English

IT-Sicherheit kostet Geld, keine IT-Sicherheit kostet mehr Geld

von VPNHaus | 19.09.2018 |Cybercrime, Cybersecurity Strategy

British Airways, oder vielmehr deren Kunden, sind die jüngsten Opfer eines großen Hackerangriffs, dem sensible persönliche Daten zum Opfer fielen. Daten von rund 380.000 Kreditkarten sollen von der Datenpanne betroffen sein, es sind angeblich nicht nur die Kreditkartennummern, sondern auch die Sicherheitsziffern (CVV) gestohlen worden. Bezeichnend für die aktuelle Situation in punkto Cybersicherheit ist die Medienreaktion auf den Vorgang: Fast keine. Die üblichen Fachdienste berichten Online darüber, ansonsten – Schweigen. Es ist schließlich nur ein Datendiebstahl, passiert ja ständig, sowas. Und warum sollten sich die Kunden auch aufregen? Missbraucht ein Hacker tatsächlich die Kreditkarte, erstattet die Bank den Schaden. Ist billiger und verstört die Kunden nicht.

Früher hätten vermutlich auch die Manager bei BA den Schweiß von der Stirn gewischt und wären ganz leise und vorsichtig zur Tagesordnung übergegangen, damit das Ganze schnell vergessen ist. Doch jetzt gibt es die DSGVO und einige Branchenbeobachter glauben bereits, dass der Vorfall das erste Exempel über die neue Macht des Datenschutzes werden könnte. BA hat die Aufsichtsbehörden – ordnungsgemäß – vom Einbruch unterrichtet, so weit so gut. Doch Fakt bleibt, dass alle Kriterien im Hinblick auf die Verletzung personenbezogener Daten erfüllt sind. Das bedeutet ein hohes Bußgeld, je nachdem wie sehr BA Fahrlässigkeit vorgeworfen werden kann.

Immerhin, die Datenpanne wurde halbwegs früh erkannt. Trotzdem hatten die Angreifer zwischen dem 21. August und dem 5. September Zugriff auf Kundendaten. Jeder, der Flüge oder andere Dienstleistungen von BA einkaufen wollte, war in dieser Zeit betroffen. Die Zahl von 380.000 Datensätzen macht den Hack zu einem der größten Datenvorfälle in der Geschichte der UK. Besonders interessant dürfte die Auseinandersetzung mit den Aufsichtsbehörden aufgrund eines gerade durchgestochenen internen Memos werden. Darin wird die zunehmende Relevanz von Angriffen beklagt und das Outsourcing der Cyber-Sicherheit angekündigt. Ein Outsourcing hat in der Regel zwei Gründe: A) Die eigene Mannschaft schafft kein adäquates Sicherheitslevel, oder, anders gesagt, es fehlen gute Leute und der Wille des Managements, Sicherheit (auch in punkto Ressourcen) ernst zu nehmen oder B) man will gleich sparen.

Beide Varianten dürften der Datenschutzaufsichtsbehörde nicht gefallen. Ja, Sicherheit ist teuer aber mittlerweile nun mal notwendig, wenn man viele Kunden, deren Zahlungsdaten und ein hochgradig online erreichbares Serviceangebot hat. Sparansätze, die dann, nur wenige Wochen später, unter Umständen eine massive Datenpanne verursachen, sind nicht zielführend. Ein weiterer Aspekt wird zurzeit nur unter vorgehaltener Hand diskutiert: War das schon alles? Laufen eventuell noch weitere Angriffe, die nur noch nicht entdeckt wurden? Bis jetzt heißt es, das eine Website und die Server für eine mobile App betroffen waren. Aber die Forensik ist sicherlich noch nicht abgeschlossen und die BA Manager werden im Moment mit angehaltenem Atem die Ergebnisse der Analysen abwarten.

Nach einem der größten Hacks in der Geschichte des United Kingdom herrscht im Moment die Ruhe vor dem Sturm. Überall in Europa blicken CISOs gerade auf British Airways und die Regulierungsbehörden und warten, was passieren wird. Soviel ist schon mal sicher: Business as usual wird es nicht sein.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK