Das ICO hat TalkTalk mit einer Geldstrafe von 100.000 £ belegt, weil es im Jahr 2014, als persönliche Daten von 21.000 Kunden an die Öffentlichkeit gelangten, Verbraucherdaten nicht vor Hackern schützte.
Die Aufsichtsbehörde sagte, TalkTalk habe gegen das Datenschutzgesetz verstoßen, weil es die riesigen Datenmengen, die es über seine Kunden gespeichert habe, nicht vor dem Personal schützte. Mitarbeiter konnten unrechtmäßig auf die Informationen zugreifen, die von Betrügern verwendet wurden, um Kunden unter Verwendung ihrer Namen, Adressen, Telefonnummern und Kontonummern zu betrügen.
Die Untersuchung ergab, dass es tatsächlich Mitarbeiter von Wipro waren, einem Drittunternehmen, das mit TalkTalk zusammenarbeitet, um Beschwerden über die Netzabdeckung zu lösen, die auf die Daten zugreifen und sie auslesen konnten. Das ICO stellte fest, dass drei Wipro-Konten die Daten abgeschöpft hatten, obwohl insgesamt 40 Mitarbeiter Zugriff auf die Informationen hatten.
„TalkTalk könnte sich hier als Opfer betrachten“, sagte Information Commissioner Elizabeth Denham. „Aber die wirklichen Opfer sind die 21.000 Menschen, deren Informationen durch böswillige Handlungen einer kleinen Anzahl von Menschen missbraucht werden konnten. TalkTalk hätte es besser wissen müssen und sie hätten ihre Kunden an die erste Stelle setzen sollen.“
Siehe verwandt Zwei Drittel der Londoner Stadträte haben Datenschutzverletzungen erlitten
Das ICO sagte, die Handlungen von TalkTalk verstießen gegen den siebten Grundsatz des Datenschutzgesetzes, da es nicht über die geeigneten technischen oder betrieblichen Sicherheitsvorkehrungen verfügte, um Mitarbeiter am Zugriff auf vertrauliche Informationen zu hindern. Und das, obwohl sich das Unternehmen der Vorschriften zum Datenschutz bewusst ist und ausreichend Zeit hat, die Fehler zu beheben.
„Dieser Vorfall unterstreicht, warum es für Unternehmen so wichtig ist, genau zu verstehen, wie Benutzer mit dem Netzwerk und den Daten interagieren“, sagt Nir Polak, CEO von Exabeam. „Hätte TalkTalk die Möglichkeit gehabt, die Aktivitäten von Mitarbeitern und Dritten zu überwachen, hätte sein Incident-Response-Team den unangemessenen Zugriff auf Kundendaten erkennen können.“
Zu den Maßnahmen, die TalkTalk hätte ergreifen können, um zu verhindern, dass Mitarbeiter auf die Daten zugreifen, gehörte die Sicherstellung, dass auf das Portal, auf dem die Kundendaten gespeichert waren, nur von autorisierten Geräten aus zugegriffen werden konnte, und das Verhindern, dass jemand über das Portal auf die Informationen zugreift oder sie exportiert.
„Große Unternehmen kommen seit Jahren mit laschen Sicherheitsvorkehrungen davon“, sagte Jan van Vliet, Vice President und General Manager für EMEA von Digital Guardian. „Glücklicherweise sind die Tage für eine solche Selbstgefälligkeit mit der DSGVO, die jetzt am Horizont steht, wirklich gezählt. Diese Unternehmen können damit rechnen, eine Geldstrafe von 100.000 £ für Datenschutzverletzungen gegen eine von Millionen einzutauschen.“
Bild:TalkTalk