GlobalSign Blog

30 Nov 2018

Wie gut hat British Airways auf die jüngste Datenschutzverletzung reagiert? Eine Fallstudie zur DS-GVO

Im September 2018 gab die führende Airline British Airways bekannt, dass sie Opfer eines Datenlecks geworden ist und dabei Kundendaten verloren gegangen sind. Das Unternehmen erklärte, dass der Diebstahl zwischen 21. August 2018 und 5. September 2018 stattgefunden hat und bis zu 380.000 Transaktionen betroffen sind.

Die Datenschutzverletzung ist aus mehreren Gründen wichtig. Zum einen wegen der Anzahl an betroffenen Personen und die Auswirkungen, die es für diese Personen nach sich zieht, aber auch, weil es sich dabei um das erste große Datenleck seit Einführung der Datenschutzgrundverordnung (DS-GVO) handelt. Die DS-GVO wurde im Mai 2018 eingeführt und bietet Unternehmen einen modernen Rahmenplan, wie sie Daten schützen müssen, welche Rechte Regulierungsbehörden haben und wie hoch die maximalen Strafen ausfallen können.

Wir wollen uns heute ansehen, wie gut BA auf das Datenleck reagiert hat. Ob es sich an die Regeln der DS-GVO gehalten hat, und was das mögliche Resultat sein wird.

Was ist passiert?

Der Vorstandsvorsitzende von BA hat das Datenleck als ‚böswilligen kriminellen Angriff‘ beschrieben. Wie genau die Daten gestohlen wurden, wurde von dem Unternehmen aber nicht veröffentlicht. Bekannt ist, dass Daten über einen Zeitraum von 15 Tagen hinweg bei Buchungen gestohlen wurden. Dabei wurden sowohl persönliche als auch Finanzdaten abgefangen. Passdaten und Reiseinformationen sind jedoch nicht betroffen.

Laut Cybersicherheitsexperten haben Hacker bei dem Angriff eine Version von digitalem Skimming genutzt. Dabei werden Daten kopiert während sie beim Kaufprozesses in das System eingegeben werden.

Welche Änderungen hat die DS-GVO mit sich gebracht?

Natürlich gibt es auch viele Beispiele von hohen Strafzahlungen vor Einführung der DS-GVO. Auch zuvor haben die Behörden Unternehmen hohe Strafzahlungen auferlegt, weil diese Daten nicht ausreichend geschützt haben. Am ähnlichsten der DS-GVO-Bestimmungen kommt vielleicht das Beispiel aus 2016, bei dem die Nachrichtenplattform WhatsApp pro Tag 10.000€ Strafe zahlen musste, weil sie nicht den niederländischen Datenschutzmechanismen entsprochen hat.

Letztendlich wurde die DS-GVO eingeführt, um Regulierungsbehörden mehr Macht zur Bestrafung von Datenschutzverletzungen zu geben. Der maximale Betrag, mit dem ein Unternehmen nach einer Datenschutzverletzung abgemahnt werden kann, wurde dabei mit der Einführung der DS-GVO erhöht. Es ist außerdem nun auch deutlich einfacher diese Strafen umzusetzen und einzukassieren.

Hat sich BA richtig verhalten?

Um zu verstehen welches Bußgeld und welche weiteren Strafmaßnahmen auf BA zukommen können, muss festgestellt werden ob das Unternehmen sich an die Regeln der DS-GVO gehalten hat. Die DS-GVO schreibt vor, dass Unternehmen ein Datenleck innerhalb von 72 Stunden nach Bekanntwerden melden muss. BA hat den Angriff innerhalb eines Tages nachdem das Datenleck entdeckt wurde gemeldet. Außerdem hat es spezifische Details dazu bekanntgegeben wer betroffen ist und welche Daten kompromittiert wurden.

Aber trotzdem wurde das Unternehmen gehackt und man kann dies so deuten, dass keine ausreichenden Vorsichtsmaßnahmen getroffen wurden, um vertrauliche Kundendaten zu schützen.

Ein Testfall für die DS-GVO?

Das vielleicht Interessanteste an diesem Fall ist, dass es sich dabei um das erste hochrangige Datenleck eines großen Unternehmens seit Beginn der DS-GVO handelt. Viele andere Unternehmen werden die auferlegte Geldstrafe als Beispiel nehmen, was sie im Fall eines ähnlichen Vorfalls zu erwarten haben – ein Testbeispiel der gesetzlichen Bestimmungen und wie sie umgesetzt werden.

Einige vermuten, dass im Fall von BA ein Exempel statuiert wird, um Unternehmen dazu zu bringen Cybersicherheit ernst zu nehmen. Andererseits hat sich BA an die Regeln der DS-GVO gehalten, und seine Kunden informiert. Die Regulierungsbehörden sind verpflichtet sich angemessen und fair zu entscheiden.

In welcher Höhe könnte die Geldstrafe für BA ausfallen?

Theoretisch kann es sein, dass BA eine Strafe von bis zu 20 Mio. € oder 4% des globalen Umsatzes leisten muss – je nachdem welches der beiden höher ist (und im Falle von BA wäre das der globale Umsatz). Aber das Datenleck ist nicht wirklich von großer Dimension oder mit katastrophalen Datenverlusten verbunden. Branchenexperten gehen daher von Bußgeldern zwischen 5 Mio. € und 10 Mio. € aus.

Bisher lag die höchste Geldstrafe des Information Commissioner’s Office (ICO) bei £500.000. Es wird daher interessant ob das Unternehmen eine höhere Strafe erhält. Zusätzlich zu den Bußgeldern kann jeder Betroffene das Unternehmen noch auf Entschädigung verklagen. Letztendlich könnte es also sehr teuer werden.

Über den Autor

Mike James ist ein unabhängiger Autor, Tech-Spezialist und Experte für Cybersicherheit aus Brighton, UK. Seine Arbeiten werden in vielen der führenden Online- und Print-Magazine veröffentlicht und er ist ein hervorragender Autor über Ethical Hacking, Penetrationstests - und wie diese Technologien bei Unternehmen aller Formen und Größen implementiert werden können. Mike schreibt auch über seltsame Diät- und Trainingsprogramme, wenn er nicht über technische Themen schreibt!

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen