• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
easy GDPR - we make compliance with GDPR easy

easyGDPR

We make implementing General Data Protection Regulation Easy

  • Home
  • Leistungen
    • Software
      • Quickcheck
      • easyGDPR lite
      • easyGDPR standard
      • Betroffenenanfragen
      • Sophos
    • IT Security
    • Netzwerk-Check
    • KMU DIGITAL 2.1
    • Beratungen
      • DSGVO
        • Beratung
        • Onlineberatung
      • Cybersecurity
    • Schulung
      • Datenschutz
      • Cybersecurity
  • Partner
    • Bonusprogramm
  • DSGVO
    • DSGVO News
    • FAQ
    • DSGVO Entscheidungen
    • DSGVO Strafen
    • DSGVO Gesetzestext
  • Shop
  • Kontakt
    • Kontakt
    • Anmeldung Schulung
    • Newsletteranmeldung
  • Login
    • Bonuspartner
    • easyGDPR Software
  • Deutsch
  • Englisch

Strafe für Carphone Warehouse wegen mangelnden Datenschutz

24/04/2019 by

Strafe für Carphone Warehouse wegen mangelnden Datenschutz

Die Firma Carphone Warehouse ist nach eigenen Angaben der größte unabhängige Wiederverkäufer für Telekommunikationsgeräte (vorwiegend Mobiltelefone in Großbritannien).

Das Unternehmen wurde im Sommer 2015 Opfer einer Cyberattacke, welche laut britischer Datenschutzbehörde aus dem Vietnam erfolgte. Dabei wurde ein EDV-Anlage des Unternehmens gezielt angegriffen. Dieses System enthielt insgesamt 3.348.869 Kunden-Datensätze, welche aus folgenden Informationen bestanden:

  • Vor- und Nachname
  • Geburtsdatum
  • Familienstand
  • Aktuelle und frühere Wohnadressen
  • Telefonnummer
  • E-Mail Adresse

In 389 Datensätzen war zudem das Passwort der Benutzer enthalten. Weiters wurden Transaktionsdetails für den Zeitraum März 2010 bis April 2011 gefunden, diese enthielten insgesamt 18.231 Kreditkarten-Daten, wobei ein Datensatz aus Karteninhaber, Adresse, Ablaufdatum, Kreditkartennummer und Prüfnummer bestand.
Neben diesen Kundendaten wurden auch Mitarbeiterdaten (ca. 1.000 Datensätze) gefunden, diese enthielten folgende Daten:

  • Vor- und Nachname
  • Postleitzahl
  • E-Mail Adresse und Benutzername im Unternehmen
  • Geschäftliche und private Telefonnummer
  • Kennzeichen des Privatfahrzeugs
  • zuständige Firmen-Abteilung und Name des Vorgesetzten

Ablauf des Angriffs

Auf dem System wurden unter anderem auch diverse Firmen-Webseiten gespeichert, darunter eine Homepage mit einer veralteten WordPress-Instanz aus dem Jahr 2009. Die bereits bekannten Schwachstellen wurden genutzt um Zugriff auf die WordPress-Instanz zu gelangen. Die Angreifer installierten mehrere Webshells und konnten dadurch Zugriff auf das darunterliegende System erlangen, weshalb der gesamte Server übernommen werden konnte. Dadurch waren Zugriffe auf das Dateisystem möglich, dort fanden die Angreifer unverschlüsselte Zugangsdaten für diverse Datenbanken, auf welche dann zugegriffen wurde. Daten wurden aus dem System kopiert, die Angreifer griffen große Datenmengen ab, weshalb die Attacke schließlich von Mitarbeitern bemerkt wurde.

Untersuchung durch Datenschutzbehörde

Die Datenschutzbehörde stellte während ihrer Untersuchung fest, dass grundlegende Sicherheitsmaßnahmen nicht umgesetzt waren. Diverse Software war nicht auf dem aktuellen Stand. Weiters war das Passwort des Administrator-Kontos 30-40 Leuten bekannt und war identisch mit jenem von vielen weiteren Systemen. Auch das Fehlenen einer Web Application Firewall (WAF) wurde kritisiert, die laut beigezogener Fachfirma den Angriff mit hoher Wahrscheinlichkeit verhindert hätte.

Neben diesen technischen Mängeln kritisierte die Datenschutzbehörde auch, dass die Speicherung diverser Daten nicht angemessen war. Das Aufheben von Kreditkarten-Daten von fünf Jahre alten Transaktionen ist unzulässig gewesen.

Geldstrafe

Die Datenschutzbehörde verhängte aufgrund der Mängel eine Geldstrafe von £ 400.000,- (ca. € 460.000,-) gegen das Unternehmen. Ausschlaggebend waren die offensichtlichen technischen Mängel, welche den Angriff erst ermöglichten.

Da sich der Vorfall vor Inkrafttreten der DSGVO ereignete war kam das britische Datenschutzgesetz (DPA) zur Anwendung, welches eine Höchststrafe von £ 500.000,- vorsah.

Entscheidungsdatum:
18.01.2019

Land:
Großbritannien

Art des Verstoßes:
Datendiebstahl

Betroffene Datensätze:
3 348 869

Waren sensible Daten betroffen?:
Nein

verhängte Geldstrafe:
€ 460,000,-

Verstoß gegen DSGVO Paragraph:

24. Verantwortung des für die Verarbeitung Verantwortlichen
25. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
32. Sicherheit der Verarbeitung
5. Grundsätze für die Verarbeitung personenbezogener Daten

Quelle:
Mitteilung der britischen Datenschutzbehörde ICO (englisch)

Category iconAllgemein

Primary Sidebar

IT-Security Whitepaper Downloaden
  • Deutsch
  • Englisch
  • Jobangebote
  • Lizenzbedingungen für easyGDPR
  • AGB
  • Impressum
  • Datenschutzerklärung
  • DSGVO Begriffe
  • easyGDPR News
Auf unserer Website verwenden wir Cookies, um Ihnen alle relevanten Informationen anzuzeigen und Ihnen den bestmöglichen Komfort zu bieten. Durch den Klick auf “Alle Akzeptieren" sind Sie mit allen Cookies einverstanden. Unter Einstellungen können Sie auswählen, ob und welche Cookies Sie zulassen möchten.
EinstellungenAlle akzeptieren
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Analytics

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Analytische Cookies helfen uns zu verstehen, wie Sie als Besucher mit der Website interagieren. Aufgrund dessen erhalten wir INformationen wie Anzahl der Besucher, Absprungraten, Quellseiten usw.

Save & Accept