Die britische Datenschutzbehörde (Information Commissioner’s Office kurz ICO) hat gegen die Fluggesellschaft British Airways (BA) ein Bußgeld in Höhe von 20 Millionen Britische Pfund (rund 22 Millionen Euro) verhängt.
Hintergrund ist ein Cyberangriff aus dem Jahre 2018, bei dem persönliche Daten von über 400.000 BA Kunden und Mitarbeitern betroffen waren. Die Hacker erlangten u.a. Zugriff auf Namen, Adressen und Kreditkarteninformationen inklusive der Sicherheitscodes sowie Nutzernamen und Passwörter. Der Cyberangriff erfolgte stufenweise. So war das Einfallstor wohl eine Lieferkette. Hier wurden Benutzerkonten für Swissport-Mitarbeiter in Trinidad und Tobago kompromittiert was den Angreifern Zugriff auf ein Citrix Remote Access Gateway gab. Im Citrix-System gelang es den Hackern den Benutzernamen und das Passwort eines Administratorkontos zu erlangen. Damit konnten sie auf verschiedene Server zugreifen. Darunter war auch ein Server, der durch einen seit dem Jahr 2015 bestehenden Konfigurationsfehler im Klartext Kreditkartendaten in Logdateien schrieb. Zu guter Letzt kompromittierten die Angreifer die Webseite von BA und leiteten die Zahlungskartendaten der Kunden auf eine schädliche Webseite um (vgl. Bußgeldbescheid des ICO).
BA bemerkte den Cyberangriff erst über zwei Monate nach der ersten Kompromittierung. Die Aufsichtsbehörde ist der Ansicht, dass die dem Angriff zugrunde liegenden Sicherheitslücken früher hätten behoben werden müssen. Gängige Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung, Zugriffsrechte und Tests der Infrastruktur hätten nach Ansicht des ICO einen Angriff verhindern können.
Hohe aber reduzierte Strafe
2019 forderte die Aufsichtsbehörde noch 183 Millionen GBP (204 Millionen Euro) als Strafe. Von dieser Summe nimmt das ICO Abstand und fordert nun die besagten 22 Millionen Euro. Hier dürften verschiedene Faktoren eine Rolle gespielt haben. Zum einen wird davon ausgegangen, dass die Aufsichtsbehörde den Angriff und insbesondere die Schuld von BA anders als noch im vorigen Jahr bewertet (Medienangaben zufolge reduzierte das die Summe um 150 Mio. GBP). Die Aufsichtsbehörde geht in ihrem Bußgeldbescheid von einem Bußgeld in Höhe von 30 Mio. GBP aus. Die Kooperationsbereitschaft der Fluggesellschaft bei der Aufklärung des Falls und die Entschädigung der Kunden werden mildernd berücksichtigt, so dass das Bußgeld um 20% reduziert wird (6 Mio. GBP). Auch die Auswirkungen der Coronapandemie auf das Unternehmen führten zu einer weiteren Reduzierung um 4 Mio. GBP.
29. Oktober 2020 @ 17:24
„Entschädigung der Kunden“? Ein Hinweis wie der Stand hierzu aussieht wäre sehr hilfreich gewesen. Vor dem Hintergrund das dies im Gegensatz zur jetzt ausgesprochenen Strafe deutlich kostspieliger werden dürfte.
27. Oktober 2020 @ 10:58
Politischer Druck, Arbeitsplätze…