Nach Datenschutzpanne: Hersteller zehn Jahre im Visier der FTC
Nach der Preisgabe von Kundendaten muss ein Softwarehersteller ein Sicherheitsprogramm umsetzen und den Erfolg seiner Bemühungen zehn Jahre lang überprüfen lassen.
- Daniel Bachfeld
"Wer nicht hören will, muss fühlen!", heißt es im Volksmund. So ergeht es jetzt dem US-amerikanischen Forensik-Unternehmen Guidance, das im Dezember 2005 Opfer eines Servereinbruchs wurde, bei dem Namen, Adressen und Kreditkartendaten von rund 3800 Kunden kopiert wurden. Dafür wurde es jetzt von der U.S. Federal Trade Commission (FTC) zu höheren Sicherheitsmaßnahmen verdonnert.
Der Einbrecher nutzte zum Zugriff auf die Daten eine SQL-Injection-Schwachstelle. Nach Meinung des FTC habe Guidance es versäumt, ausreichend Vorkehrungen zum Schutz der Kundendaten zu treffen. Immerhin sei diese Art von Schwachstellen und wie man sich davor schützt hinreichend bekannt. Zudem müsse man heutzutage mit Angriffen auf Webanwendungen rechnen. Erschwerend bei der Beurteilung des Falles wertete die FTC, dass Guidance auf seinen Webseiten vollmundig die Sicherheit von Kundendaten anpries – und sie dennoch im Klartext abspeicherte.
Dafür muss der Hersteller der Forensik-Software Encase nun ein umfassendes Cybersecurity-Programm implementieren und den Erfolg seiner Bemühungen zehn Jahre lang von unabhängigen Sicherheitsauditoren überprüfen lassen. Insgesamt schließt die FTC damit den 14. Fall von Datenschutzverletzungen durch US-Unternehmen ab. Hierzulande werden Datenschutzvergehen so gut wie nicht geahndet, Firmen halten es in der Regel nicht einmal für notwendig, ihre Kunden über Angriffe zu informieren. Im Unterschied dazu gelten etwa im US-Bundestaat Kalifornien strengere Richtlinien. Der Security Breach Information Act zwingt Unternehmen zur Meldung von Einbrüchen in ihre Systeme, wenn dort personenbezogene Daten verarbeitet werden.
Einen entfernten Ansatz versucht die EU-Kommission auf den Weg zu bringen, bei dem zumindest Netzbetreiber und ISPs verpflichtet werden sollen, Attacken gegen ihre Systeme dem Regulierer mitzuteilen, der dann über eine Benachrichtigung der Öffentlichkeit entscheidet.
Siehe dazu auch:
- Einbruch in Server von Forensik-Software-Hersteller, Meldung auf heise Security
(dab)
