Gratis
5. Juli 2017 - Datendiebstahl

Versicherer informiert Kunden nicht über Datendiebstahl

Ein britisches Unternehmen aus der Versicherungsbranche verschwieg den Diebstahl von Kundendaten über mehr als zwei Monate hinweg. Betroffen waren bei der Attacke unter anderem Kreditkarteninformationen.

Ein britischer Versicherer unterließ die Benachrichtigung der von einem Datendiebstahl betroffenen Kunden Ein britischer Versicherer unterließ die Benachrichtigung der von einem Datendiebstahl betroffenen Kunden (Bild: iLexx / iStock / Thinkstock)

Am 22. April 2017 konnten Hacker die Shop-Systeme des britischen Autoversicherers AA kompromittieren und 117.000 Datensätze von Kunden entwenden. Diese enthalten laut dem Magazin Motherboard, dem die Datensätze vorliegen, unter anderem vollständige Namen, physikalische Adressen, IP-Adressen, Details der Einkäufe und Kreditkarteninformationen.

Zwei Monate Schweigen

AA entdeckte den Angriff zwar schnell auf und beseitigte nach eigenen Aussagen die Schwachstelle am 25. April, eine Benachrichtigung der betroffenen Kunden unterblieb wohl aus Sorge um die Schädigung der eigenen Reputation jedoch. Erst am 26. Juni wurden laut International Business Times AA-Kunden per E-Mail über das Zurücksetzen ihrer Passwörter informiert. Dieser Vorgang habe laut AA aber nichts mit einem eventuellen Angriff zu tun.

„Nur wenige Zugriffe“

Zudem, so das Unternehmen, sei keine Gefahr eines Datenmissbrauchs gegeben, da von den Hackern nur „einige Male“ auf diese digitalen Informationen zugegriffen worden sei. Diese „wenigen Zugriffe“ reichten nach Angaben von Motherboard allerdings aus, um 13 Gigabyte an Datenbank-Backups zu kopieren.

„Wir sind mittlerweile an einem Punkt angekommen, an dem wir fast gleichgültig auf Datenschutzverletzungen reagieren. Einige Unternehmen setzen auf dieses scheinbare Desinteresse, beschneiden ihre Kunden um das Recht, informiert zu werden und hoffen, dass schnell Gras über die unangenehme Geschichte wächst“, kommentierte Ross Brewer vom Security-Spezialisten LogRhythm diesen Vorfall. „AA hat den Angriff erkannt, versagt hat man aber bei der Reaktion. Und genau an diesem Punkt werden Organisationen künftig im Rahmen der DSGVO die umfangreichsten Folgen tragen müssen.“

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln