Bei einem Hacker-Angriff stahlen Cyber-Kriminelle neun Millionen Kundendaten der britischen Billigfluggesellschaft. Dass nach dem Grossunternehmen Equifax nun auch Easyjet gehackt wurde, wirft einige Fragen zu deren Sicherheitspolitik auf.
Easyjet gehackt: Schleppende Informationspolitik
Nach eigenen Angaben hatte das Unternehmen bereits im Januar erste Hinweise auf eine Cyber-Attacke. Trotzdem wartete Easyjet bis Ende Mai, um die Öffentlichkeit zu informieren. Ob das Unternehmen das vollständige Ausmass der Attacke überhaupt kennt, bleibt unklar. Bei den gestohlenen Daten soll es sich um E-Mail-Adressen und Flugdaten von neun Millionen Kunden handeln. Ausserdem entwendeten die Kriminellen rund 2.200 Kreditkartendaten. Laut BBC waren darunter auch Sicherheitsmerkmale wie die dreistellige CVV-Nummer auf der Rückseite der Kreditkarte. Das Ablaufdatum fiel den Dieben ebenfalls in die Hände.
Kundeninformation erst auf Anraten von Datenschützern
Nach Recherchen der BBC ereigneten sich die Diebstähle der Kreditkartendaten schon Anfang April. Dass Easyjet Ende Mai endlich die Kunden informierte, war offensichtlich nur dem Anraten der Datenschutzbehörde zu verdanken. Anschliessend wurde die Börse London Stock Exchange informiert. Easyjet teilte mit, unverzüglich Schritte unternommen zu haben, um auf den Angriff zu reagieren.
Dazu engagierte das Unternehmen Forensiker und informierte das nationale Zentrum für Cybersicherheit. Der Zugang der Hacker wurde gesperrt. Die späte Information begründete Easyjet damit, dass die Experten zunächst analysieren mussten, welcher Schaden entstanden war. Das tatsächliche Ausmass habe sich erst nach fortschreitenden Untersuchungen gezeigt.
Easyjet gehackt: Vieles bleibt im Dunkeln
Experten können sich nicht erklären, warum die Hacker bei einem Zugriff auf neun Millionen Kundendaten «nur» 2.200 Kreditkartendaten abfischten. Easyjet spricht von hochprofessionellen Angreifern — umso merkwürdiger, dass die Diebe nicht weit mehr Daten entwendeten. Motiv und Art des Angriffs nennt die Billigfluggesellschaft nicht. Angeblich zielte der Angriff auf das «geistige Eigentum» des Unternehmens und nicht vordergründig auf Kundendaten.
Möglicherweise harte Sanktionen
Die Datenschutzbehörde ICO hat Ermittlungen aufgenommen. Die Datenschützer betonen, dass Kunden ein Recht darauf haben, dass Unternehmen mit ihren Daten verantwortungsbewusst und sicher umgehen. Sollte Easyjet diese Regeln verletzt haben, will die ICO harte Massnahmen ergreifen. Als Vergleichsfall gilt British Airways: Dort wurden 2018 rund 244.000 Kreditkartendaten gestohlen — die Behörde verhängte ein Bussgeld von 200 Millionen Euro.
Equifax muss bis zu 700 Millionen Dollar Schadensersatz zahlen
Das US-Scoring-Unternehmen Equifax kam ein ähnlicher Angriff teuer zu stehen. Nach langen Verhandlungen mit der Handelsaufsicht FTC und betroffenen Verbrauchern einigte sich der Finanzdienstleister auf ein Bussgeld. Ein Grossteil der rund 700 Millionen Dollar soll dabei als direkte Entschädigung für betroffene Kunden fliessen.
Nicht nur Easyjet gehackt: Cyber-Kriminelle entwenden 143 Millionen Datensätze
Bei Equifax machten die Datendiebe reichlich Beute. Der Finanzdienstleister betreibt ein sogenanntes «Scoring» von Verbrauchern — bis zu 143 Millionen dieser Datensätze entwendeten die Kriminellen. Ähnlich wie bei Easyjet handelte es sich vielfach um Sozialversicherungs- und Kreditkartennummern. Das Datenleck soll von Mitte Mai bis in den Juli 2017 bestanden haben. Nach Entdeckung der Attacke schlossen die Techniker die Sicherheitslücke sofort. Betroffen waren neben US-Kunden auch Menschen aus Kanada und Grossbritannien.
Spezialist im Kampf gegen Datendiebstahl wird selbst Opfer
Anleger reagierten damals überrascht — was kaum verwunderlich ist. Die Aktie von Equifax brach ein. Besonders brisant: Equifax vertrieb selbst Produkte gegen Daten- und Identitätsdiebstahl. Das sorgte für zusätzliche Verunsicherung. Hinzu kommt, dass es nicht der erste Angriff auf das Unternehmen war. Bereits 2013 war Equifax Opfer einer Cyber-Attacke. Damals entwendeten Kriminelle persönliche und Finanzdaten einiger Prominenter — darunter die des damaligen Vizepräsidenten Joe Biden und der First Lady Michelle Obama.