FTC verhängt 849.473 Euro Bußgeld gegen Pearson plc
Vereinigte Staaten von Amerika: Das von der US-amerikanischen Börsenaufsichtsbehörde United States Securities and Exchange Commission (SEC) gegen das britische, im Bildungssektor tätige Verlags- und Dienstleistungsunternehmen verhängte Bußgeld steht mit einer Datenpanne im Zusammenhang, die sich bei Pearson im Jahre 2018 ereignet hatte.
Pearson bietet Dienstleistungen zur Bewertung der akademischen Performance von Schülern und Studenten an, welche in den USA von einer Vielzahl an Schulen, Bezirken und Universitäten in Anspruch genommen werden. Im Jahre 2018 hatten chinesische Hacker in großem Umfang Daten von 13.000 Kundenkonten gestohlen. Für ihren Angriff nutzten die Cyber-Kriminellen eine Schwachstelle in der webbasierten Software AIMSweb1.0, welche von Pearson für die Erfassung akademischer Leistungen verwendet wurde. Die Software nutzte zur Verschlüsselung von Anmeldedaten einen veralteten Algorithmus, der von den Angreifern leicht überwunden werden konnte. Betroffen waren zum einen die Nutzernamen und Passwörter sämtlicher Mitarbeiter der Einrichtungen. Zum anderen schöpften die Hacker Aufzeichnungen mit 11.5 Millionen Reihen Schülerdaten ab. Neben den Namen enthielt die Hälfte davon auch die Geburtsdaten und 290.000 Reihen zudem die E-Mail-Adressen der Schüler.
Am 19. Juli 2019 hatte Pearson Kunden, die vom Hack betroffen waren, über den Vorfall informiert, dabei allerdings nicht mitgeteilt, dass auch die Anmeldedaten der Administratorenaccounts der Einrichtungen betroffen waren. Entsprechend blieben diese auch nach der Information durch das Unternehmen erheblichem Risiko ausgesetzt. Des Weiteren gab Pearson bei seinem Zwischenbericht für die erste Jahreshälfte an die SEC zwar an, dass es mit dem Risiko eines Datenschutzvorfalls konfrontiert sein könnte, verständigte die Behörde jedoch nicht über die besagte Datenpanne. Auch die Öffentlichkeit hatte das Unternehmen erst über den Cyber-Angriff aufgeklärt, als es diesbezüglich schon von Medien kontaktiert wurde. In der dafür herausgegebenen Pressemitteilung vom 31. Juli 2019 wurde die Schwere des Vorfalls ebenso heruntergespielt und die IT-Sicherheitsinfrastruktur des Unternehmens überhöht.
Pearson erklärte sich im Laufe der Ermittlungen zu einem zivilgerichtlichen Vergleich von 1.000.000 USD bereit, den die SEC akzeptierte. .
Veröffentlicht am: 17-08-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.