BA schließt Vergleich mit Opfern von Datenschutzverletzungen

  • Tausenden von Opfern einer groß angelegten Datenpanne bei British Airways (BA) soll eine Entschädigung gezahlt werden.

    Es wurde eine Klage gegen die Fluggesellschaft wegen eines Sicherheitsvorfalls eingereicht, der im Juni 2018 begann. Die Daten von rund 420.000 Personen wurden bei einem Cyberangriff kompromittiert, der mehr als zwei Monate lang unentdeckt blieb.

    Zwischen dem 22. Juni und dem 5. September 2018 verschaffte sich ein böswilliger Akteur durch die Verwendung kompromittierter Anmeldeinformationen für ein Citrix-Remote-Access-Gateway Zugang zu einer internen BA-Anwendung.

    Die Sicherheitsverletzung betraf personenbezogene Daten von British Airways-Mitarbeitern und Kunden im Vereinigten Königreich, in der EU und im Rest der Welt. Magecart, eine Form von digitalem Skimming-Code, wurde vom Angreifer verwendet, um Zahlungskartendaten, Namen und Adressen zu sammeln und zu stehlen.

    Eine Untersuchung des Information Commissioner’s Office (ICO) ergab, dass die von British Airways getroffenen Sicherheitsmaßnahmen zum Schutz der riesigen Mengen an verarbeiteten personenbezogenen Daten unzureichend waren.

    In einem Strafbescheid, der im Oktober 2020 an BA erging, stellte das ICO fest: “Nachdem der Angreifer Zugriff auf das breitere Netzwerk erhalten hatte, durchquerte er das Netzwerk. Dies gipfelte in der Bearbeitung einer JavaScript-Datei auf der Website von BA (http://www.britishairways.com).

    Die vom Angreifer vorgenommenen Änderungen sollten die Exfiltration von Karteninhaberdaten von der Website ‘britishairways.com’ auf eine externe Drittanbieterdomain (http://www.BAways.com) ermöglichen, die vom Angreifer kontrolliert wurde.”

    BA, eine Tochtergesellschaft der International Airlines Group, wurde vom ICO zunächst mit einer rekordverdächtigen Geldstrafe in Höhe von 183 Millionen Pfund für die Verletzung der GDPR belegt. Die Strafe wurde später auf 20 Mio. £ reduziert.

    British Airways hat zwar die Klage einiger Opfer der Datenschutzverletzung beigelegt, aber keine Haftung zugegeben.

    Die Fluggesellschaft hat die Bedingungen des Vergleichs unter Verschluss gehalten, so dass es unklar ist, wie viel jeder Kläger erhalten wird.

    BA sagte, es sei “erfreut, dass wir in der Lage waren, die Gruppenklage beizulegen.”

    Anfang des Jahres wurde die Entschädigungsklage gegen British Airways von einer Anwaltskanzlei als “die größte Gruppenklage mit personenbezogenen Daten in der Geschichte Großbritanniens” bezeichnet, an der mehr als 16.000 Opfer beteiligt waren.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com