Mittwoch, November 30, 2022

Phishing beendet: Die britische Datenaufsicht verhängt eine Geldstrafe von 4,4 Mio. £ für den Bausektor wegen schlechter Cybersicherheitshygiene

Der britische Datenverantwortliche hat das Bauunternehmen Interserve Group mit einer potenziellen Geldstrafe von 4,4 Millionen Pfund (4,98 Millionen US-Dollar) geschlagen, nachdem ein erfolgreicher Phishing-Angriff von Kriminellen die persönlichen Daten von bis zu 113.000 Mitarbeitern offengelegt hatte.

Das Information Commissioner’s Office sagte, das in Berkshire ansässige Unternehmen habe es versäumt, eine gute Sicherheitshygiene zu betreiben, Warnungen zu verpassen und mehr, und daher wird angenommen, dass es gegen Datenschutzgesetze verstoßen hat.

In einem klassischen Stich leitete ein Mitarbeiter von Interserve die E-Mail mit der versteckten Malware an einen Kollegen weiter, der sie dann öffnete und den Inhalt herunterlud, sodass die Malware ihre Arbeit tun konnte.

Das verwendete Antivirenprogramm stellte die Malware unter Quarantäne und gab eine Warnung aus, aber Interserve „versäumte es, die verdächtige Aktivität gründlich zu untersuchen“, und dies hätte möglicherweise ergeben, dass der Angreifer Zugriff auf Unternehmenssysteme erhalten hatte.

Der Kriminelle hat dann 283 Systeme und 16 Konten kompromittiert und die AV-Software deinstalliert. „Die personenbezogenen Daten von bis zu 113.000 aktuellen und ehemaligen Mitarbeitern wurden verschlüsselt und unzugänglich gemacht“, sagte das ICO in einer Erklärung.

Eine anschließende Untersuchung durch die Datenregulierungsbehörde ergab eine Litanei von Fehlern, die Interserve begangen hat, darunter das Versäumnis, auf die erste Warnung vor verdächtigen Aktivitäten zu reagieren, die Verwendung veralteter Softwaresysteme und -protokolle, das Fehlen angemessener Schulungen für unzureichendes Personal und Risikobewertungen. Diese, behauptet das ICO, machten das Unternehmen letztendlich anfällig für Cyber-Bösewichte.

Der Tatzeitraum lag zwischen März 2019 und Dezember 2020.

Das ICO hat Interserve eine Absichtserklärung zugestellt, ein Rechtsdokument, das einer Geldbuße vorausgeht. Die vorläufige Geldbuße betrug 4,4 Millionen £ und nach Prüfung der Aussagen von Interserve beschloss das ICO, sie nicht zu zahlen.

John Edwards, der Informationskommissar des Vereinigten Königreichs, sagte in einer Erklärung:

„Das größte Cyber-Risiko, dem Unternehmen ausgesetzt sind, kommt nicht von Hackern außerhalb ihres Unternehmens, sondern von Selbstgefälligkeit innerhalb ihres Unternehmens. Wenn Ihr Unternehmen verdächtige Aktivitäten in seinen Systemen nicht regelmäßig überwacht und nicht entsprechend auf Warnungen reagiert oder Software nicht aktualisiert oder Schulungen für Mitarbeiter anbietet, Sie können eine ähnliche Strafe von meinem Büro erwarten.

„Cyberangreifern die Tür offen zu lassen, ist niemals akzeptabel, insbesondere wenn es um die sensibelsten Informationen von Menschen geht. Diese Datenschutzverletzung hatte das Potenzial, den Mitarbeitern von Interserve echten Schaden zuzufügen, da sie anfällig für die Möglichkeit von Identitätsdiebstahl und Finanzbetrug wurden. ”

Edwards sagte, er werde sich diese Woche mit anderen Datenregulierungsbehörden auf der ganzen Welt treffen, um „auf einheitliche internationale Cyber-Richtlinien hinzuarbeiten, damit die Daten der Menschen geschützt sind, wo immer ein Unternehmen seinen Sitz hat“. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles