British Airways, oder vielmehr deren Kunden, sind die jüngsten Opfer eines großen Hackerangriffs, dem sensible persönliche Daten zum Opfer fielen. Daten von rund 380.000 Kreditkarten sollen von der Datenpanne betroffen sein, es sind angeblich nicht nur die Kreditkartennummern, sondern auch die Sicherheitsziffern (CVV) gestohlen worden. Bezeichnend für die aktuelle Situation in punkto Cybersicherheit ist die Medienreaktion auf den Vorgang: Fast keine. Die üblichen Fachdienste berichten Online darüber, ansonsten – Schweigen. Es ist schließlich nur ein Datendiebstahl, passiert ja ständig, sowas. Und warum sollten sich die Kunden auch aufregen? Missbraucht ein Hacker tatsächlich die Kreditkarte, erstattet die Bank den Schaden. Ist billiger und verstört die Kunden nicht.
Früher hätten vermutlich auch die Manager bei BA den Schweiß von der Stirn gewischt und wären ganz leise und vorsichtig zur Tagesordnung übergegangen, damit das Ganze schnell vergessen ist. Doch jetzt gibt es die DSGVO und einige Branchenbeobachter glauben bereits, dass der Vorfall das erste Exempel über die neue Macht des Datenschutzes werden könnte. BA hat die Aufsichtsbehörden – ordnungsgemäß – vom Einbruch unterrichtet, so weit so gut. Doch Fakt bleibt, dass alle Kriterien im Hinblick auf die Verletzung personenbezogener Daten erfüllt sind. Das bedeutet ein hohes Bußgeld, je nachdem wie sehr BA Fahrlässigkeit vorgeworfen werden kann.
Immerhin, die Datenpanne wurde halbwegs früh erkannt. Trotzdem hatten die Angreifer zwischen dem 21. August und dem 5. September Zugriff auf Kundendaten. Jeder, der Flüge oder andere Dienstleistungen von BA einkaufen wollte, war in dieser Zeit betroffen. Die Zahl von 380.000 Datensätzen macht den Hack zu einem der größten Datenvorfälle in der Geschichte der UK. Besonders interessant dürfte die Auseinandersetzung mit den Aufsichtsbehörden aufgrund eines gerade durchgestochenen internen Memos werden. Darin wird die zunehmende Relevanz von Angriffen beklagt und das Outsourcing der Cyber-Sicherheit angekündigt. Ein Outsourcing hat in der Regel zwei Gründe: A) Die eigene Mannschaft schafft kein adäquates Sicherheitslevel, oder, anders gesagt, es fehlen gute Leute und der Wille des Managements, Sicherheit (auch in punkto Ressourcen) ernst zu nehmen oder B) man will gleich sparen.
Beide Varianten dürften der Datenschutzaufsichtsbehörde nicht gefallen. Ja, Sicherheit ist teuer aber mittlerweile nun mal notwendig, wenn man viele Kunden, deren Zahlungsdaten und ein hochgradig online erreichbares Serviceangebot hat. Sparansätze, die dann, nur wenige Wochen später, unter Umständen eine massive Datenpanne verursachen, sind nicht zielführend. Ein weiterer Aspekt wird zurzeit nur unter vorgehaltener Hand diskutiert: War das schon alles? Laufen eventuell noch weitere Angriffe, die nur noch nicht entdeckt wurden? Bis jetzt heißt es, das eine Website und die Server für eine mobile App betroffen waren. Aber die Forensik ist sicherlich noch nicht abgeschlossen und die BA Manager werden im Moment mit angehaltenem Atem die Ergebnisse der Analysen abwarten.
Nach einem der größten Hacks in der Geschichte des United Kingdom herrscht im Moment die Ruhe vor dem Sturm. Überall in Europa blicken CISOs gerade auf British Airways und die Regulierungsbehörden und warten, was passieren wird. Soviel ist schon mal sicher: Business as usual wird es nicht sein.
Das könnte Sie auch interessieren:
NCP-Talk mit Julia - unsere neue Kollegin im Marketing
Erzähl uns ein bisschen von Dir: In meiner beruflichen Laufbahn als Referentin und Projektleiterin konnte ich viele verschiedene Einblicke in die Kundenbetreuung, die Optimierung von Prozessabläufen und das Projektmanagement in verschiedensten Bereichen sammeln. Ich bin ...
Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
