8 min Zuletzt auktualisiert: 03.09.2024

Easy Jet Hack: Was wir über Datenschutz lernen können

Hackerangriff EasyJet – wie geht das?

Vor etwa einem Jahr war der Easy Jet Hack der britische Fluggesellschaft in allen Medien. Die Täter haben mittels eines Datenlecks persönliche Daten und Reiseinformationen von über neun Millionen Kunden der Airline erbeutet. Etwa 770.000 von ihnen waren deutsche Kunden. Es wurden Namen, E-Mail-Adressen und Reisedaten abgegriffen. Zudem wurden von rund 2000 betroffenen Kunden die digitalen Sicherheitscodes – die CVV Nummer der Kreditkarten – gestohlen. Reisepassdaten waren nicht betroffen.

Der Angriff fand bereits im Januar 2020 statt, informiert wurden die ersten Kunden allerdings erst im April. Laut EasyJet war es im Verlauf der Untersuchung erst zu diesem Zeitpunkt möglich, die betroffenen Personen zu identifizieren. Im Mai ging das Unternehmen endgültig an die Öffentlichkeit, um ihre Kunden vor möglichen Phishing-Attacken zu warnen.

Easy Jet Hack – was tun?

Wenn Sie bislang nicht informiert wurden, sind Ihre Namen, E-Mail-Adressen oder Kreditkartendaten nicht erbeutet worden. EasyJet hat alle betroffenen Kunden in Kenntnis gesetzt und rät weiterhin zur Vorsicht bei vermeintlichen E-Mails mit EasyJet-Absender. Für betroffene Kunden wurde eine Hotline eingerichtet und das Credit Monitoring, zur Überwachung der entsprechenden Kreditkarten, übernommen.

Nun ermittelt die britische Datenschutzbehörde (ICO) im Fall der Datenpanne bei EasyJet: „Die Menschen haben das Recht zu erwarten, dass Organisationen sicher und verantwortungsvoll mit ihren persönlichen Daten umgehen. Wenn das nicht der Fall ist, werden wir das untersuchen und wenn nötig robuste Maßnahmen ergreifen.“

Auch in Deutschland kam es 2020 zu einem großen Datenleck. Beim Autovermieter Buchbinder standen persönliche Daten von Millionen Kunden, darunter auch Politiker, Prominente sowie unzählige Botschaftsmitarbeiter, wochenlang aufgrund eines offenen unentdeckten Ports frei zugänglich im Internet. Ein Teil des Datenlecks bei Buchbinder bestand u.a. aus einer Unfall-Datenbank des Unternehmens mit über 500.000 gelisteten Unfällen inklusive Namen, Adressen und Kennzeichen. Es ist davon auszugehen, dass Buchbinder für diesen Vorfall mit hohen Schadensersatzforderungen und Strafzahlungen an die zuständige Datenschutzbehörde rechnen muss.

Was genau ist Phishing?

Häufig basieren Phishing-Attacken auf einer E-Mail, die scheinbar von einem seriösen Absender stammt. Ihr Ziel ist es, Schadsoftware auf die Rechner der Opfer zu schleusen, Daten abzufangen und Schaden anzurichten. Im Fall des Datenlecks bei EasyJet wurden die Kunden deshalb dringend gebeten, besonders aufmerksam zu sein und E-Mails mit dem Absender der Airline nur mit gebührender Vorsicht zu öffnen. Denn gerade im Zusammenhang mit der Covid19-Pandemie kam es vermehrt zu Flugstornierungen oder anderen kurzfristigen Änderungen im Reiseverkehr, die weitere E-Mails von EasyJet rechtfertigen würden.

Auch Nachrichten von vermeintlichen Corona-Hilfen, dem angeblichen Arbeitgeber oder der Bundesregierung mit Links zu gefälschten Webseiten sind in den letzten Monaten immer häufiger aufgetreten. Die verlinkten Webseiten bieten den Betroffenen jedoch keine der angepriesenen Informationen, sondern sind lediglich darauf ausgelegt, Daten zu stehlen.

Google alleine blockiert aus diesem Grund jeden Tag mehr als 100 Millionen Phishing-E-Mails an Gmail-Nutzer.

Sind Ihre Daten betroffen?

Nach einem Cyber-Angriff findet sich ein Großteil der betroffenen E-Mail-Adressen in Internet-Datenbanken wieder, die oftmals für weitere kriminelle Handlungen verwendet werden. Mit dem Identity Leak Checker des Hasso-Plattner-Instituts können Sie überprüfen, ob Ihre E-Mail-Adresse schon einmal einer Cyber-Attacke zum Opfer gefallen ist. Dieser durchsucht entsprechende Datenbanken nach Ihrer E-Mail-Adresse und schickt Ihnen den Status Ihrer Gefährdung. Somit können Sie genau nachvollziehen, wann und wo Ihre Daten betroffen waren. Als Reaktion wird Ihnen meist die Änderung Ihres Passwortes empfohlen. Sollten zudem Informationen wie Namen, Bank- und Kreditkartendaten oder der Sozialversicherungsnummer betroffen sein, wird zu einer Anzeige geraten.

Hohe Strafzahlungen für Unternehmen bei Datenschutzpannen

Hackerangriffe wie die EasyJet Cyber-Attacke können zu hohen Bußgeldstrafen der zugehörigen Datenschutzbehörde führen. So ordnete beispielsweise die britische Datenschutzbehörde ICO 2018 eine Strafzahlung von ca. 200 Millionen Euro für die Fluggesellschaft British Airways, nach einem Diebstahl von hunderttausenden Kreditkartendaten, an. Die Höhe der Strafzahlung begründete die ICO vor allem mit den „unzureichenden Security-Maßnahmen“, die den Hackerangriff erst möglich gemacht hätten.

Die Höhe der Strafe ist in den meisten Fällen einerseits von der Schwere des Datenlecks und andererseits sowohl von den Vorkehrungen als auch der entsprechenden Reaktion des Unternehmens abhängig. Der US-Finanzdienstleister Equifax erklärte sich z.B. 2019 außergerichtlich dazu bereit, eine Geldstrafe von über 575 Millionen Dollar in den USA und Großbritannien zu zahlen. 2017 hatten Hacker eine bereits lange im Unternehmen bekannte Sicherheitslücke ausgenutzt und 150 Millionen persönliche Kundendaten offengelegt. Zudem hatte das Unternehmen die Öffentlichkeit erst nach einigen Wochen über die Panne informiert.

Seit dem Inkrafttreten der neuen DSGVO müssen auch europäische Unternehmen, die sich und ihre Kundendaten nicht ausreichend schützen, im Falle eines Datenlecks oder erfolgreichen Phishing-Angriffs mit hohen Geldstrafen rechnen.

So sind in der DSGVO beispielsweise bei der Verletzung von Zertifizierungs- oder Überwachungspflichten ein Bußgeld von bis zu 10 Millionen Euro möglich. Bei Missachtung der Anweisung einer Aufsichtsbehörde können es bis zu 20 Millionen Euro werden. (Art. 83 DSGVO)

Wie stärken wir unsere Cyber-Resilienz?

Die vermehrten Angriffe durch Hacker aus dem Netz müssen zu einer stärkeren Widerstandsfähigkeit der Unternehmen führen. Die Cyber-Resilienz von Unternehmen kann vor allem durch klare Richtlinien, deren sich alle Mitarbeiter und Mitarbeiterinnen bewusst sind, gestärkt werden.

Die Widerstandsfähigkeit des Unternehmens ist deshalb ein wichtiges Stichwort in Bezug auf die Prävention, aber auch auf die Reaktion von Phishing-Attacken und Angriffen durch Hacker.

Mit unserer Online-Schulung Informationssicherheit für Mitarbeiter minimieren Sie das Risiko Ihres Unternehmens, Opfer eines Cyber-Angriffs zu werden, indem diese Ihre Mitarbeiter und Mitarbeiterinnen über die wichtigsten Verhaltensweisen und Vorkehrungen, die es für die Sicherheit Ihres Unternehmens zu treffen gilt, aufklärt.


Quellen:

Unsere Auszeichnungen

Comenius-Siegel-2024 DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6345575261236 von 5 Sternen 2634 Bewertungen auf ProvenExpert.com