ICO verhängt 586.972 Euro Bußgeld gegen DSG Retail Ltd

Vereinigtes Königreich: DSG Retail traf laut ICO unzureichende Maßnahmen zum Schutz ihrer Kassensysteme. Dazu zählten Mängel im Basisschutz wie das Fehlen von Patches von Software-Schwachstellen, fehlender Schutz durch eine lokale Firewall, keine Netzwerkisolierung der Kassensysteme, das Ausbleiben regelmäßiger Schwachstellen-Scans und fehlende Systeme zur Sicherheitsüberwachung. In einem Audit nach dem Sicherheitsstandard PCI/DSS durch einen externen Dienstleister sind sowohl die Kassensysteme als auch die Laptops als nicht vertrauenswürdig und nicht konform mit PCI/DSS eingestuft worden.
Hackern ist es aufgrund dieser Mängel im Zeitraum zwischen dem 24. Juli 2017 und dem 25. April 2018 gelungen, 5.390 Kassensysteme der zu DSG gehörenden Ladengeschäfte “Currys PC World” und “Dixon Travel Stores” mit Malware zu infizieren. Vermutliches Einfallstor war eine Windows Server Schwachstelle, für die Microsoft bereits 2014 einen Patch bereitstellte. Die Täter erlangten damit Zugriff auf 5,8 Millionen Zahlungskartendaten sowie auf die Daten von rund 14 Millionen Kunden. In der Folge beschwerten sich 3.303 betroffene Kunden bei der ICO über Betrugsfälle von Zahlungskarten und anderen Fällen von Datenmissbrauch.
Das Bußgeld entspricht dem Höchstmaß nach dem alten Recht von Anwendung der DSGVO. Maßgeblich hierfür war unter anderem, dass bereits in 2018 das zu DSG gehörige “Carphone Warehouse”, ein Tochterunternehmen von “Dixon’s Carphone”, für ähnliche Schwachstellen mit einem Bußgeld in Höhe von 400.000 britischen Pfund bestraft wurde. Sofern DSG bis zum 6. Februar 2020 bezahlt, wird das Bußgeld auf 400.000 britische Pfund reduziert. .

Veröffentlicht am: 09-01-2020

Quelle von dsgvo-portal.de