Swissport-Account beim Data-Breach von British Airways im Fokus

16. Oktober 2020, 15:25
image

Die britische Fluggesellschaft muss wegen eines Cyber-Angriffs 20 Millionen Pfund Strafe bezahlen. Im Strafbescheid stehen die Details der Attacke.

British Airways muss eine Strafe von 20 Millionen Pfund (umgerechnet 24 Millionen Franken) zahlen. Die Fluggesellschaft hat bei einem Cyberangriff die Daten seiner Kunden und Angestellten nicht ausreichend geschützt. Das teilte das Information Commissioner's Office (ICO), die zuständige Datenschutzbehörde in London, mit.
Der Cyberangriff war 2018 erfolgt: Dabei waren der Airline persönliche Daten von rund 430'000 Kunden und Angestellten entwendet worden, darunter Namen, Adressen und die Nummern von Kreditkarten. Die Ermittler sind der Ansicht, das Unternehmen hätte die Lücken früher entdecken und Massnahmen treffen müssen.

So lief der Angriff ab

Zugang zu den internen Systemen von British Airways erlangten die Kriminellen über einen Citrix Remote Access Gateway, wofür sie Credentials gestohlen hatten. Entwendet worden waren diese unter ungeklärten Umständen einem Mitarbeitenden der Schweizer Servicegesellschaft Swissport, der aus Trinidad und Tobago stammt. Dies ist dem Strafbescheid  zu entnehmen.
image
Grosse Teile der technischen Passage des Strafbescheids sind geschwärzt.
Die Befugnisse des Users waren weder auf die für seine Rolle notwendigen Funktionen beschränkt, noch war der Account mit Multi-Faktor-Authentifizierung geschützt. Wie die Angreifer aus der Citrix-Umgebung ausbrechen konnten, ist laut den Untersuchenden nicht endgültig geklärt, die Vermutungen wurden im Strafbescheid geschwärzt.
Die Angreifer hätten dann Zugang zum Account eines Administrators erlangt. Schliesslich hätten sie die Javascript-Files der Website von British Airways so manipuliert, dass Daten von Kreditkarten-Haltern auf eine Domain der Verbrecher weitergeleitet wurden. Der Rest ist Rechtsgeschichte.

British Airways hatte kaum Schutzmassnahmen ergriffen

Die Datenschützer nennen auch einige Massnahmen, die hätten ergriffen werden müssen:
  • Beschränkung des Zugangs zu Anwendungen, Daten und Werkzeugen auf das, was zur Erfüllung der Rolle eines Benutzers erforderlich ist
  • Durchführung strenger Tests mit der Simulation eines Cyber-Angriffs auf die Systeme des Unternehmens
  • Schutz der Konten von Mitarbeitern und Dritten durch Multi-Faktor-Authentifizierung.
Keine dieser Massnahmen wäre mit übermässigen Kosten verbunden oder technisch besonders schwierig umzusetzen gewesen. Einiges wäre gar über das von British Airways benutzte Betriebssystem von Microsoft zur Verfügung gestanden, so das ICO. Dazu kommt, dass die Fluggesellschaft das Leck nicht selber entdeckte, sondern von Dritten darauf aufmerksam gemacht werden musste.
Entsprechend harsch kommentiert dann auch Datenschützerin Elizabeth Denham das Urteil: "Die Untätigkeit ist inakzeptabel und betraf Hunderttausende von Menschen, was möglicherweise Angst und Verzweiflung ausgelöst hat. Deshalb haben wir British Airways ein Bussgeld in Höhe von 20 Millionen Pfund – unser bisher höchstes – auferlegt."
Die Summe wäre noch deutlich höher ausgefallen, hätte das Gericht nicht die Corona-Pandemie und die Situation der Flugindustrie berücksichtigt. Letztes Jahr hatte das ICO eine Strafe in Höhe von rund 183 Millionen Pfund in Aussicht gestellt.

Loading

Mehr zum Thema

image

IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.

image

Luzerner können Wille zur Organspende in App hinterlegen

Patientinnen und Patienten des Luzerner Kantonsspitals können ihre Entscheidung zur Organspende neu in der Patienten-App ablegen.

publiziert am 26.1.2023
image

PUK soll Zürcher Datenskandal durchleuchten

Datenträger der Justizdirektion landeten im Sex- und Drogenmilieu. Jetzt soll eine Parlamentarische Unter­suchungs­kommission zum Vorfall eingesetzt werden.

publiziert am 26.1.2023
image

Cyberkrimineller erbeutet Meldedaten fast aller Österreicher

Ein Fauxpas bei einem Wiener IT-Unternehmen machte einen grossen Datendiebstahl möglich. Die Spuren führen in die Niederlande.

publiziert am 26.1.2023