Unverschlüsselte Festplatten auf Ebay: Morgan Stanley zahlt Millionenstrafe

Eine namhafte US-Vermögensverwaltung hat jahrelang ausgediente Festplatten nicht richtig entsorgt, teilweise wurden sie versteigert. Nun gibt es eine Strafe.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen

(Bild: Zoomik/Shutterstock.com)

Lesezeit: 2 Min.

Die US-Vermögensverwaltung Morgan Stanley Smith Barney zahlt 35 Millionen US-Dollar Strafe, weil jahrelang ausgediente Speicher entsorgt wurden, ohne dass persönliche Daten von Kunden und Kundinnen gelöscht waren. Das teilte die US-Börsenaufsicht SEC mit und erklärte, dass MSSB mehrfach eine Umzugs- und Lagerungsfirma beauftragt habe, die keine Erfahrung im Bereich Datenvernichtung hatte. Insgesamt gehe es um Tausende von Festplatten und Servern, auf denen unverschlüsselt Informationen zu Millionen Kunden und Kundinnen gespeichert waren. Einige seien auf Auktionsseiten im Internet veräußert worden, nur ein paar habe MSSB habe zurückbekommen.

Bei einer Untersuchung der SEC ist herausgekommen, dass der unzulängliche Umgang mit den Daten im Rahmen eines umfassenden Programms zur Aktualisierung der Hardware in Niederlassungen und Zweigstellen erfolgt sei. Dabei sind demnach auch 42 Server mit unverschlüsselten Kundendaten verloren gegangen. Die Vermögensverwaltung, die ein Joint Venture der Großbanken Morgan Stanley und Citigroup ist, habe später auch in Erfahrung gebracht, dass die Hardware mit Verschlüsselungsfunktionen ausgestattet war, aber die seien jahrelange nicht aktiviert gewesen. Der mangelnde Schutz der personenbezogenen Informationen erstreckte sich demnach auf einen Zeitraum von fünf Jahren und hat 15 Millionen Kunden und Kundinnen betroffen.

"Die Nachlässigkeiten von MSSB in diesem Fall sind erstaunlich", meint Gurbir Grewal von der SEC. Kunden und Kundinnen würden solchen Finanzeinrichtungen ihre persönlichen Daten anvertrauen, weil sie davon ausgehen, dass die geschützt werden: "Wenn sie nicht ausreichend geschützt werden, können sensible Informationen in den falschen Händen landen und desaströse Folgen für Investoren und Investorinnen haben." Die Einigung auf eine Strafzahlung sende jetzt ein klares Signal, dass solche Daten geschützt werden müssen. Der Fall erinnert – wenn auch in ganz anderen Dimensionen – an eine Festplatte mit 33.000 hochsensiblen E-Mails des Ausländeramts Lübeck, die Anfang des Jahres bei der c't gelandet war.

(mho)