easyGDPR

We make implementing General Data Protection Regulation Easy

by

British Airways – Hackerangriff

Die britische Datenschutzbehörde ICO plant gegen die Fluggesellschaft British Airways die Rekordstrafe von 183 Millionen britischer Pfund verhängen. Dieser Betrag entspricht ca. 200 Millionen Euro.

Vorgeschichte

Im Zuge eines Angriffes platzierten Cyberkriminelle eigenen JavaScript-Code auf der Buchungsseite von British Airways. Zahlte ein Kunde bzw. eine Kundin die getätigte Bestellung mittels Kreditkarte, so wurden alle eingegebenen Daten nicht nur an britisch Airways gesendet, sondern auch an die Kriminellen. Betroffen waren alle Buchungen vom 21. April 2018 und 29. Juli 2018. Insgesamt sollen ca. eine halbe Millionen Fluggäste betroffen sein. Aufgrund der gestohlenen Daten sind Angreifer in der Lage mit der Kreditkarte jede Art von Kauf bzw. Bestellung zu tätigen.

Entdeckt wurde der Angriff erst im September 2018.

Entscheidung der Behörde

Die britische Datenschutzbehörde hat am 8. Juli 2019 angekündigt, dass das Rekordbußgeld von ca. 204 Millionen Euro gegen das Unternehmen verhängt wird. Das entspricht ca. 1,5% des weltweiten Jahresumsatzes von British Airways.

Begründet wurde die Geldstrafe mit den massiven technischen Mängeln beim Unternehmen sowie dem Umfang der entwendeten Daten. Unter anderem wurden folgende Daten entwendet:

  • Wohnadresse
  • E-Mail Adresse
  • Reisedaten
  • Zugangsdaten für das British Airways Portal
  • Kreditkartennummer
  • Ablaufdatum der Kreditkarte
  • Sicherheitscode (CCV) der Kreditkarte

Aufgrund der Menge der entwendeten Daten ist ein Identitätsdiebstahl leicht möglich, wodurch ein hohes Risiko für die Betroffenen entstanden ist.

Stellungnahme von British Airways

Das Unternehmen hat angekündigt Berufung gegen die Entscheidung einzulegen. Den Informationen von British Airways zu folge wurden die entwendeten Daten nicht missbräuchlich verwendet. Bevor der Bescheid der Datenschutzbehörde rechtsgültig wird, hat das Unternehmen noch das Recht eine Stellungnahme abzugeben.

Aufgrund der Covid-19 Pandemie wurde das Bußgeld von ca. 200 Mio Euro auf 22 Mio Euro gesenkt.

Entscheidungsdatum:
16.10.2020

Land:
Großbritannien

Art des Verstoßes:
Datendiebstahl

Betroffene Datensätze:
500000

Waren sensible Daten betroffen?:
Ja

verhängte Geldstrafe:
€ 22,428,000,-

Verstoß gegen DSGVO Paragraph:

32. Sicherheit der Verarbeitung

Quelle:
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/