In einem inzwischen gelöschten Beitrag in einem bekannten Leak-Forum veröffentlichte ein Unbekannter unter dem Pseudonym „Optusdata“, dass er im Besitz von 11,2 Millionen Kundendaten sei. Dazu lud er einen begrenzten authentischen Kundendatensatz dieser Daten hoch und verlangte 1 Million Dollar, um diesen zu löschen.
Auch Optus selbst bestätigte, dass sie Opfer eines Cyberangriffs waren, bei dem sich Angreifer Zugang zu Daten ehemaliger und bestehender Kunden verschafften. Optus erklärte, man habe den Angriff schnell erkannt, sofort gestoppt und die australischen Behörden zur Untersuchung des Vorfalls eingeschaltet.
Die australische Regierung spricht von einem Verlust von 9,8 Millionen Kundendaten. Davon sollen 2,8 Millionen Daten wie Ausweis- und Führerscheinnummern enthalten. Nach Angaben von Optus waren 36.900 Krankenversicherungsnummern betroffen, von denen 22.000 jedoch ungültig seien. Passwörter oder Zahlungsinformationen waren von dem Hackangriff jedoch nicht betroffen.
Während der CEO von Optus von einem raffinierten Angriff spricht, wirft die australische Regierung dem Unternehmen unzureichende Sicherheitsvorkehrungen vor. Inzwischen verdichten sich die Hinweise, dass der unberechtigte Zugriff aufgrund einer offenen und ungesicherten API möglich war.
Was ist eine API?
Eine API (Application Programming Interface) stellt eine Programmierschnittstelle dar und ermöglicht einen schnellen standardisierten Datenaustausch. Das erleichtert vor allem Unternehmen den Datentransfer erheblich. Dies lässt sich vielfach im E-Commerce-Bereich beobachten. Einzelhändler stellen APIs zur Verfügung, um Daten über den Produktbestand zu erfassen. Die Systeme der Kunden kommunizieren über die API mit dem System des Einzelhändlers und erhalten so Informationen über die Verfügbarkeit dieser Produkte.
Folgen und Konsequenzen des Hackangriffs bei Optus
- Für die Kunden
Für viele Kunden bedeutet der Vorfall eine Gefahr des Identitätsdiebstahls, insbesondere wegen der Fülle an erbeuteten Informationen.
- Für Optus
- Die Regierung erwartet, dass Optus alles in seiner Macht Stehende tut, um betroffene Kunden zu unterstützen. In einem ersten Schritt sollen die Kosten für den Schutzdienst „Equifax Protect“ für diese Kunden übernommen werden. Dieser bietet Kredit- und Identitätsüberwachungsdienste an, sodass ein etwaiger Identitätsmissbrauch schnellstmöglich erkannt und unterbunden werden kann.
- Weiter soll Optus die Kosten für Neubeantragungen von Dokumenten tragen. Dies wird nötig, weil unter anderem Personalausweis-, Führerschein- und Krankenversicherungsnummern Teil der erbeuteten Daten darstellen.
Ausblick auf den Datenschutz in Australien
Die EU-Kommission hat in Bezug auf Australien bisher keinen Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DS-GVO gefasst. Mit den aktuell geltenden Datenschutzgesetzen entspricht der Schutz personenbezogener Daten in Australien, nicht dem Niveau nach der DS-GVO. Ebendies wäre jedoch für einen Angemessenheitsbeschluss notwendig. Die australische Regierung hat jedoch bereits angekündigt, ihre Datenschutzgesetze zu überprüfen und ggf. zu verschärfen. Die Höchststrafe für Cybersecurity-Verstöße war bisher auf 2,2 Millionen Dollar (1,4 Millionen Euro) begrenzt und soll nun auf 50 Millionen Dollar oder 30 Prozent des bereinigten Umsatzes eines Unternehmens in dem betreffenden Zeitraum erhöht werden. Zum Vergleich sieht die DS-GVO in solchen Fällen eine Strafe von bis zu 4 Prozent des Umsatzes eines Unternehmens oder maximal 20 Millionen Euro vor.
Handlungsempfehlung
Der Fall Optus zeigt, dass Nachlässigkeiten von Unternehmen von Hackern bemerkt und ausgenutzt werden. Sowohl für Unternehmen als auch für ihre Kunden haben solche Hackerangriffe schwerwiegende Folgen (auch nach der DS-GVO). Um von Hackerangriffen und daraus folgenden Bußgeldstrafen verschont zu bleiben sowie um Kunden den notwendigen Schutz ihrer Daten garantieren zu können, empfehlen wir Unternehmen, ihre Sicherheitsvorkehrungen regelmäßig zu überprüfen und gegebenenfalls zu optimieren.