Kundendaten in unbefugte Hände gelangt
Allen drei Datenschutz-Pannen gemeinsam ist, dass die betroffenen Unternehmen nicht ausschließen können, dass Unbefugte Kundendaten, darunter sensible Zahlungs-Informationen, in die Hände bekommen haben, wie datenschutz-praxis.de dazu informierte.
Dazu heißt es weiter, dass derartige Vorkommnisse deutlich machen, dass bei der kritischen Prüfung der technisch-organisatorischen Maßnahmen besonders auf externe Systeme und deren Verbindung mit unternehmenskritischen Anwendungen geachtet werden muss.
Kopien sensibler Daten erstellt
Der Fall Ticketmaster
Der britische Online-Anbieter von Konzert- und Veranstaltungskarten Ticketmaster, der auch in Deutschland aktiv ist, musste seinen Kunden mitteilen, dass es durch einen Befall mit Malware in einem Drittsystem zum Abfluss von sensiblen Informationen gekommen ist.
Betroffen sind demnach möglicherweise:
- Adressen
- E-Mail-Adressen
- Log-in-Daten
- Namen
- Telefonnummern
- Zahlungsdetails
Ob darunter auch Passwörter waren, ist unsicher. Nach Angabe des Unternehmens sollen davon lediglich Kunden aus Großbritannien betroffen sein.
Der Händler hat die Kunden aufgefordert, ihre Passwörter zu ändern. Außerdem empfiehlt das Unternehmen, die Bewegungen von Bank- und Kredikarten-Konten zu überprüfen.
Der Fall Adidas
Einen ähnlichen Vorfall musste Adidas in den USA eingestehen. Nach der Firmenmitteilung hätten unbekannte Dritte gegenüber dem Unternehmen behauptet, sich im Besitz von Kundendaten zu befinden.
Bei den kopierten Daten soll es sich um Log-in-Informationen und Passwörter von Kunden handeln, die über die Website von Adidas Produkte gekauft haben. Nach Einschätzung des Sportartikel-Uunternehmens handelt es sich nicht um Zahlungs-Informationen.
Der Fall Panini
Panini ist in Deutschland für seine Sammelbilder bekannt. Das italienische Unternehmen ist nach einem Bericht des Spiegel ebenfalls massiv von einer Datenpanne betroffen.
Die Firma bietet ihren Kunden mit der Site „Mypanini“ an, eigene Fotos hochzuladen und sich personalisierte Klebebildchen zuschicken zu lassen. Eingeloggte Anwender hätten aber auch die hochgeladenen Bilder sowie personenbezogene Daten anderer Kunden einsehen können.
Auf vielen der Sticker seien der volle Name, das Geburtsdatum und der Wohnort der Kunden verzeichnet. Sehr häufig seien darunter Kinder und Jugendliche gewesen, auch aus Deutschland. Gerade dieser Vorfall ist ein schwerer Verstoß nach der DSGVO.
Fazit
Die drei Vorfälle weisen Administratoren und Datenschutzbeauftragte deutlich darauf hin, dass bei den technisch-organisatorischen Maßnahmen besonders die externe Komponenten eines Netzwerks wichtig sind.
Gerade Webserver haben sich in der Vergangenheit immer wieder als Ausgangspunkt für Attacken von Cyberkriminellen erwiesen. Im Zuge von verteilten Systemen und Cloud Computing kann der Befall mit Malware bei einem Dienstleister jederzeit auch Unternehmen in Deutschland betreffen.
Deswegen sollten Verantwortliche auch die Vereinbarung zur Auftragsverarbeitung nicht auf die leichte Schulter nehmen, so datenschutzpraxis.de.
Weiterführende Links:
Daten verschlüsseln und sichern
Ticketmaster: INFORMATIONEN ÜBER EINEN SICHERHEITSVORFALL BEI EINEM DRITTANBIETER
Adidas: adidas alerts certain consumers of potential data security incident
Spiegel: Datenpanne bei Kundenbildern
datenschutz-praxis.de: Schwere Datenpannen bei Adidas, Panini und Ticketmaster
