linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

2,8 Millionen Euro Bußgeld für UniCredit nach erfolgreichem Cyberangriff

Schlagworte: Aufsichtsbehörde | Bussgeld

Die italienische Datenschutzaufsichtsbehörde GPDP hat eine Geldbuße von 2,8 Millionen Euro gegen UniCredit, die zweitgrößte Bank des Landes, verhängt.
Grund hierfür ist ein Datenschutzvorfall aus dem Jahr 2018, der tausende aktuelle und ehemalige Kund*innen betraf. Diese Mitteilung und die Hintergründe veröffentlichte die Behörde in ihrem Newsletter vom 7. März 2024.

Cyberangriff als Ursache

Die Überprüfungen, die nach der Meldung der Datenschutzverletzung durchgeführt wurden, zeigten, dass der Verstoß auf einen umfangreichen Cyberangriff auf das mobile Banking-Portal der Bank zurückzuführen war, der von Cyberkriminellen ausging.
Der Cyberangriff führte dazu, dass unrechtmäßig Vor- und Nachnamen, Sozialversicherungsnummern und Identifizierungscodes von etwa 778.000 aktuellen sowie ehemaligen Kund*innen erbeutet wurden.
Bei über 6.800 dieser betroffenen Kund*innen konnten die Angreifer zudem die PINs für den Portal-Zugang herausfinden. Diese sensiblen Daten wurden durch die HTTP-Antworten offengelegt, die von den Banksystemen an den Browser jedes Nutzers gesendet wurden, der versuchte auf das Mobile-Banking-Portal zuzugreifen. Dabei war es nicht erforderlich, dass die Anmeldung erfolgreich verlief.

Aufsichtsbehörde sieht Versäumnisse bei UniCredit

Die Aufsichtsbehörde stellte fest, dass UniCredit es versäumt hatte, angemessene technische und sicherheitstechnische Vorkehrungen zu treffen. Diese wären notwendig gewesen, um derartige Cyberattacken wirksam zu verhindern. Außerdem hätte dadurch vermieden werden können, dass ihre Kunden leicht zu erratende PINs nutzen.

Bei der Bemessung der Geldstrafe in Höhe von 2,8 Millionen Euro nahm die Datenschutzbehörde mehrere Faktoren in Betracht: die hohe Anzahl der Personen, deren Datenschutzrechte durch den Vorfall beeinträchtigt wurden, das Ausmaß der Verletzung sowie die finanzielle Kapazität der Bank.

 

Quellen:

Pressemitteilung / Offizielle Stellungnahme der  GPdP vom 07.03.2024

Unsere aktuellen News gibt es auf unserer Startseite und alle News in unserem Newsarchiv 

Technische und organisatorische Maßnahmen zur FernwartungssicherheitSchloß mit MenschFTC LogoFTC_png15 Millionen Euro Bußgeld gegen Avast Limited