Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) gab vor einigen Tagen bekannt, dass sie eine Geldstrafe in Höhe von 183 Millionen Pfund für das im Sommer 2018 bekannt gewordene Datenleck gegen die Fluggesellschaft British Airways verhängt. Zur Veranschaulichung: Im Datenskandal um Cambridge Analytica musste Facebook im Jahr 2018 eine halbe Million Pfund Strafe zahlen. In diesem Beitrag möchten wir einen genaueren Blick darauf werfen, was im Fall „British Airways“ schief gelaufen ist, warum die Geldbußen derart verschieden sind und weshalb es immer eine gute Idee ist, das Thema Datenschutz bereits im Voraus zu behandeln.
Datenleck bei British Airways — was lief schief?
Im vergangenen Herbst berichtete British Airways, dass Kriminelle vom 21. August bis zum 5. September Zugriff auf die Daten von unzähligen Nutzern hatten, die Tickets über die Website oder die mobile App des Unternehmens gekauft oder geändert hatten. Die Angreifer konnten dabei Daten von rund 500.000 Kunden stehlen, zu denen Informationen wie Benutzernamen und Passwörter, Namen und Adressen, Bankkartendaten einschließlich CVC-Codes und so weiter zählten.
Die Untersuchung ergab, dass British Airways von der Cybercrime-Gruppe Magecart angegriffen worden war, die dafür bekannt ist, schädliche Skripte in E-Commerce-Websites einzufügen, um auf diese Weise Finanzdaten von Nutzern zu entwenden. Auch der Angriff auf British Airways war hierbei keine Ausnahme – die Kriminellen infizierten die Website des Unternehmens. Nutzer der mobilen App waren in diesem Fall nur betroffen, da die App einige Funktionen direkt von der Website geladen hatte.
DSGVO-Strafe
Obwohl British Airways den Vorfall rechtzeitig meldete und bei den Ermittlungen half, ist von einer Geldstrafe definitiv nicht abzusehen. Gemäß den Bestimmungen der DSGVO muss ein Unternehmen, das die personenbezogenen Daten europäischer Bürger erhebt und verarbeitet, alles tun, um die Sicherheit und den Schutz dieser Daten zu gewährleisten. Den Untersuchungsergebnissen zufolge war die Website des Unternehmens allerdings nicht ausreichend geschützt gewesen. Auch wenn die Fluggsellschaft nach dem Vorfall neue Schutzmaßnahmen implementierte, änderte dies nichts an der Verantwortung des Unternehmens für den Vorfall.
Facebook, bei dem 2018 Daten von rund 87 Millionen Nutzern geleakt worden waren, sah sich in Europa lediglich mit einer Geldstrafe in Höhe von 500.000 Pfund konfrontiert. Gemäß den Anforderungen des Datenschutzgesetzes von 1998 – noch vor der DSGVO – war dies die höchstzulässige Geldstrafe.
Angemessene Sicherheitsmaßnahmen sind kostengünstiger als potenzielle Geldstrafen
Die Geldstrafe, die British Airways für das Datenleck im letzten Jahr möglicherweise droht, ist noch nicht in Stein gemeißelt: Die ICO wird zunächst Anträge anderer europäischer Datenschutzbehörden und von British Airways selbst prüfen. Trotzdem ist der Betrag indikativ. Die Implementierung geeigneter Sicherheitsmaßnahmen und die Verhinderung solcher Vorfälle sind weitaus kostengünstiger. Wenn Sie die personenbezogenen Daten europäischer Nutzer erheben, insbesondere wenn es sich dabei um Informationen wie Bankdaten handelt, empfehlen wir, unverzüglich zu handeln und die notwendigen Sicherheitsmethoden und -maßnahmen zu ergreifen.
Präventive Sicherheit ist besonders für E-Commerce- oder Online-Banking-Dienste wichtig, die besonders darauf achten müssen, ihre Websites vor Online-Skimming-Skripten zu schützen. Unsere Kaspersky Fraud Prevention Plattform beinhaltet eine Lösung namens Automated Fraud Analytics, mit der Sie alle Ereignisse analysieren können, die während einer Nutzersitzung auf einer Webseite auftreten. Die Lösung kann verschiedene Online-Bedrohungen identifizieren; dazu gehören auch schädliche Skriptinjektionen. Weitere Informationen zu dieser Lösung finden Sie im Abschnitt Fraud Prevention auf unserer Unternehmenswebsite.