Katastrophale IT-Sicherheit: Datenpannen bescheren chinesische Fluglinie Cathay Pacific saftige Geldstrafe

4. Juni, 2020
Katastrophale IT-Sicherheit: Datenpannen bescheren chinesische Fluglinie Cathay Pacific saftige Geldstrafe

Die britische Datenschutzbehörde watsche die Cathay Pacific Airways Anfang März mit einer Geldbuße in Höhe von 500.000 Pfund ab. Hintergrund war eine Datenpanne, die vier Jahre lang unentdeckt geblieben war. Dadurch waren die Daten von etwa 9,5 Millionen Fluggäste der asiatischen Fluglinie in aller Welt gefährdet. Bisher gibt es zwar keine Berichte über einen Missbrauch der Daten, er kann aber für die Zukunft nicht ausgeschlossen werden, hieß es in einem Bericht.

Die Behörde befand, dass zwischen 2014 und 2018 die IT-Systeme der Fluglinie nur ungenügend gegen Angriffe gesichert gewesen waren. Das ermöglichte es, dass Daten durch Hacker abgesaugt werden konnten. Es betraf auch die persönlichen Daten von 111.578 britischen Kunden. Betroffen waren persönliche Infos wie Namen, Pass- und Geburtsdaten, Telefonnummern, Adressen, Kreditkarten und auch der Reiseverlauf. Die Fluggesellschaft mit Sitz in Honk Kong, war erst im März 2018 auf das Problem gestoßen. Seinerzeit wurde sie mit einem Brute-Force-Angriff bombardiert. Angreifer hatten versucht, massenhaft Passwörter ausfindig zu machen. Cathay Pacific musste daraufhin die britische Datenschutzbehörde informieren. Als diese sich ans Werk machte, entdeckte sie gleich eine ganze Reihe von Sicherheitslücken.

Dazu zählte ein Server mit einer bekannten Schwachstelle, die in zehn Jahren seit ihrem Bekanntwerden, nie gepatcht wurde. Außerdem wären „eine Reihe grundlegender Sicherheitsmängel im System von Cathay Pacific“ gefunden worden, hieß es. Beispielsweise waren Back-ups nicht passwortgeschützt oder verschlüsselt, ein nicht mehr unterstütztes Betriebssystem wurde verwendet, Nutzer konnten ohne jede Art von Multi-Faktor-Authentifizierung aus der Ferne auf die Systeme zugreifen und der Virenschutz war auch unzureichend. Alle, so ein Sprecher der Behörde, hätten den Hackern einen leichten Zugang zu den Systemen ermöglicht. Des Weiteren hatte Cathay Pacific es versäumt, vier der fünf vorgegebenen generellen Sicherheitsregeln zu befolgen.

Experten sagen, dass die Fluggesellschaft noch mit einem blauen Auge davongekommen ist. Laut dem geltenden Datenschutz Recht, hätte die Strafe 470 Millionen Pfund betragen. Die europäische DSGVO sieht hier ein Strafmaß von 4 % des weltweiten Jahresumsatzes vor. Die geringere Strafe ist dem Umstand zuzuschreiben, dass der Vorfall im Zeitrahmen vor der Einführung der DSGVO im Mai 2018 lag. Daher griff ein älteres Datenschutzgesetz.

Analysen der Brute-Force-Attacke ergaben, Daten gesammelt worden waren. IT-Forscher datieren den Beginn der Angriffe auf ungefähr Oktober 2014. Damals hatten die unbekannten Hacker die Schwachstellen in einem Server ausgenutzt, der mit dem Internet verbunden war. So konnten sie sich innerhalb des Cathay Pacific Netzwerks festsetzen. Von dort aus legten sie weitere Malware in verschiedenen Systemen ab. Gleichzeitig begannen Sie mit dem Absaugen von persönlichen Kundendaten. Letzteres zog sich über mehrere Jahre hin. Diese Details waren der IT-Abteilung der Fluglinie im März 2018 erst gar nicht aufgefallen, als sie sich mit der Brute-Force-Attacke befassten. Der Angriff war über einen externen IT-Dienstleister eingeleitet worden. Bei dem Angriff versuchten die Angreifer, mit unzähligen Kombinationen von Passwort und Usernamen noch tiefer in das Netzwerk einzudringen. Doch ein schnelles Eingreifen mit einem Patch machte den Hackern einen Strich durch die Rechnung.

Ein Sprecher von Cathay Pacific gab bekannt,

„dass in den letzten drei Jahren beträchtliche Summen für die Sicherheit ausgegeben worden seien.“

Weiter hieß es:

„Wir sind uns jedoch bewusst, dass wir in der heutigen Welt, in der Cyber-Angriffe immer raffinierter werden, weiterhin in unsere IT-Sicherheit investieren und sie weiterentwickeln müssen und werden“.

Artikel von bbc.com, 04.03.2020: Cathay Pacific fined £500,000 over customer data protection failure
Artikel von zdnet.com, 04.03.2020: Cathay Pacific hit with £500,000 fine for customer data breach
Artikel von theregister.co.uk, 04.03.2020: UK data watchdog slaps a £500,000 fine on Cathay Pacific for 2018 9.4m customer data leak

Beitragsbild: Public Domain, Creative Commons CC0, Riik@mctr über Flickr

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen