ICO verhängt 5.057.878 Euro Bußgeld gegen Interserve Group Limited

Vereinigtes Königreich: Das vorliegende Bußgeld steht mit einer Datenpanne im Zusammenhang, die das Bauunternehmen gem. Art. 33 DSGVO der britischen Datenschutzbehörde ICO gemeldet hatte.
Ein Mitarbeiter von Interserve Group Limited hatte eine Phishing-E-Mail geöffnet, welche eine Zip-Datei mit Malware enhielt. Der Virenscanner des Unternehmens enfernte zwar einen Teil der Schadsoftware, jedoch blieb der Zugriff der Hacker auf den Rechner des Mitarbeiters bestehen. Mit diesem Zugriff wurden weitere Server und Systeme infiziert, die Anti-Virus-Lösung des Unternehmen deinstalliert und die personenbezogenen Daten von bis zu 113.000 Interserve-Beschäftigten kompromittiert. Dazu gehörten neben Namen auch Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen und weitere sensible Daten.
Die Behörde stellte im Rahmen ihrer Untersuchung fest fest, dass das Unternehmen es versäumt hatte, technische und organisatorische Maßnahmen zu implementieren, die ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau gewährleisten. So hatte der Bußgeldempfänger ein veraltetes und unsicheres Betriebssystem auf seinen Servern verwendet, der Virenschutz war nicht aktuell, es waren keine Schwachstellentests durchgeführt worden, der erwähnte Mitarbeiter hatte keine Datenschutzschulung erhalten und neben den veralteten Sicherheitsprotokollen war auch die Meldung des Virenscanners nicht weiter untersucht worden.
Bei der Bemessung der Bußgeldhöhe wurde mildernd berücksichtigt, dass das Unternehmen umfassend mit der ICO kooperiert und nach dem Vorfall erhebliche finanzielle Investitionen zur Verbesserung seiner Sicherheitsmaßnahmen getätigt hatte. .

Veröffentlicht am: 24-10-2022

Quelle von dsgvo-portal.de