Die britische Datenaufsicht hat den Baukonzern Interserve nach einem Cyberangriff, der es Hackern ermöglichte, die persönlichen und finanziellen Informationen von bis zu 113.000 Mitarbeitern zu stehlen, zu einer Geldstrafe von 4,4 Millionen Pfund verurteilt.
Der Angriff ereignete sich, als Interserve ein Outsourcing-Geschäft betrieb und als „strategischer Lieferant für die Regierung mit Kunden einschließlich des Verteidigungsministeriums“ bezeichnet wurde. Bankkontodaten, Sozialversicherungsnummern, ethnische Herkunft, sexuelle Orientierung und Religion gehörten zu den kompromittierten personenbezogenen Daten.
Das Information Commissioner’s Office (ICO) sagte, die Interserve Group habe gegen das Datenschutzgesetz verstoßen, weil das Unternehmen keine geeigneten Maßnahmen ergriffen habe, um den Cyberangriff zu verhindern geschah vor zwei Jahren.
Das System von Interserve konnte eine von einem Mitarbeiter heruntergeladene Phishing-E-Mail nicht stoppen, während eine nachfolgende Antivirus-Warnung nicht ordnungsgemäß untersucht wurde. Der Angriff führte dazu, dass 283 Systeme und 16 Konten kompromittiert, das Antivirensystem von Interserve deinstalliert und alle aktuellen und ehemaligen Mitarbeiterinformationen verschlüsselt wurden.
Das ICO sagte, Interserve verwende veraltete Softwaresysteme und Protokolle, verfüge über einen Mangel an angemessener Mitarbeiterschulung und unzureichende Risikobewertungen.
„Diese Datenschutzverletzung hatte das Potenzial, den Mitarbeitern von Interserve echten Schaden zuzufügen, da sie dadurch der Möglichkeit von Identitätsdiebstahl und Finanzbetrug ausgesetzt waren“, sagte John Edwards, der britische Datenschutzbeauftragte.
„Cyberangreifern die Tür offen zu lassen, ist niemals akzeptabel, insbesondere wenn es um die sensibelsten Informationen von Menschen geht. Das größte Cyber-Risiko, dem Unternehmen ausgesetzt sind, kommt nicht von Hackern außerhalb ihres Unternehmens, sondern von Selbstgefälligkeit innerhalb ihres Unternehmens.“
Das ICO kann eine Höchststrafe von 17,5 Mio. £ oder 4 % des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist. Es kann die Höhe einer Geldbuße herabsetzen, wenn ein Unternehmen mildernde Argumente vorbringen kann.
Das ICO sagte, dass es nach „sorgfältiger Prüfung“ der von Interserve gemachten Angaben entschieden habe, die Höhe der Geldbuße, die die vierthöchste ist, die es jemals verhängt habe, nicht zu reduzieren.
Edwards kommentierte die Höhe der Geldbuße wie folgt: „Die Absicht ist, Direktoren und Vorsitzende dazu zu bringen, sich aufzurichten und den Vorstandsvorsitzenden Fragen zur Cyber-Vorbereitung zu stellen.“
Edwards, der seine fünfjährige Amtszeit als Kommissar im Januar antrat, sagte, das ICO habe etwa 80 aktive Untersuchungen und eröffnete etwa 500 pro Jahr.
Er sagte, Ransomware-Angriffe, bei denen Hacker Daten an ein Unternehmen zurückgeben, wenn sie bezahlt werden, seien die häufigste Art von Cyber-Angriffen, mit denen sich das ICO befasst habe. Er warnte davor, dass die Zahlung eines Lösegelds die Höhe einer Geldbuße nicht verringern würde, da dies „nicht als angemessener Schritt zum Schutz von Daten angesehen wird“, und fügte hinzu: „Wir werden nicht zugeben, dass die Zahlung eines Lösegelds zur Wiederherstellung von Daten ein mildernder Faktor ist.“
Letzten Monat stellte die Aufsichtsbehörde TikTok eine „Absichtserklärung“ aus, eine Vorstufe zu einer möglichen Geldstrafe, die bis zu 27 Millionen Pfund betragen könnte, weil sie die Privatsphäre von Kindern zwischen 2018 und 2020 nicht geschützt hat.
Im Januar forderten das ICO und das National Cyber Security Centre (NCSC), das Teil des GCHQ ist, britische Unternehmen auf, ihre digitale Sicherheit zu verbessern, da sich die russische Invasion in der Ukraine abzeichnete.