Die oberste britische Datenschutzbehörde ICO belegte die Firma Dixons Carphone mit einer Strafe von fast 600.000 Euro. Dixons wurde beschuldigt, seine Kundendaten nicht ausreichend geschützt zu haben. Zehn Monate lang waren Dixons Kassensysteme dadurch von Hackern angezapft worden. Insgesamt waren etwa 14 Millionen Kundendaten betroffen.
Die ICO fand heraus, dass nicht näher genannte Cybergauner zwischen Juli 2017 und April 2018 sich Zugang zu den Kassensystemen der Dixons Gesellschaften verschafft hatten. Dabei konnten sie über einen Zeitraum von 10 Monaten unentdeckt arbeiten und hatten Zugriff auf persönliche Informationen von etwa 14 Millionen Dixons-Kunden. Insgesamt waren 5.390 Bezahlpunkte in Dixons Ketten Curries PC World und Dixons Travel beeinträchtigt. Den Hacker war es gelungen, darauf Malware zu installieren, die lange unentdeckt blieb.
Tatsächlich, so ergab die Aufarbeitung des Falls, wurden insgesamt 5.646.417 Kreditkarten gefährdet. Etwa 5.529.349 davon waren Chip- und PIN-Karten. Sie enthielten Angaben wie Kontonummer und das Ablaufdatum der Karte. Weitere 52.788 Karten werden Kunden von anderen Ländern zugeordnet. Außerdem konnten die Hacker noch rund 10 Millionen persönliche Kundendaten herunterladen. Dazu gehören Namen, Adressen, Handy- und Festnetznummern, E-Mail-Adressen, Geburtsdaten sowie weitere Kredit bezogene Daten. Das Unternehmen musste außerdem feststellen, dass noch weitere 2,9 Millionen Datensätze abgesaugt worden waren. Daneben wurden 73 Prozent der Daten auf einer bestimmten Datenbank gestohlen – was etwa 4,7 Millionen weitere Datensätze ausmacht.
Abgestraft für schlechten IT-Sicherheit
Die ICO sah es als gegeben an, dass Dixons seine IT-Sicherheit stark vernachlässigt hatte und folglich Kundendaten nicht ausreichend geschützt waren. Dixons handelte nicht nur fahrlässig, sondern auch nicht im Einklang mit den seit 1998 geltenden Datenschutzgesetzen. Die Behörde stellte wirklich kritische Mängel fest. Beispielsweise, dass verschiedene standard IT-Verfahren nicht umgesetzt worden waren. Dazu zählten das gewöhnliche Aktualisieren oder das Patchen von Software oder die Durchführung von Sicherheitstests. Es wurde außerdem keine lokale Firewall aufgebaut oder eine Netzwerktrennung eingerichtet. Für Dixon ist das übrigens bereits die zweite Strafe. Im Januar 2018 musste das Unternehmen schon einmal etwa 478.000 Euro für die Folgen eines Cyber-Angriffs im Jahr 2015 bezahlen.
Dixons weist einen Brutto-Jahresumsatz von etwa 12,5 Milliarden Euro aus. Dagegen erscheinen die beiden auferlegten Maximal-Strafen offensichtlich sehr gering. Der Hintergrund hierzu ist, dass im Falle Dixons, die Gesetzgebung vor der Einführung der neuen europäischen Datenschutzverordnung galt. Erst im Mai 2018 wurden die Datenschutzgesetze europaweit verschärft. Das maximale Strafmaß für Dixons Datenpannen unter der neuen Datenschutzverordnung liegt aktuell deutlich höher.
In einer offiziellen Erklärung sagte Dixons Geschäftsführer, Alex Baldock:
„Wir entschuldigen uns sehr für alle Unannehmlichkeiten, die dieser Vorfall bei unseren Kunden verursacht hat. Wir haben keine bestätigten Beweise dafür, dass unsere Kunden dadurch betrügerische oder finanzielle Verluste erlitten haben. Wir haben unsere Erkennungs- und Reaktionsmaßnahmen inzwischen verbessert und, wie die ICO bestätigen kann, erhebliche Investitionen in bessere Sicherheitssysteme und -prozesse getätigt.“
Artikel von theregister.co.uk, 09.01.2020: Dixons fined £500,000 by ICO for crap security that exposed 5.6 million customers‘ payment cards
Artikel von edinburghnews.scotsman.com, 13.01.2020: Dixons Carphone fined £500,000 over serious data breach that put 14 million customers at risk
Beitragsbild: Public Domain, Creative Commons CC0, pixel2013 über pixabay