Schadensersatz: Equifax zahlt 700 Millionen US-Dollar

Wirtschaftsauskunftei muss Opfer von Datenschutzverletzungen entschädigen

[datensicherheit.de, 25.07.2019] Nachdem die Wirtschaftsauskunftei Equifax von einer schweren Datenschutzverletzung im Jahr 2017 betroffen war – mit Auswirkungen auf personenbezogene Daten von etwa 147 Millionen Kunden – hat das Unternehmen, konfrontiert mit einer Reihe von Kundenforderungen und Untersuchungen, nun zugestimmt, mindestens 700 Millionen US-Dollar in einer weltweit gültigen Vereinbarung mit der Federal Trade Commission, dem Consumer Financial Protection Bureau (CFPB) und 50 US-Staaten an Schadenersatz zu zahlen. Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4 kommentiert diesen Fall und unterstreicht die Notwendigkeit zu Fortbildung der Mitarbeiter datenverarbeitender Unternehmen insbesondere hinsichtlich der Abwehr von Angriffen auf Basis des „Social Engineering“.

Foto: KnowBe4

Jelle Wieringa: „Menschliche Firewall“ für Unternehmen ausbilden!

Hacker nutzten Sicherheitslücke bei Equifax aus

Im Falle von Equifax hätten die Hacker eine Sicherheitslücke ausgenutzt, „wodurch sie ein Tool zum Erstellen von Webanwendungen verwendet haben, um die Kundendaten zu stehlen bzw. zu kopieren“, so Wieringa. In den USA sei dies bislang der größte „Hack“, bei dem sensible Informationen wie Namen, Sozialversicherungsnummern, Führerscheinnummern und Adressen aller Betroffenen offengelegt worden seien.
Der Finanzdienstleister habe bereits zwei Monate von der Sicherheitslücke gewusst, bevor er mit den Informationen über einen erfolgreichen Hacker-Angriff zum ersten Mal an die Öffentlichkeit gegangen sei.

Barzahlungen von bis zu 20.000 US-Dollar für Opfer

Die Opfer könnten kostenlose Dienstleistungen zur Überwachung der Kreditwürdigkeit und zum Schutz vor Identitätsdiebstahl in Anspruch nehmen, sowie Barzahlungen von bis zu 20.000 US-Dollar erhalten, wenn sie einen durch den Sicherheitsvorfall entstandenen Schaden nachweisen können.
Wieringa: „Sie erhalten außerdem kostenlose Hilfe bei der Wiederherstellung der Kreditwürdigkeit über den Zeitraum von bis zu sieben Jahren.“ US-Bürger profitierten außerdem von kostenlosen Kreditberichten für alle US-Kunden im Zeitraum von bis zu mindestens sieben Jahren ab dem Jahr 2020.

Mitarbeiter ausgiebig mit Hilfe eines „New School Security Awareness Training-Programms“ schulen!

Dieser Vorfall und seine Folgen zeigten die Notwendigkeit auf, den Datenschutz persönlicher Daten ernstzunehmen und unverzüglich zu handeln, „wenn Fehler in den Netzwerk- und Sicherheitssystemen aufgedeckt werden“. Unternehmen sollten als beste Schutzmaßnahme vor Datenschutzverletzungen und Sicherheitsverstößen zuvorderst ihre Mitarbeiter ausgiebig mit Hilfe eines „New School Security Awareness Training-Programms“ schulen.
Teil solcher Programme sollten regelmäßig durchgeführte simulierte Phishing-Tests mit guten Beispielen von Social-Engineering-Angriffen sein. „Die Trainings unterstützen die geschulten Mitarbeiter dabei, bösartige E-Mails und Webinhalte zu erkennen. Werden die Lerninhalte kontinuierlich wiederholt und getestet, steigt die Chance, Cyber-Attacken via Phishing und anderen Angriffsformen zu erkennen und mit Hilfe der IT-Abteilung zu neutralisieren, bevor Gefahr entsteht.“ In diesem Fall verfüge das Unternehmen über eine Art von „menschlicher Firewall“, so Wieringa.

Weitere Informationen zum Thema:

FEDERAL TRADE COMMISSION, Juli 2019
Equifax Data Breach Settlement

DARKReading, Curtis Franklin Jr., 22.07.2019
Equifax to Pay Up to $700M for Data Breach Damages

CNN BUSINESS, Selena Larson, 01.03.2018
Equifax says hackers stole more than previously reported

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser

datensicherheit.de, 04.07.2019
Forcepoint Cybersecurity Report: Trends und Entwicklungen 2019 – eine erste Bilanz

datensicherheit.de, 16.07.2019
TrickBooster: TrickBot-Malware-Variante entdeckt

datensicherheit.de, 08.07.2019
Tippverhalten-basierte Sicherheitslösung sind zu kompromittieren

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 27.06.2019
Hacker: Mehr als 10 weltweit tätige Telekommunikationsanbieter infiltriert

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen