Swissport-Account beim Data-Breach von British Airways im Fokus

16. Oktober 2020 um 15:25
image

Die britische Fluggesellschaft muss wegen eines Cyber-Angriffs 20 Millionen Pfund Strafe bezahlen. Im Strafbescheid stehen die Details der Attacke.

British Airways muss eine Strafe von 20 Millionen Pfund (umgerechnet 24 Millionen Franken) zahlen. Die Fluggesellschaft hat bei einem Cyberangriff die Daten seiner Kunden und Angestellten nicht ausreichend geschützt. Das teilte das Information Commissioner's Office (ICO), die zuständige Datenschutzbehörde in London, mit.
Der Cyberangriff war 2018 erfolgt: Dabei waren der Airline persönliche Daten von rund 430'000 Kunden und Angestellten entwendet worden, darunter Namen, Adressen und die Nummern von Kreditkarten. Die Ermittler sind der Ansicht, das Unternehmen hätte die Lücken früher entdecken und Massnahmen treffen müssen.

So lief der Angriff ab

Zugang zu den internen Systemen von British Airways erlangten die Kriminellen über einen Citrix Remote Access Gateway, wofür sie Credentials gestohlen hatten. Entwendet worden waren diese unter ungeklärten Umständen einem Mitarbeitenden der Schweizer Servicegesellschaft Swissport, der aus Trinidad und Tobago stammt. Dies ist dem Strafbescheid  zu entnehmen.
image
Grosse Teile der technischen Passage des Strafbescheids sind geschwärzt.
Die Befugnisse des Users waren weder auf die für seine Rolle notwendigen Funktionen beschränkt, noch war der Account mit Multi-Faktor-Authentifizierung geschützt. Wie die Angreifer aus der Citrix-Umgebung ausbrechen konnten, ist laut den Untersuchenden nicht endgültig geklärt, die Vermutungen wurden im Strafbescheid geschwärzt.
Die Angreifer hätten dann Zugang zum Account eines Administrators erlangt. Schliesslich hätten sie die Javascript-Files der Website von British Airways so manipuliert, dass Daten von Kreditkarten-Haltern auf eine Domain der Verbrecher weitergeleitet wurden. Der Rest ist Rechtsgeschichte.

British Airways hatte kaum Schutzmassnahmen ergriffen

Die Datenschützer nennen auch einige Massnahmen, die hätten ergriffen werden müssen:
  • Beschränkung des Zugangs zu Anwendungen, Daten und Werkzeugen auf das, was zur Erfüllung der Rolle eines Benutzers erforderlich ist
  • Durchführung strenger Tests mit der Simulation eines Cyber-Angriffs auf die Systeme des Unternehmens
  • Schutz der Konten von Mitarbeitern und Dritten durch Multi-Faktor-Authentifizierung.
Keine dieser Massnahmen wäre mit übermässigen Kosten verbunden oder technisch besonders schwierig umzusetzen gewesen. Einiges wäre gar über das von British Airways benutzte Betriebssystem von Microsoft zur Verfügung gestanden, so das ICO. Dazu kommt, dass die Fluggesellschaft das Leck nicht selber entdeckte, sondern von Dritten darauf aufmerksam gemacht werden musste.
Entsprechend harsch kommentiert dann auch Datenschützerin Elizabeth Denham das Urteil: "Die Untätigkeit ist inakzeptabel und betraf Hunderttausende von Menschen, was möglicherweise Angst und Verzweiflung ausgelöst hat. Deshalb haben wir British Airways ein Bussgeld in Höhe von 20 Millionen Pfund – unser bisher höchstes – auferlegt."
Die Summe wäre noch deutlich höher ausgefallen, hätte das Gericht nicht die Corona-Pandemie und die Situation der Flugindustrie berücksichtigt. Letztes Jahr hatte das ICO eine Strafe in Höhe von rund 183 Millionen Pfund in Aussicht gestellt.

Loading

Mehr erfahren

Mehr zum Thema

image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024
image

Podcast: Das Gesundheitswesen und die Cybersicherheit

Das Bundesamt für Gesundheit ist auf der Suche nach einem Dienstleister, der Unterstützung im Bereich Cybersicherheit bietet. In einer Ausschreibung haben wir mehrere Mängel festgestellt. In der aktuellen Podcast-Episode reden wir unter anderem darüber.

publiziert am 12.4.2024