Das britische Informationskommissariat (ICO) hat den Telekom-Anbieter TalkTalk mit einer Strafe in Höhe von 100.000 £ belegt. Grund: Im Jahr 2014 gelangten persönliche Daten von 21.000 Kunden durch einen Hackerangriff an die Öffentlichkeit, weil das Unternehmen seine Kundendaten nicht ausreichend gesichert hatte.
Die Aufsichtsbehörde warf TalkTalk vor, gegen das Datenschutzgesetz verstoßen zu haben. Die umfangreichen Kundendaten waren nicht vor unbefugtem Zugriff durch Mitarbeiter geschützt. Diese konnten unrechtmäßig auf Namen, Adressen, Telefonnummern und Kontodaten zugreifen, die Betrüger später ausnutzten, um Kunden zu täuschen.
Die Untersuchung des ICO ergab, dass Mitarbeiter des Drittanbieters Wipro – der mit TalkTalk bei der Bearbeitung von Netzabdeckungsbeschwerden zusammenarbeitet – die Daten ausgelesen hatten. Drei Wipro-Konten hatten Daten abgeschöpft, obwohl insgesamt 40 Mitarbeiter Zugriff hatten.
„TalkTalk könnte sich hier als Opfer sehen“, sagte Informationskommissarin Elizabeth Denham. „Doch die wahren Opfer sind die 21.000 Betroffenen, deren Daten durch bösartige Handlungen wenigererer Personen missbraucht wurden. TalkTalk hätte es besser wissen und die Kunden priorisieren müssen.“
Siehe verwandt: Zwei Drittel der Londoner Stadträte haben Datenschutzverletzungen erlitten
Das ICO bilanzierte: TalkTalk verstieß gegen den siebten Grundsatz des Datenschutzgesetzes, da geeignete technische und organisatorische Maßnahmen fehlten, um unbefugten Zugriff zu verhindern – trotz Kenntnis der Vorgaben und ausreichend Zeit zur Behebung.
„Dieser Fall zeigt, wie entscheidend es ist, Nutzerinteraktionen mit Netzwerken und Daten genau zu verstehen“, betont Nir Polak, CEO von Exabeam. „Mit Überwachung der Aktivitäten von Mitarbeitern und Dritten hätte TalkTalk den unangemessenen Zugriff frühzeitig erkennen können.“
Mögliche Schutzmaßnahmen: Zugriff auf das Kundendaten-Portal nur von autorisierten Geräten erlauben und Export oder unbefugten Zugriff blockieren.
„Große Unternehmen kamen lange mit laxen Sicherheitsstandards durch“, warnt Jan van Vliet, VP und General Manager EMEA bei Digital Guardian. „Mit der bevorstehenden DSGVO ändert sich das: Strafen von 100.000 £ könnten zu Millionen werden.“
Bild: TalkTalk