In Großbritannien gab es vor kurzem ein Millionenbußgeld gegen das Unternehmen 23andme, das im Bereich der Genanalysen tätig ist. Bereits 2023 wurden fast 7 Millionen Datensätze von Kunden entwendet und im Darknet angeboten. Hiervon waren rund 320.000 Kanadier und 150.000 Briten betroffen, weshalb der Fall auch in einer gemeinsame Untersuchung der britischen und der kanadischen Bundesdatenschutzbehörde resultierte. Die britische Behörde sprach nun das Bußgeld in Höhe von 2,7 Millionen Euro aus. Der größte Vorwurf an 23andme war dabei, dass das Unternehmen die Kundendaten nicht ausreichend geschützt habe, da die technischen und organisatorischen Maßnahmen (TOMs) unzureichend waren. Weiterhin kritisierten die Behörden, dass das Unternehmen den Datenabfluss viel zu spät bemerkt habe und selbst danach viel zu langsam mit entsprechenden Maßnahmen reagiert hätte.
Die Angreifer hatten 2023 außerdem eine relativ banale Technologie angewendet, um die Datensätze zu stehlen: Beim „Credential Stuffing“ werden automatisiert Logins und Passwörter ausprobiert, die bei „Einbrüchen“ in anderen Diensten abgegriffen worden. Die Tatsache, dass die Angreifer sich damit Zugang verschaffen konnten, machte es naheliegend, dass die identische Login-Kombination mehrfach bei verschiedenen Anwendungen verwendet wurde und dass es außerdem keine weiterführenden Maßnahmen wie eine Multifaktor-Authentifizierung gegeben hatte.
Da solche TOMs (insofern man dies überhaupt so bezeichnen kann) in Hinblick auf das Tätigkeitsfeld des Unternehmens auch von uns nur als grob fahrlässig bewertet werden können, ist das Bußgeld in Höhe von 2,7 Millionen Euro nicht verwunderlich.
Quellenangabe:
- Artikel „Achtstellige Passwörter unzureichend: Datenschutzstrafe für Genfirma 23andme“, abgerufen am 18.06.2025 auf https://www.heise.de/news/Gendaten-Britische-Datenschutzstrafe-fuer-23andme-10450679.html?wt_mc=nl.red.ho.ho-nl-daily.2025-06-18.ansprache.ansprache
Autorin:
Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)