Passagierdaten gestohlen - British Airways ist enttäuscht

Die Enttäuschung bezieht sich nicht etwa auf das Versagen der eigenen Sicherheitsmaßnahmen. Nein, man ist enttäuscht, dass man dafür zu einer hohen Geldbuße verurteilt wurde. 183,39 Millionen Pfund Sterling hielt das Information Commissioner's Office (ICO) für angemessen. Das sind fast 204 Millionen Euro. Das entspricht 1,5 Prozent des weltweiten Umsatzes der British Airway, oder dem Wert einer neuen einer Boeing 747-400. British Airways bekam 28 Tage Zeit um eine Ermäßigung der Geldbuße zu begründen. Erfreulich ist, die erfolgreiche Zusammenarbeit der europäischen Behörden, trotz des bevorstehenden Brexits.

Wer ist das Information Commissioner's Office (ICO)

Es handelt sich dabei um die vom Information Commissioner (IC) geleitete britische Datenschutzbehörde und entspricht in etwa dem deutschen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die ICO wird seit dem Jahr 2009 von Christopher Graham geleitet. Zuweilen wird die ICO auch liebevoll UK’s Data Watchdog genannt.

Fast 500.000 Menschen betroffen

Die Sicherheitslücke traf nahezu eine halbe Million Menschen. Die ICO fand bei ihren Untersuchungen heraus, dass der Cyberangriff bereits im Juni 2018 begann. Das steht den früheren Aussagen von British

Airways entgegen, dass diese erst Ende August 2018 begannen. UK’s Data Watchdog beschrieb den Angriff als Umleitung des Benutzerverkehrs von der British Airways-Site zu einer betrügerischen Site.

ICO-Ermittlungen mit besorgniserregenden Ergebnissen

Weiter ergaben die ICO-Ermittlungen, dass eine Vielzahl von Informationen abgegriffen wurden, unter anderem Anmeldedaten, Kartennummern, Namen, Adressen und Reiseinformationen. Magecart, eine hoch entwickelte Karten-Skimming-Gruppe, wurde für den Datenverlust verantwortlich gemacht. Es wird angenommen, dass die Gruppe Skripts von Drittanbietern, möglicherweise modifiziertes JavaScript, auf der Website von British Airways ausgenutzt hat, um Zugriff auf das Zahlungssystem der Fluggesellschaft zu erhalten.

Muttergesellschaft war bereits aktiv

Die ICO gab auch bekannt, dass die International Airlines Group (IAG), die Muttergesellschaft der British Airways, gerade mit den Mitarbeitern in Gesprächen war, um die Cybersicherheit an IBM auszulagern, bevor der Hack durchgeführt wurde.

Zusammenarbeit mit Behörden der Europäischen Union

Das ICO fungierte als leitender Ermittler, arbeitete jedoch mit mehreren anderen Regulierungsbehörden der Europäischen Union zusammen. Sie teilte mit, British Airways habe an den Ermittlungen

mitgearbeitet und nun Verbesserungen an der Sicherheit ihres Standortes vorgenommen. Die ICO hat diesen Fall, als federführende Aufsichtsbehörde, im Auftrag anderer Datenschutzbehörden der EU-Mitgliedstaaten untersucht. Es hat auch mit anderen Aufsichtsbehörden zusammengearbeitet. Im Rahmen der sogenannten One-Stop-Shop-Regelung der DSGVO haben die Datenschutzbehörden in der EU, deren Einwohner betroffen sind, auch die Möglichkeit, sich zu den Ergebnissen des ICO zu äußern.

Information Commissioner Elizabeth Denham wird deutlich

Sie erklärte unmissverständlich: “Die persönlichen Daten der Menschen sind genau das - persönlich. Wenn eine Organisation es versäumt, sie vor Verlust, Beschädigung oder Diebstahl zu schützen, ist dies mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar - wenn Sie mit personenbezogenen Daten betraut sind, müssen Sie sich darum kümmern. Diejenigen, die dies nicht tun, werden von meinem Büro überprüft, ob sie geeignete Schritte unternommen haben, um die grundlegenden Datenschutzrechte zu schützen.

Fazit

Unternehmen, insbesondere diejenigen, die sensible Finanzdaten erfassen, müssen sich darüber im Klaren sein, dass sie die Sicherheit ihrer Formulare immer im Auge behalten müssen, vor allem was mit Zahlungsinformationen geschieht, wenn diese von einem Kunden übermittelt und dann weiterverarbeitet werden. An diesem Beispiel mit British Airways wird deutlich, die DSGVO greift. Jeder sollte sie Ernst

nehmen und ihre Absicht verinnerlichen. Es geht darum die personenbezogenen Daten von Menschen wirksam zu schützen. Die personenbezogenen Daten der Menschen sind ein hohes Gut und werden durch die DSGVO wirksam verteidigt.

Resch Datenschutz – Experten für DSGVO/Expertise im Datenschutz

Wenn Sie Fragen zur DSGVO oder allgemein zum Datenschutz haben, rufen Sie an unter 030 885 9770, oder füllen Sie den Fragebogen aus. Sie erhalten dann eine kostenlose erste Einschätzung Ihres Falles.