easyjet hack
19. Januar 2021

EasyJet Hackerangriff – Deshalb ist Datenschutz wichtig!

Vor etwa einem Jahr fiel die britische Fluggesellschaft EasyJet einem Hackerangriff zum Opfer. Die Täter erbeuteten in diesem Datenleck persönliche Daten und Reiseinformationen von über neun Millionen Kunden. Zudem wurden von rund 2000 betroffenen Kunden die digitalen Sicherheitscodes – die CVV Nummer der Kreditkarten – gestohlen.

Der Angriff fand bereits im Januar 2020 statt, informiert wurden die ersten Kunden allerdings erst im April. Laut EasyJet war es im Verlauf der Untersuchung erst zu diesem Zeitpunkt möglich, die betroffenen Personen zu identifizieren. Im Mai ging das Unternehmen endgültig an die Öffentlichkeit, um ihre Kunden vor möglichen Phishing-Attacken zu warnen.

Nun ermittelt die britische Datenschutzbehörde (ICO) im Fall der Datenpanne bei EasyJet: „Die Menschen haben das Recht zu erwarten, dass Organisationen sicher und verantwortungsvoll mit ihren persönlichen Daten umgehen. Wenn das nicht der Fall ist, werden wir das untersuchen und wenn nötig robuste Maßnahmen ergreifen.“

Auch in Deutschland kam es 2020 zu einem großen Datenleck. Beim Autovermieter Buchbinder standen persönliche Daten von Millionen Kunden, darunter auch Politiker, Prominente sowie unzählige Botschaftsmitarbeiter, wochenlang aufgrund eines offenen unentdeckten Ports frei zugänglich im Internet. Ein Teil des Datenlecks bei Buchbinder bestand u.a. aus einer Unfall-Datenbank des Unternehmens mit über 500.000 gelisteten Unfällen inklusive Namen, Adressen und Kennzeichen. Es ist davon auszugehen, dass Buchbinder für diesen Vorfall mit hohen Schadensersatzforderungen und Strafzahlungen an die zuständige Datenschutzbehörde rechnen muss.

Was genau ist Phishing?

Häufig basieren Phishing-Attacken auf E-Mails, die scheinbar von einem seriösen Absender stammen. Ihr Ziel ist es, Schadsoftware auf die Rechner der Opfer zu schleusen, Daten abzufangen und Schaden anzurichten. Im Fall des Datenlecks bei EasyJet wurden die Kunden deshalb dringend gebeten, besonders aufmerksam zu sein und E-Mails mit dem Absender der Fluggesellschaft nur mit gebührender Vorsicht zu öffnen. Denn gerade im Zusammenhang mit der Covid19-Pandemie kam es vermehrt zu Flugstornierungen oder anderen kurzfristigen Änderungen im Reiseverkehr, die weitere E-Mails von EasyJet rechtfertigen würden. 

Auch Nachrichten von vermeintlichen Corona-Hilfen, dem angeblichen Arbeitgeber oder der Bundesregierung mit Links zu gefälschten Webseiten sind in den letzten Monaten immer häufiger aufgetreten. Die verlinkten Webseiten bieten den Betroffenen jedoch keine der angepriesenen Informationen, sondern sind lediglich darauf ausgelegt, Daten zu stehlen.

Google alleine blockiert aus diesem Grund jeden Tag mehr als 100 Millionen Phishing-E-Mails an Gmail-Nutzer.

Sind Ihre Daten betroffen?

Nach einem Cyber-Angriff findet sich ein Großteil der betroffenen E-Mail-Adressen in Internet-Datenbanken wieder, die oftmals für weitere kriminelle Handlungen verwendet werden.
Mit dem Identity Leak Checker des Hasso-Plattner-Instituts können Sie überprüfen, ob Ihre E-Mail-Adresse schon einmal einer Cyber-Attacke zum Opfer gefallen ist. Dieser durchsucht entsprechende Datenbanken nach Ihrer E-Mail-Adresse und schickt Ihnen den Status Ihrer Gefährdung. Somit können Sie genau nachvollziehen, wann und wo Ihre Daten betroffen waren. Als Reaktion wird Ihnen meist die Änderung Ihres Passwortes empfohlen. Sollten zudem Informationen wie Bank- und Kreditkartendaten oder der Sozialversicherungsnummer betroffen sein, wird zu einer Anzeige geraten.

Hohe Strafzahlungen für Unternehmen bei Datenschutzpannen

Hackerangriffe wie die EasyJet Cyber-Attacke können zu hohen Bußgeldstrafen der zugehörigen Datenschutzbehörde führen. So musste beispielsweise British Airways 2018 nach einem Diebstahl von hunderttausenden Kreditkartendaten auf Anordnung der britischen Datenschutzbehörde ICO ca. 200 Millionen Euro Strafe zahlen. Die Höhe der Strafzahlung begründete die ICO vor allem mit den „unzureichenden Security-Maßnahmen“, die den Hackerangriff erst möglich gemacht hätten.

Die Höhe der Strafe ist in den meisten Fällen einerseits von der Schwere des Datenlecks und andererseits sowohl von den Vorkehrungen als auch der entsprechenden Reaktion des Unternehmens abhängig. Der US-Finanzdienstleister Equifax erklärte sich z.B. 2019 außergerichtlich dazu bereit, eine Geldstrafe von über 575 Millionen Dollar in den USA und Großbritannien zu zahlen. Grund hierfür war die Offenlegung von knapp 150 Millionen persönlichen Kundendaten durch einen Hackerangriff 2017, welcher eine bereits lange im Unternehmen bekannte Sicherheitslücke ausgenutzt hatte. Zudem hatte das Unternehmen die Öffentlichkeit erst nach einigen Wochen über die Panne informiert.

Seit dem Inkrafttreten der DSGVO müssen auch europäische Unternehmen, die sich und ihre Kundendaten nicht ausreichend schützen, im Falle eines Datenlecks oder erfolgreichen Phishing-Angriffs mit hohen Geldstrafen rechnen.

So sind in der DSGVO beispielsweise bei der Verletzung von Zertifizierungs- oder Überwachungspflichten ein Bußgeld von bis zu 10 Millionen Euro möglich. Bei Missachtung der Anweisung einer Aufsichtsbehörde können es bis zu 20 Millionen Euro werden (Art. 83 DSGVO).

Wie stärken wir unsere Cyber-Resilienz?

Die vermehrten Angriffe aus dem Netz müssen zu einer stärkeren Widerstandsfähigkeit der Unternehmen führen. Die Cyber-Resilienz von Unternehmen kann vor allem durch klare Richtlinien, deren sich alle Mitarbeiter und Mitarbeiterinnen bewusst sind, gestärkt werden. 

Die Widerstandsfähigkeit des Unternehmens ist deshalb ein wichtiges Stichwort in Bezug auf die Prävention, aber auch auf die Reaktion von Phishing-Attacken und Hackerangriffen.

Mit unserer Online-Schulung “Informationssicherheit für Mitarbeiter” minimieren Sie das Risiko Ihres Unternehmens, Opfer eines Cyber-Angriffs zu werden, indem diese Ihre Mitarbeiter und Mitarbeiterinnen über die wichtigsten Verhaltensweisen und Vorkehrungen, die es für die Sicherheit Ihres Unternehmens zu treffen gilt, aufklärt.

Online Schulung IT-Sicherheit

Quellen:

BBC (2020): EasyJet admits data of nine million hacked. 19.05.2020. Abgerufen am 14.12.2020. Verfügbar unter https://www.bbc.com/news/technology-52722626

Die Welt (2019): Millionen-Zahlung wegen Datenlecks. 23.07.2019, Nr. 169, S.13

DSGVO (2020): Allgemeine Bedingungen für die Verhängung von Bußgeldern. Abgerufen am 14.12.2020. Verfügbar unter https://dsgvo-gesetz.de/art-83-dsgvo/

Tagesschau (2020): Hacker stehlen Daten von Easyjet-Kunden. Abgerufen am 14.12.2020. Verfügbar unter https://www.tagesschau.de/wirtschaft/easyjet-hackerangriff-101.html

Tagesschau (2020). Riesiges Datenleck bei Autovermieter. Abgerufen am 30.12.2020. Verfügbar unter https://www.tagesschau.de/inland/datenleak-autovermietung-buchbinder-101.html

25. Januar 2021
Warum der Begriff „Rasse“ nicht im Grundgesetz stehen sollte
17. Dezember 2020
Der Umgang mit Interessenkonflikten

Newsletter abonnieren

Rufen Sie uns an oder schreiben Sie uns:

+49 (0)30 22 18 22 80
[email protected]

Andreas Grau
Relationship Manager & sein Team sind
Mo – Fr von 8:30 – 18:00 Uhr für Sie da.

Ihre Angaben werden selbstverständlich vertraulich behandelt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.