British Airways: Hacker erbeuten 380.000 Kundendaten – Droht jetzt eine empfindliche Strafe? Ein Kommentar von Markus Kahmen, Regional Director Central Europe von Thycotic:
„British Airways und ihre IT – ein schwieriges Thema: Im Juni 2017 mussten nach einem kompletten Ausfall des Computersystems der Airline die Flüge von 75.000 Passagieren gestrichen werden. Ein paar Wochen zuvor geriet British Airways bereits in die Schlagzeilen, nachdem einige Flüge storniert wurden, die aufgrund eines Software-Fehlers zu billig angeboten wurden.
Und nun das: British Airways hat eine Datenpanne bei allen Buchungen über seine Website und App eingeräumt. Wie die Muttergesellschaft International Airlines Group am Donnerstag mitteilte, seien dabei ganze 380.000 Bank- und Kreditkartenzahlungen betroffen.
Dass so viele Kunden vom Breach betroffen sind, erklärt sich vor allem aus dem relativ langen Zeitraum, in dem die Cyberkriminellen Zugriff auf die sensiblen Daten hatten. Und dies ist der eigentliche Skandal. Rund zwei Wochen, vom 21. August bis zum 5. September, ist die Sicherheitslücke und der der damit verbundene Cyberangriff den Sicherheitssystemen des Unternehmens nicht aufgefallen. Laut den Verantwortlichen seien die Täter zwar auf eine sehr raffinierte und technisch hoch entwickelte Art und Weise vorgegangen, dennoch sollten Konzerne wie BA mit Hilfe innovativer Technologien in der Lage sein, gefährliche Sicherheitslücken und Cyberattacken diesen Ausmaßes zeitnah zu identifizieren und zu stoppen. Immerhin sind die Kundendaten mit das wertvollste Gut eines Unternehmens.
Auch wenn keine Reise- oder Passdaten betroffen sind, so ist dieser Datenschutzverstoß auch in Bezug auf die EU-DSGVO interessant. Hier wird also genau geprüft werden, ob British Airways die Sicherheitsvorschriften und Melde- sowie Dokumentationspflichten der DSGVO sorgfältig eingehalten hat, oder ob eventuell empfindliche Bußgelder auf das Unternehmen warten. Noch lange vor Inkrafttreten der DSGVO wurde im Jahr 2015 in einem ähnlichen Fall der UK-Telekommunikationsdienstleister TalkTalk vom britischen Information Commissioner‘s Office (ICO) wegen eines Sicherheitslecks und dem Diebstahl von „nur“ 150.000 personenbezogenen Daten immerhin bereits zu einer Geldstrafe von 400.000 Pfund verurteilt.
#Netzpalaver #Thycotic
