Strafe für Carphone Warehouse wegen mangelnden Datenschutz

Strafe für Carphone Warehouse wegen mangelnden Datenschutz

Die Firma Carphone Warehouse ist nach eigenen Angaben der größte unabhängige Wiederverkäufer für Telekommunikationsgeräte (vorwiegend Mobiltelefone in Großbritannien).

Das Unternehmen wurde im Sommer 2015 Opfer einer Cyberattacke, welche laut britischer Datenschutzbehörde aus dem Vietnam erfolgte. Dabei wurde ein EDV-Anlage des Unternehmens gezielt angegriffen. Dieses System enthielt insgesamt 3.348.869 Kunden-Datensätze, welche aus folgenden Informationen bestanden:

• Vor- und Nachname
• Geburtsdatum
• Familienstand
• Aktuelle und frühere Wohnadressen
• Telefonnummer
• E-Mail Adresse

In 389 Datensätzen war zudem das Passwort der Benutzer enthalten. Weiters wurden Transaktionsdetails für den Zeitraum März 2010 bis April 2011 gefunden, diese enthielten insgesamt 18.231 Kreditkarten-Daten, wobei ein Datensatz aus Karteninhaber, Adresse, Ablaufdatum, Kreditkartennummer und Prüfnummer bestand.
Neben diesen Kundendaten wurden auch Mitarbeiterdaten (ca. 1.000 Datensätze) gefunden, diese enthielten folgende Daten:

• Vor- und Nachname
• Postleitzahl
• E-Mail Adresse und Benutzername im Unternehmen
• Geschäftliche und private Telefonnummer
• Kennzeichen des Privatfahrzeugs
• zuständige Firmen-Abteilung und Name des Vorgesetzten

Ablauf des Angriffs

Auf dem System wurden unter anderem auch diverse Firmen-Webseiten gespeichert, darunter eine Homepage mit einer veralteten WordPress-Instanz aus dem Jahr 2009. Die bereits bekannten Schwachstellen wurden genutzt um Zugriff auf die WordPress-Instanz zu gelangen. Die Angreifer installierten mehrere Webshells und konnten dadurch Zugriff auf das darunterliegende System erlangen, weshalb der gesamte Server übernommen werden konnte. Dadurch waren Zugriffe auf das Dateisystem möglich, dort fanden die Angreifer unverschlüsselte Zugangsdaten für diverse Datenbanken, auf welche dann zugegriffen wurde. Daten wurden aus dem System kopiert, die Angreifer griffen große Datenmengen ab, weshalb die Attacke schließlich von Mitarbeitern bemerkt wurde.

Untersuchung durch Datenschutzbehörde

Die Datenschutzbehörde stellte während ihrer Untersuchung fest, dass grundlegende Sicherheitsmaßnahmen nicht umgesetzt waren. Diverse Software war nicht auf dem aktuellen Stand. Weiters war das Passwort des Administrator-Kontos 30-40 Leuten bekannt und war identisch mit jenem von vielen weiteren Systemen. Auch das Fehlenen einer Web Application Firewall (WAF) wurde kritisiert, die laut beigezogener Fachfirma den Angriff mit hoher Wahrscheinlichkeit verhindert hätte.

Neben diesen technischen Mängeln kritisierte die Datenschutzbehörde auch, dass die Speicherung diverser Daten nicht angemessen war. Das Aufheben von Kreditkarten-Daten von fünf Jahre alten Transaktionen ist unzulässig gewesen.

Geldstrafe

Die Datenschutzbehörde verhängte aufgrund der Mängel eine Geldstrafe von £ 400.000,- (ca. € 460.000,-) gegen das Unternehmen. Ausschlaggebend waren die offensichtlichen technischen Mängel, welche den Angriff erst ermöglichten.

Da sich der Vorfall vor Inkrafttreten der DSGVO ereignete war kam das britische Datenschutzgesetz (DPA) zur Anwendung, welches eine Höchststrafe von £ 500.000,- vorsah.

Entscheidungsdatum:
18.01.2019

Land:
Großbritannien

Art des Verstoßes:
Datendiebstahl

Betroffene Datensätze:
3 348 869

Waren sensible Daten betroffen?:
Nein

verhängte Geldstrafe:
€ 460,000,-

Quelle:
Mitteilung der britischen Datenschutzbehörde ICO (englisch)