Thought Leadership
Der britische Outsourcing-Konzern Capita muss wegen schwerwiegender Datenschutzverstöße ein Bußgeld in Höhe von 14 Millionen Pfund zahlen. Bei einem Hackerangriff im März 2023 wurden die persönlichen Daten von 6,6 Millionen Menschen erbeutet, darunter Mitarbeiterdaten sowie Kundendaten von Capita-Klienten.
John Edwards, der britische Informationsbeauftragte, begründete die Strafe mit erheblichen Versäumnissen beim Schutz sensibler Informationen. Der Datendiebstahl habe bei den Betroffenen Angst und Stress ausgelöst. Betroffen waren unter anderem 325 Pensionsanbieter, die auf die Dienste des Unternehmens vertrauten.
Fatale Verzögerung bei der Reaktion
Die Strafe verteilt sich auf 8 Millionen Pfund für Capita selbst und 6 Millionen Pfund für die Tochtergesellschaft Capita Pension Solutions. Sie kommt zu einem Zeitpunkt, an dem britische Unternehmen mit einer Welle von Cyberangriffen zu kämpfen haben, die auch Konzerne wie M&S und Jaguar Land Rover lahmlegten.
Obwohl Capita den Angriff bereits nach zehn Minuten entdeckte, wurde das betroffene Gerät erst 58 Stunden später vom Netz genommen. In dieser Zeit konnten die Angreifer die Systeme weiter kompromittieren, fast ein Terabyte an Daten stehlen, Ransomware installieren und sämtliche Benutzerpasswörter zurücksetzen. Dadurch wurden die eigenen Mitarbeiter ausgesperrt.
Hochsensible Daten kompromittiert
Unter den gestohlenen Informationen befanden sich auch hochsensible Daten wie Strafregisterauszüge, Finanzdaten und sogenannte “besondere Kategorien personenbezogener Daten”, zu denen Angaben über ethnische Herkunft, Religion und sexuelle Orientierung zählen.
Die ursprünglich angesetzte Strafe von 45 Millionen Pfund wurde reduziert, nachdem Capita darlegte, Sicherheitsverbesserungen vorgenommen und mit den Aufsichtsbehörden sowie dem National Cyber Security Centre (NCSC) zusammengearbeitet zu haben. Das NCSC, Teil des britischen Geheimdienstes GCHQ, warnte diese Woche, dass sich die Zahl national bedeutsamer Cyberangriffe im Vereinigten Königreich im vergangenen Jahr mehr als verdoppelt habe.
Die Behörde appellierte an Unternehmen aller Größenordnungen, Notfallpläne für den Fall zu entwickeln, dass “Ihre IT-Infrastruktur morgen lahmgelegt wird und alle Bildschirme schwCapita mit 14 Millionen Pfund Bußgeld für Datenschutzverstöße belegt
Systematische Sicherheitsmängel aufgedeckt
Die Untersuchung der Datenschutzbehörde förderte gravierende Versäumnisse zutage: Vor dem Angriff hatte Capita es versäumt, bekannte Sicherheitslücken zu schließen. Das Security Operations Center war personell unterbesetzt, und die Sicherheitstests waren unzureichend – und das, obwohl das Unternehmen Millionen persönlicher und teilweise hochsensibler Datensätze verwaltete.
“Capita ist seiner Pflicht nicht nachgekommen, die Daten zu schützen, die ihm von Millionen Menschen anvertraut wurden”, erklärte Edwards. “Das Ausmaß dieses Datenlecks und seine Auswirkungen hätten mit angemessenen Sicherheitsmaßnahmen verhindert werden können.”
Der Informationsbeauftragte betonte die weitreichenden Folgen: “Wenn ein Unternehmen von Capitas Größe versagt, können die Konsequenzen erheblich sein. Nicht nur für diejenigen, deren Daten kompromittiert wurden – viele von ihnen haben uns von ihrer Angst und ihrem Stress berichtet –, sondern auch für das allgemeine Vertrauen in der Öffentlichkeit und für unseren künftigen Wohlstand. Wie unsere Strafe zeigt, ist keine Organisation zu groß, um ihre Verantwortung zu ignorieren.”
Unternehmen verspricht Besserung
Adolfo Hernandez, der CEO von Capita, verteidigte die Maßnahmen des Konzerns: “Als Organisation, die wesentliche öffentliche Dienstleistungen sowie Schlüsseldienste für Kunden aus dem Privatsektor erbringt, gehörte Capita zu den ersten Opfern der jüngsten Welle hochbedeutender Cyberangriffe auf große britische Unternehmen.”
Als er ein Jahr nach dem Angriff die Position des CEO übernahm, habe er die Transformation der Cybersicherheit beschleunigt, so Hernandez. “Mit neuer Digital- und Technologieleitung sowie erheblichen Investitionen haben wir unsere Cybersicherheitsposition massiv gestärkt, fortschrittliche Schutzmaßnahmen implementiert und eine Kultur kontinuierlicher Wachsamkeit etabliert.”
Ob die angekündigten Verbesserungen ausreichen, um künftige Angriffe abzuwehren, wird sich zeigen. Die drastische Zunahme von Cyberattacken lässt jedenfalls keine Verschnaufpause erwarten.
