Leak von Kundendaten: Geldbuße für British Airways

Britische Datenschutzbehörde ICO fordert 183,39 Millionen Pfund

[datensicherheit.de, 11.07.2019] Jürgen Venhorst, „Country Manager DACH“ bei Netwrix, geht in seinem aktuellen Kommentar auf die Forderung nach einer Geldbuße im Zusammenhang mit dem Datenleak bei British Airways ein (ds berichtete im September 2018). Der Fluggesellschaft soll nun laut Medienberichten nach Entscheidung der britischen Datenschutzbehörde ICO eine Geldbuße von 183,39 Millionen Pfund auferlegt werden. Auslöser soll ein Hacker-Angriff Mitte 2018 gewesen sein, bei dem persönliche Daten von 500.000 Kunden der Fluggesellschaft geleakt worden sein sollen – darunter sensible Informationen wie Kreditkarten- und Adressdaten.

Bild: Netwrix

Jürgen Venhorst: Unternehmenswerte effektiv vor dem Zugriff unberechtigter Dritter schützen!

Große Unternehmen nicht vor Datenlecks gefeit

„Dieser Vorfall zeigt, dass auch – oder besonders – große Unternehmen nicht vor Datenlecks gefeit sind“, so Venhorst. Organisationen müssten sich deshalb mit der Frage beschäftigen, wie sie ihre Unternehmenswerte effektiv vor dem Zugriff unberechtigter Dritter schützen können.
Bei British Airways hätte ein System zur Zugangskontrolle ein Abwandern vertraulicher Informationen verhindern können – indem verdächtige Zugriffe von außen gemeldet und sofort unterbunden würden, seien Kundendaten und andere digitale Unternehmenswerte bestmöglich geschützt.
Auch wenn British Airways umgehend auf den Vorfall reagiert und betroffene Kunden informiert und entschädigt habe, „handelt es sich um eine schwere Datenschutzverletzung, die weitreichende Folgen für die Opfer hat, sobald die Daten in die Hände von Kriminellen fallen“. Im Zuge der DSGVO könnten solche Verstöße mit Geldbußen in Höhe bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes geahndet werden.

Einhaltung der DSGVO erreichen und nachweisen

Unternehmen könnten mit datenzentrierten Sicherheitsmaßnahmen sicherstellen, solche Vorfälle in Zukunft zu vermeiden. Auch Compliance-Anforderungen innerhalb der Organisation sowie gesetzliche Vorgaben könnten mit Hilfe solcher Lösungen eingehalten werden. Transparenz und Sichtbarkeit von Netzwerk- und Sicherheitssystemen vor Ort oder in der Cloud ermöglichten es, sensible Informationen zu identifizieren und zu klassifizieren. Venhorst: „Die IT-Sicherheitsabteilungen werden hiermit auch entlastet und können sich auf wichtige Aufgaben konzentrieren und die Sicherheit des Unternehmens verbessern.“
Darüber hinaus würden Sicherheitsexperten dabei unterstützt, Bedrohungen rechtzeitig zu erkennen, Datenschutzverletzungen zu vermeiden, das Risikopotenzial zu vermindern und vor allem die Einhaltung der DSGVO zu erreichen und nachzuweisen.
„Eine Lösung zur Datenklassifizierung und Zugriffskontrolle kann folglich dabei helfen, Daten vor unberechtigtem Zugriff zu schützen und Vorfälle wie bei British Airways in Zukunft zu verhindern“, sagt Venhorst.

Weitere Informationen zum Thema:

heise online, 08.07.2019
Datenschutzpanne: British Airways soll etwa 204 Millionen Euro Strafe zahlen

datensicherheit.de, 18.09.2018
Nach British Airways-Hack drohen der Fluggesellschaft DSGVO-Sanktionen / … und die Welt wartet auf einen Windows 0-Day-Patch

datensicherheit.de, 07.09.2018
Hackerattacke auf British Airways: Schnelles Handeln essentiell / Persönliche sowie finanzielle Daten von rund 380.000 Kartenzahlungen sollen von der Datenpanne betroffen sein