Vor kurzem verhängte das Büro des britischen Informationskommissars eine Geldstrafe gegen Yahoo wegen Nichteinhaltung des Datenschutzgesetzes von 1998. Der Grund war das Durchsickern personenbezogener Daten von 500.000 britischen Bürgern, das 2014 auftrat. Wir sprechen über diese Situation.
/ Flickr / Lagerkatalog / CC BYWie ist es passiert?
Im Jahr 2014 haben Angreifer Yahoo-Server gehackt und die Anmeldeinformationen von einer halben Million Benutzern gestohlen, darunter Telefonnummern, Geburtsdaten, Kennwörter, Fragen zur Kontowiederherstellung und Antworten darauf. Der Diebstahl wurde
bekannt, nachdem eine Person unter dem Spitznamen Peace, bekannt für das "Dumping" der Daten von Nutzern von Myspace und LinkedIn, begann, Yahoo Base für nur 3 Bitcoins offen zu verkaufen. Die Anzeige erschien 2016 auf Darknet, aber der Angreifer sagte, er habe bereits 2012 einen Teil der Daten gestohlen und sie zuvor im Geheimen verkauft.
Während der Untersuchung, an der auch das FBI
beteiligt war ,
stellte sich heraus, dass Yahoo unmittelbar nach dem Vorfall (Ende 2014) von dem Hack erfahren hatte, es jedoch
vorzog, bis September 2016 zu schweigen. Nach der neuen Verordnung (DSGVO) können Organisationen dies nicht mehr Lecks so lange vor der Öffentlichkeit verstecken. Die Artikel
33 und
34 der neuen Verordnung verpflichten Unternehmen, Aufsichtsbehörden und PD-Eigentümer innerhalb von 72 Stunden nach Feststellung eines Lecks zu benachrichtigen. Bei Nichteinhaltung dieser Regel sieht die DSGVO Bußgelder in Höhe von mehreren Millionen Dollar vor (Artikel
83 Absatz 4).
In den USA verkürzten sie auch die Meldefrist.
In Colorado müssen beispielsweise im September dieses Jahres alle Organisationen innerhalb von 30 Tagen ein Datenleck melden (die kürzeste Zeit in allen Bundesstaaten). Im Jahr 2017 haben weitere 8 Staaten die Richtlinien zur Benachrichtigung über Datenlecks aktualisiert. Im Durchschnitt (in den USA) beträgt die Benachrichtigungsfrist für Datenlecks 45 Tage.
Im Fall von Yahoo wird dem Unternehmen vorgeworfen,:
- konnte die Sicherheit der Daten nicht gewährleisten 515 121 Benutzer;
- den PD-Verarbeitungsprozess nicht in Übereinstimmung mit den Vorschriften gebracht hat;
- Lange Zeit wurden keine "Löcher" und Leckagen festgestellt.
Infolgedessen entschied das Büro des britischen Informationskommissars für Informationen, dass Yahoo gegen die siebte Regel des ersten Teils der Datenschutzbehörde von 1998 verstößt, in der es heißt, „geeignete technische und organisatorische Maßnahmen zu ergreifen, um die unbefugte oder illegale Verarbeitung personenbezogener Daten sowie deren versehentlichen Verlust, Beschädigung und Löschung zu verhindern ". Gemäß Abschnitt 55A der Datenschutzbehörde von 1998 beträgt die in einem solchen Fall zu zahlende Höchststrafe 500.000 Pfund. Trotz der Tatsache, dass das Amt mildernde Umstände berücksichtigt hat (siehe Seite 12 in Randnummer 44 des Yahoo-
Urteils , unter denen der Kommissar die Komplexität des Cyberangriffs, die Bereitschaft des Unternehmens zur Zusammenarbeit mit Regierungsbeamten und anderen hervorhob), gibt es keinen Ausweg aus der Geldbuße des Unternehmens.
Ähnliche Fälle
Ein ähnlicher Fall
ereignete sich bei der britischen Firma TalkTalk, die im Oktober 2015 gehackt wurde. Angreifer erhielten Zugriff auf die persönlichen Daten von 150.000 Kunden des Anbieters, einschließlich der vertraulichen Finanzdaten von 15.000 Personen.
Die Kriminellen entschieden sich für die Implementierung von SQL-Code als Hacking-Methode, und ein Vertreter des Amtes
stellte fest, dass Methoden zum Schutz vor Angriffen dieser Art seit langem entwickelt wurden. Darüber hinaus erhielt TalkTalk vor dem großen "Abfluss" zwei "Warnungen" - Angriffe im Juli und September 2015, bei denen eine ähnliche Sicherheitsanfälligkeit ausgenutzt wurde. Aus diesem Grund war das Büro der
Ansicht, dass TalkTalk „den Angriff hätte verhindern können, wenn grundlegende Schritte zum Schutz der Kundendaten unternommen worden wären“, und verhängte gegen das Unternehmen eine Geldstrafe von 400.000 GBP.
Der Einzelhändler Carphone Warehouse mit Hauptsitz in London wurde
mit der gleichen
Geldstrafe belegt . Die Opfer waren 3 Millionen Kunden: Cyberkriminelle erhielten Zugang zu ihren Namen, Adressen, Telefonnummern, Geburtsdaten, Familienstand und Kreditkartenzahlungsverlauf.
Die Ursache für das Datenleck
war veraltete Software. Die Untersuchung ergab auch, dass das Unternehmen keine Standardtests von Sicherheitssystemen durchführte. Wie im Fall von Yahoo betrachtete das Büro des britischen Informationskommissars diese Fahrlässigkeit als schwerwiegenden Verstoß gegen die siebte Datenschutzrichtlinie von 1998 und setzte die Geldbuße für das Carphone Warehouse nahe am Maximum fest.
Was weiter
James Dipple-Johnstone, stellvertretender Kommissar für ICO-Operationen, stellt in einem Blogbeitrag zum Fall Yahoo
fest, dass Menschen Unternehmen ihre Daten anvertrauen, in der Hoffnung, dass ihre persönlichen Daten nicht in die Hände Dritter gelangen . Allerdings nehmen nicht alle Unternehmen den Datenschutz ihrer Kunden ernst. In solchen Situationen sind Vertreter des Gesetzes gezwungen, die Angelegenheit aufzugreifen.
/ Flickr / Willi Heidelbach / CC BYWenn Organisationen nicht in der Lage sind, die personenbezogenen Daten ihrer Kunden angemessen zu schützen, können sie irgendwo außerhalb der EU nach Arbeit suchen, sagte der stellvertretende Kommissar.
Dem Amt ist bekannt, dass Cyber-Angriffe weiterhin auftreten werden und die Methoden von Cyberkriminellen noch ausgefeilter werden, jedoch maximale Anstrengungen von Organisationen erfordern, um die Daten ihrer Kunden zu schützen.
Die britische Informationsschutzkommissarin Elizabeth Denham
betont : „Unternehmen müssen mehr tun, als nur die Tür zu schließen.“ Sie müssen es abschließen und ständig überprüfen. Sie müssen sich auch daran erinnern, dass es sinnlos ist, die Tür zu verschließen und den Schlüssel unter dem Teppich zu lassen. "
PS Was schreiben wir noch auf 1clouds Unternehmensblog: