Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) hat das US-DNA-Testunternehmen 23andMe mit einer Strafe von 2,3 Millionen Pfund belegt. Grund ist ein schwerwiegender Datenleak im Jahr 2023, bei dem persönliche Informationen von über 150.000 britischen Kund:innen kompromittiert wurden.
Was wurde gestohlen?
Die Cyberangreifer erbeuteten sensible Daten wie:
- Namen und Postleitzahlen
- Familienstammbäume
- Gesundheitsberichte
- DNA-Informationen
Insgesamt waren weltweit rund 7 Millionen Menschen betroffen. Der britische Anteil sei zwar gering, aber die Daten besonders sensibel, so der britische Datenschutzbeauftragte John Edwards.
Massive Sicherheitslücken
Die Hacker nutzten sogenannte „Credential Stuffing“-Angriffe, also das Ausprobieren gestohlener Passwörter, die Nutzer bereits bei anderen Diensten verwendet hatten. 23andMe habe laut ICO versäumt, grundlegende Sicherheitsvorkehrungen wie eine starke Zwei-Faktor-Authentifizierung zu implementieren. Außerdem reagierte das Unternehmen monatelang nicht, obwohl erste Hinweise bereits im Sommer 2023 auftauchten. Erst ein Hinweis auf Reddit brachte den Vorfall ans Licht.
Konsequenzen und Übernahmepläne
Nach dem Vorfall forderten viele Kunden die Löschung ihrer DNA-Daten. 23andMe meldete im März 2024 Insolvenzschutz in den USA an. Derzeit steht eine Übernahme durch die ehemalige CEO Anne Wojcicki bevor, die mit ihrer Stiftung TTAM Research Institute 305 Millionen US-Dollar bietet. Sie versprach:
- verbesserte Datenschutzrichtlinien
- die Möglichkeit, Daten zu löschen oder die Forschungsteilnahme zu beenden
- kein Weiterverkauf genetischer Daten im Falle einer Übernahme oder Insolvenz
Kontext
Die ICO verhängt regelmäßig hohe Strafen für mangelhaften Datenschutz. Vergleichbare Fälle waren etwa:
- 2022: 4,4 Mio. £ gegen das Bauunternehmen Interserve
- 2024: 3,1 Mio. £ gegen einen NHS-IT-Dienstleister
Die 23andMe-Strafe ist ein weiteres Warnsignal für Unternehmen, die mit sensiblen Gesundheits- und Genetikdaten arbeiten.
