ICO verhängt 22.179.588 Euro Bußgeld gegen British Airways
Vereinigtes Königreich: Die britische Fluggesellschaft British Airways (BA) wurde mit einem Bußgeld von 20 Mio. britischen Pfund belegt. Ursprünglich kündigte die britische Datenschutzaufsichtsbehörde am 8. Juli 2019 an, British Airways mit einem Bußgeld in Höhe von 183,39 Mio. britischen Pfund bestrafen zu wollen. Der hohe Betrag wurde von der Aufsichtsbehörde damit begründet, dass unzureichende Sicherheitsvorkehrungen im Unternehmen vorherrschten und eine sehr hohe Zahl an Personen von einem dadurch möglichen Hackerangriff betroffen war. Aufgrund der schwierigen wirtschaftlichen Situation durch die COVID-19-Pandemie wurde das Bußgeld deutlich gesenkt.
Die Hacker konnten sich über ein Citrix Gateway Zugang zum Netzwerk verschaffen. Nachdem sie einige Hacker-Tools in die Citrix Umgebung einschleusen konnten, begannen sie damit das Netzwerk auszukundschaften. Dabei fanden sie eine Datei, in der im Klartext der Benutzername und das Passwort eines privilegierten Domain Administrator-Kontos stand. Damit konnten die Angreifer volle Berechtigung auf alle in der Windows Domäne angeschlossenen Computer und Benutzerkonten erlangen. In Folge gelang der Zugang zu mehreren Servern. Darunter war auch ein Server, der durch einen seit dem Jahr 2015 bestehenden Konfigurationsfehler im Klartext Kreditkartendaten in Logdateien schrieb. Zum Zeitpunkt des Zugriffs der Angreifer waren Kreditkartendaten von 108.000 Kreditkarten in den Logdateien gespeichert.
Im Weiteren gelang es den Angreifern, die Webseite der British Airways mit einer Javascript-Datei so zu manipulieren, dass im Zeitraum vom 14. bis 25. August 2018 die Daten der Benutzer zu einem von den Angreifern betriebenen Webserver mit der Adresse BAways.com weitergeleitet wurden.
Durch den Hackerangriff waren neben Kreditkartendaten auch Adressen und Nummern von anderen Zahlkarten von insgesamt 429.612 Kunden und Mitarbeitern betroffen. Nicht ausgeschlossen werden konnte, dass auch auf Benutzernamen und Passwörter von Mitarbeitern, IT-Administratoren und bis zu 612 Executive Club Konten zugegriffen wurde.
Die Angreifer konnten im Zeitraum vom 22. Juni bis 5. September 2018 unbemerkt im Netzwerk von British Airways bewegen. Erst ein Hinweis von einem Dritten sorgte für Gegenmaßnahmen. Der Vorfall wurde am 6. September 2018 der Aufsichtsbehörde mitgeteilt.
Einem Artikel der Financial Times vom 21. Januar 2021 nach bereitet die Anwaltskanzlei PGMBM derzeit eine Sammelklage gegen British Airways vor, der noch bis März 2021 beigetreten werden kann. Betroffene könnten nach Aussage der Rechtsanwälte bis zu 2.000 britische Pfund Schadensersatz bekommen. Mehr als 16.000 Kunden haben sich der Sammelklage bereits angeschlossen. Sollten Die Anwälte Erfolg mit Ihrer Klage haben, könnte das Gerichtsurteil der Fluggesellschaft damit bis zu 32 Mio. britische Pfund kosten. Würden alle Betroffenen sich der Klage anschließen, läge der Streitwert bei ca. 850 Mio. britischen Pfund. .
Veröffentlicht am: 10-10-2019
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.