23AndMe hatte vor dem „äußerst schädlichen“ Hack „unzureichende“ Sicherheit: Untersuchung
Das Gendatenunternehmen 23AndMe verfügte über „unzureichende“ Sicherheitssysteme und reagierte „langsam“ auf Warnsignale, dass sensible Kundendaten gefährdet seien, bevor es zu dem „äußerst schädlichen“ Datenleck im Jahr 2023 kam, sagen Datenschutzbeamte.
Der kanadische Datenschutzbeauftragte Philippe Dufresne und der britische Informationsbeauftragte John Edwards veröffentlichten am Dienstag die Ergebnisse ihrer gemeinsamen Untersuchung des Verstoßes .
Die Untersuchung ergab, dass von den weltweit fast sieben Millionen betroffenen Menschen die sensiblen genetischen Daten von fast 320.000 Kanadiern und über 150.000 Menschen in Großbritannien durch Hacker kompromittiert wurden.
Dufresne sagte am Dienstag, der Verstoß diene allen Organisationen als „warnendes Beispiel“ für die Bedeutung des Datenschutzes.
Großbritannien verhängt Geldstrafe gegen 23andMe wegen „äußerst schädlichem“ Datenschutzverstoß
Dufresne fügte hinzu, dass es bei 23andMe an Sicherheitsmaßnahmen mangele. Dazu gehörten geeignete Authentifizierungs- und Verifizierungsmaßnahmen im Rahmen des Anmeldevorgangs, wie etwa eine Multi-Faktor-Authentifizierung und sogar strenge Mindestanforderungen für Passwörter.
Die Geschichte geht unter der Anzeige weiter
„Datenlecks werden immer schwerwiegender und komplexer, und die Zahl der Ransomware- und Malware-Angriffe nimmt stark zu. Jedes Unternehmen, das dem Datenschutz keine Priorität einräumt und diesen Bedrohungen nicht begegnet, wird zunehmend anfällig“, sagte Dufresne.
Während der kanadische Datenschutzbeauftragte nicht befugt ist, Geldbußen zu verhängen, kann der britische Informationsbeauftragte dies tun – und in diesem Fall hat er gegen 23andMe eine Geldbuße von insgesamt 2,31 Millionen Pfund verhängt.
Die Geldstrafe sei darauf zurückzuführen, dass 23andMe „keine angemessenen Sicherheitsmaßnahmen zum Schutz der persönlichen Daten britischer Nutzer ergriffen hat“, sagte Edwards.
Cybersicherheitsexperte erklärt, was die Insolvenz von 23andMe für Kundendaten bedeutet
Edwards sagte, dass durch den Datendiebstahl im Oktober 2023 sensible persönliche Informationen, Familiengeschichten und sogar Gesundheitszustände offengelegt wurden.
Erhalten Sie jeden Sonntag die neuesten medizinischen Nachrichten und Gesundheitsinformationen.
„Das war ein äußerst schädlicher Verstoß“, sagte er.
23andMe hat es versäumt, grundlegende Maßnahmen zum Schutz der persönlichen Daten zu ergreifen. Die Sicherheitssysteme waren unzureichend. Die Warnsignale waren da, und das Unternehmen reagierte nur langsam. Dadurch waren die sensibelsten persönlichen Daten der Menschen anfällig für Missbrauch und Schäden.
Die Geschichte geht unter der Anzeige weiter
Er erklärte Reportern weiter, dass sein Büro von Betroffenen des Datenlecks gehört habe und dass diese „besorgt“ darüber seien, was dies für ihre persönliche, finanzielle und familiäre Sicherheit bedeuten könnte.
Laut Dufresne ergaben die Ermittlungen, dass gestohlene Daten auch online zum Verkauf angeboten wurden, wodurch die persönlichen Daten betroffener Personen „einem weiteren Risiko“ ausgesetzt wurden.
Gesundheitsfragen: Regeneron kauft 23andMe
Das Unternehmen einigte sich Ende letzten Jahres in einem Vergleich, in dem 23andMe beschuldigt wurde, die Privatsphäre von 6,9 Millionen Kunden, deren persönliche Daten durch den Datendiebstahl offengelegt wurden, nicht geschützt zu haben. Das Unternehmen wurde zur Zahlung von 30 Millionen US-Dollar und zur Bereitstellung einer dreijährigen Sicherheitsüberwachung verurteilt.
In den Monaten seit dem Datenleck war das Unternehmen mit zahlreichen Problemen konfrontiert. So sank sein Börsenwert um mehr als 97 Prozent und im vergangenen September traten seine sieben unabhängigen Direktoren zurück, als bekannt wurde, dass der ursprüngliche Gründer plante, das Unternehmen erneut zu privatisieren.
Die Geschichte geht unter der Anzeige weiter
Das Unternehmen hat nie einen Gewinn erzielt und im März Insolvenz angemeldet . Nach einem Nachfragerückgang und dem Datenleck im Jahr 2023 wollte es sein Geschäft versteigern.
Regeneron Pharmaceuticals hatte sich im vergangenen Monat bereit erklärt, das Unternehmen für 256 Millionen US-Dollar zu kaufen, lehnte es am Montag jedoch ab, ein neues Angebot für das Unternehmen abzugeben, nachdem die Mitbegründerin von 23andMe, Anne Wojcicki, das Angebot überboten und 305 Millionen US-Dollar aus der von ihr kontrollierten Non-Profit-Organisation bereitgestellt hatte.
Insolvenzantrag von 23andMe löst Datenschutzbedenken aus
Das Angebot von Wojcicki soll laut ihrem gemeinnützigen Forschungsinstitut TTAM in den kommenden Wochen nach einer für Dienstag angesetzten Gerichtsverhandlung abgeschlossen werden. Das Institut erklärte, es werde die bestehenden Datenschutzrichtlinien von 23andMe einhalten und alle geltenden Datenschutzgesetze einhalten.
Reporter fragten Dufresne auch nach Wojcicki, der während des Datendiebstahls CEO war und nun erneut die Leitung übernehmen und möglicherweise Daten außerhalb des Unternehmens verkaufen könnte.
Die Geschichte geht unter der Anzeige weiter
Er sagte, das Unternehmen habe Schritte unternommen, um einige der Empfehlungen seiner und Edwards‘ Büros umzusetzen, und habe vom neuen Käufer die Zusicherung erhalten, dass man die bestehenden Datenschutzrichtlinien und -klauseln respektieren werde.
„Wir haben in dem Bericht darauf hingewiesen, dass wir dies aufmerksam verfolgen werden, dass die Verpflichtungen auch für jeden neuen Eigentümer weiterhin gelten sollten und dass unsere Bürger sich bei etwaigen Bedenken an uns wenden können und wir die entsprechenden Schritte einleiten werden“, sagte Dufresne.
Er fügte hinzu, sein Büro könne zwar keine Geldstrafen verhängen, gebe aber Empfehlungen an die Regierung und arbeite bei Bedarf mit der internationalen Gemeinschaft zusammen. In geeigneten Fällen könne er sich auch an das Bundesgericht wenden, um eine Anordnung zur Verhängung verbindlicher Verpflichtungen für eine Organisation zu erwirken.
Edwards erteilte 23andMe jedoch eine weitere strenge Warnung, dass weitere Geldstrafen und Zwangsmaßnahmen drohen könnten, wenn keine Maßnahmen ergriffen würden.
„Es handelt sich um fortlaufende Verpflichtungen, daher wurde die Führung darauf aufmerksam gemacht, dass sie gegen die Vorschriften verstoßen haben“, sagte Edwards. „Sie haben den nach britischem Recht geforderten Standard nicht erreicht. Wenn sie dies nicht beheben, bleiben sie weiterhin gegen die Vorschriften verstoßen und könnten weiteren Zwangsmaßnahmen ausgesetzt sein.“
Großbritannien verhängt Geldstrafe gegen 23andMe wegen „äußerst schädlichem“ Datenschutzverstoß
Cybersicherheitsexperte erklärt, was die Insolvenz von 23andMe für Kundendaten bedeutet
