen mit. Warum es mehr als einen Monat wartete, um den Datenklau öffentlich zu machen, ließ Equifax allerdings offen.

Das Unternehmen ist auf die Auswertung der Finanzdaten von Kunden spezialisiert, die einen Kredit aufnehmen möchten und vermittelt als Wirtschaftsauskunftei Daten von Privatleuten und Unternehmen an Geschäftspartner. Zugleich wirbt Equifax bei Kunden auch explizit mit einem Schutz vor Identitätsdiebstahl.

Doch ausgerechnet ein solcher Diebstahl könnte den bislang unbekannten Hackern mit dem Angriff auf das Unternehmen nun gelungen sein. Equifax zufolge erbeuteten die Cyberkriminellen nicht nur Namen, Adressen, Geburtsdaten und Sozialversicherungsnummern von Kunden aus den Datenbanken des Unternehmens. In einigen Fällen seien den Hackern auch Führerscheinnummern in die Hände gefallen, was einen möglichen Identitätsdiebstahl nach sich ziehen könnte.

Außerdem sind von dem Angriff nach Unternehmensangaben auch die Kreditkartendaten von 209.000 US-Kunden betroffen sowie in 182.000 Fällen Dokumente mit sensiblen Kreditinformationen. Die Hacker hätten eine Sicherheitslücke in einer Website-Anwendung ausgenutzt, um zwischen "Mitte Mai und Juli" Daten zu stehlen, teilte das Unternehmen weiter mit. Equifax arbeitet nach eigenen Angaben mit den Behörden zusammen. In geringerem Ausmaß seien auch Kunden in Kanada und Großbritannien betroffen.

Der IT-Sicherheitsexperte Brian Markus nannte den Cyberangriff "gigantisch". Dass Equifax persönliche Daten seiner Kunden auf einem aktuellen Stand halte, mache den Angriff umso schlimmer, sagte der Chef der Sicherheitsfirma Aries Security. Equifax drohe nun eine massiver Vertrauensverlust.

Dementsprechend zerknirscht äußerte sich Equifax-Chef Richard Smith. Der Vorfall treffe das Unternehmen "ins Herz", erklärte er und bat bei den Kunden um Entschuldigung für die entstandene "Sorge und Enttäuschung". Er kündigte an, die gesamten Sicherheitsmaßnahmen des Unternehmens auf den Prüfstand zu stellen.

Für Irritationen sorgte indes eine Mitteilung der US-Börsenaufsicht, wonach drei hochrangige Equifax-Mitarbeiter Firmenanteile im Wert von 1,8 Millionen Dollar in den Tagen nach der Hackerattacke veräußerten. Ein Unternehmenssprecher sagte der Nachrichtenagentur AFP, zum Zeitpunkt des Aktienverkaufs hätten die Betroffenen "keine Kenntnisse" von dem Cyberangriff gehabt. Nach Bekanntwerden des Angriffs am Donnerstag brachen die Euqifax-Aktien nachbörslich um 13 Prozent ein.

Zuletzt hatte es wiederholt großangelegte Cyberattacken auf Unternehmen gegeben. Im Dezember gab der US-Internetkonzern Yahoo bekannt, dass unbekannte Hacker im Jahr 2013 persönliche Daten von mehr als einer Milliarde Nutzer stahlen. Zuvor hatte das Unternehmen einen Datenklau bei rund 500 Millionen Yahoo-Nutzern öffentlich gemacht.

In Deutschland halten nach einer aktuellen Umfrage im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 87 Prozent der Bevölkerung Sicherheit im Internet für wichtig. Allerdings kennt sich nur weniger als die Hälfte der Befragten persönlich mit dem Thema gut aus.