Check Points Sicherheitsforscher äußern sich zum finanziellen Untergang des Biotech-Unternehmens aus den USA, das seit vielen Jahren auch in Deutschland, Österreich und der Schweiz tätig ist. Aus Sicht der Cybersicherheit gilt nun höchste Vorsicht.
Check Point hat über seine Sicherheitsforscher von Check Point Research (CPR) eine Warnung an alle Kunden von 23andMe herausgegeben. Die Sicherheit der personenbezogenen Daten muss nun Priorität haben – immerhin handelt es sich um sehr sensible Informationen zum eigenen Genom, denn 23andMe bot DNS-Test zu Ahnenforschungszwecken für Privatpersonen an. Das Unternehmen ist weltweit tätig, auch seit vielen Jahren in Deutschland, Österreich und der Schweiz. Am 17. Februar 2024 wurde bekannt, dass 23andMe, nach eigenen Angaben, bereits von 14 Millionen Menschen die DNS-Proben erhalten hat.
Ein aktueller Reuters-Bericht vom 25. März 2025 bringt die Insolvenz mit einem starken Nachfragerückgang und der Rufschädigung von 23andMe durch eine erhebliche Sicherheitslücke im Jahr 2023 in Verbindung. Das Datenleck legte die genetischen Informationen von Millionen von Benutzern offen und das Unternehmen musste im September 2024 deswegen an beinahe 7 Millionen Kunden einen Schadensersatz von 30 Millionen US-Dollar zahlen. Hinzu kam ein schlechter Umgang mit der Datenlücke: Kunden mit chinesischer oder aschkenasisch-jüdischer Abstammung wurden nicht umgehend unterrichtet, dass die Cyber-Kriminellen es vorwiegend auf ihre Daten abgesehen hatten.
Dieser Vorfall unterstreicht, wie wichtig es ist, den Datenschutz als strategische Notwendigkeit und nicht nur als eine zu erfüllende Pflicht zu betrachten – und als Nutzer auf der Hut zu sein. In den USA sind nämlich derzeit solche genetischen Daten weitgehend ungeschützt, denn es fehlen umfassende Bundesgesetze – im Gegensatz zu den herkömmlichen Gesundheitsakten, die unter das HIPAA fallen. Erschwerend kommt hinzu: Die Richtlinien von 23andMe, welche die Übertragung oder den Verkauf von Verbraucherdaten während eines Insolvenzverfahrens erlauben, weisen auf eine beunruhigende Regulierungslücke hin. Die Generalstaatsanwälte der Bundesstaaten von Kalifornien und Connecticut fordern die Verbraucher bereits auf, zu handeln, bevor ihre sensiblen Daten möglicherweise in die falschen Hände geraten.
Allerdings ist im Oktober 2024 bekannt geworden, dass 23andMe davon ausgeht, dass es die DNS-Daten nach einem Löschersuchen noch bis zu drei Jahre vorhalten müsse, aus rechtlichen Gründen.
Tipps für Endnutzer von Diensten von 23andMe
Für diejenigen, welche die Dienste von 23andMe genutzt haben, gibt es hier einige Schritte, die sie sofort unternehmen können, um ihre unveränderlichen genetischen Daten zu schützen:
Prüfung der Datenschutzeinstellungen: Im Benutzerkonto die eigenen Datenschutzeinstellungen prüfen und besonders auf alle Einwilligungen achten, die man für die Forschung oder die Weitergabe von Daten erteilt hat. Zum Beispiel hat 23andMe am 25. Juli 2018 bekanntgegeben, dass die Test-Ergebnisse von 5 Millionen Kunden im Rahmen einer Partnerschaft an den Pharma-Konzern GlaxoSmithKline für rund 300 Millionen US-Dollar übergeben wurden, damit dieser neue Medikamente entwerfen könne.
Die Löschung aller Daten erwägen: Da das Risiko besteht, dass Daten während eines Insolvenzverfahrens verschoben werden, könnte es sinnvoll sein, die Löschung des Kontos zu beantragen und sicherzustellen, dass die Daten dauerhaft entfernt werden.
Herunterladen der Daten: Vor der Löschung des Kontos eine Kopie der genetischen Informationen herunterladen, damit man über eine Aufzeichnung verfügt.
Über Richtlinienänderungen informiert bleiben: Nachrichten von 23andMe und den zuständigen Aufsichtsbehörden verfolgen, da neue Datenschutzrichtlinien erhebliche Auswirkungen auf die Daten haben könnten.
Befolgung der offiziellen Richtlinien: Auf die Empfehlungen der Generalstaatsanwälte achten – insbesondere aus Kalifornien und Connecticut – welche die Verbraucher bereits auffordern, ihre genetischen Daten zu sichern, bevor weitere Änderungen eintreten.
Die missliche Lage von 23andMe sollte ein Weckruf für alle Unternehmen sein, die mit sensiblen personenbezogenen Daten umgehen, sowie für alle Nutzer, die dermaßen sensible Daten preisgeben wollen. Bei der Cybersicherheit geht es nicht nur darum, Sicherheitsverletzungen zu verhindern, sondern auch darum, Systeme zu entwickeln, die den Datenschutz von vornherein integrieren und sicherstellen, dass Verbraucherdaten auch in Krisenzeiten geschützt bleiben.
#CheckPoint
powered by Borlabs Cookie 