ICO verhängt 590.821 Euro Bußgeld gegen Cathay Pacific Airways Limited
Vereinigtes Königreich: Zwei unterschiedlichen Hackergruppen gelang es im Zeitraum vom 15. Oktober 2014 bis zum 11. Mai 2018, sich Zugang zu vier IT-Systemen von Cathay Pacific zu verschaffen und unautorisiert auf Daten von etwa 9,4 Mio. Personen zuzugreifen. Darunter waren Namen der Flugpassagiere und deren die Historie von Flugreisen, Geburtsdaten, Telefonnummern, E-Mail-Adressen sowie Nummern von Personalausweisen und Reisepässen. Am 13. März 2018 bemerkte Cathay Pacific einen Brute-Force-Angriff auf die Benutzerkonten deren MS Active Directory Verzeichnisdienstes. Eine darauf folgende Untersuchung durch ein externes IT-Sicherheitsunternehmen deckte die langjährig laufenden Hackerangriffe auf.
An Cathay Pacific wurden 12.000 Beschwerden aufgrund der Datenpanne gerichtet. Die britische Datenschutzaufsichtsbehörde ICO erhielt zwei Beschwerden. Das Unternehmen meldete die Datenpanne dem ICO erst am 25. Oktober 2018.
Die Aufsichtsbehörde stellt mehrere schwerwiegende Mängel bei den technischen und organisatorischen Maßnahmen fest:
Die Datensicherungen der Datenbanken waren unverschlüsselt, obwohl die Sicherheitsrichtlinien des Unternehmens das vorsahen. Mit Hilfe der Verschlüsselung hätten die Angreifer keinen Zugriff auf die personenbezogenen Daten gehabt.
Einem Server, der über das Internet erreichbar war und laut Untersuchungen als Einstiegspunkt für eine der Hackergruppen diente, fehlten Sicherheitspatches für öffentliche bekannte Schwachstellen. Zum Zeitpunkt der Untersuchung war der Patch für eine schwerwiegende Schwachstelle mehr als 10 Jahre verfügbar. Auch andere Systeme waren nur unzureichend mit Sicherheitspatches ausgestattet.
Eines der kompromittierten Systeme lief auf einem Betriebssystem, das vom Hersteller abgekündigt war und für das keine Securitypatches mehr verfügbar waren.
Zudem waren Server nicht gehärtet, teilweise war kein Virenschutz aktiv, eine administrative Oberfläche war ungeschützt über das Internet erreichbar und es fehlte an einer Mehrfaktorauthentifizierung für den VPN-Zugang. Weiterhin wurde eine zu hohe Anzahl an Benutzern mit Zugehörigkeit zur Gruppe der Domain Administratoren im Active Directory, unzureichende Penetrationstests und zu lange Aufbewahrungszeiten für die gespeicherten personenbezogenen Daten bemängelt.
Aufgrund der hohen Anzahl an Betroffenen und dem Ausmaß der Mängel verhängt die Aufsichtsbehörde ein Bußgeld in Höhe von 500.000 GBP, das nach altem Datenschutzrecht das Höchstmaß darstellt. .
Veröffentlicht am: 04-03-2020
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.