Flug

britishairways_216861915947352.jpg
Hacker erbeuteten die Daten von insgesamt 429'000 Kunden von British Airways. Die britische Datenschutzbehörde ICO war «not impressed». Bild: British Airways Ltd.

British Airways zur Zahlung einer riesigen Busse verdonnert

Aufgrund gehackter Passagierdaten im letzten Jahr muss die Airline nun umgerechnet rund 227 Millionen Franken Strafgeld zahlen. Doch die Muttergesellschaft IAG will Rekurs einlegen.

Im September 2018 gab British Airways bekannt, dass über den Zeitraum von zwei Wochen gegen Hacker gekämpft wurde und dabei 380'000 Kundendaten von den Angreifern erbeutet wurden. Der Imageschaden war schlimm genug, doch nun folgt noch eine saftige Busse vom Information Commissioner's Office (ICO), also vom britischen Datenschutzbeauftragten: Die ICO hat angekündigt, British Airways mit einer Busse in Höhe von 183,39 Millionen Pfund (rund 227 Millionen Franken) wegen Verstössen gegen das Datenschutzgesetz («General Data Protection Regulation») zu belegen. Die Höhe der Busse entspricht genau 1,5 Prozent des Jahresumsatzes von British Airways im Jahr 2017.

Die Airline wird gebüsst, weil sie die persönlichen Daten der Passagiere nicht genügend gut geschützt habe. Alex Cruz, der CEO von British Airways, zeigte sich über das aussergewöhnliche Urteil enttäuscht und verwies in einer Stellungnahme darauf, dass man sich so gut wie eben möglich gegen die Hackerangriffe gewehrt habe und mit den betroffenen Daten bislang keine betrügerischen Aktivitäten getätigt wurden. Derweil erklärte Willie Walsh, CEO der Muttergesellschaft IAG, dass er Berufung einlegen und das Gespräch mit der ICO suchen werde. Zugunsten von British Airways spricht der Umstand, dass Airlines immer öfter im Visier von Cyberkriminellen sind und man auch mit guten Schutzmechanismen den vollständigen Schutz kaum hundertprozentig garantieren kann.

Gegen die Airline spricht allerdings die Kommunikation des Vorfalls. Nachdem es ursprünglich hiess, 380'000 Kundendaten seien betroffen, korrigierte British Airways diese Zahl später. Zunächst hiess es, von den 380'000 möglicherweise gestohlenen Daten seien effektiv 244'000 betroffen, also gestohlen worden; dann kam aber heraus, dass weitere 185'000 Kunden betroffen waren aufgrund eines Vorfalls, der zwischen dem 21. April und dem 28. Juli erfolgte, also lange vor dem bekannten und dokumentierten Vorfall. Die ICO hielt fest, dass die Cybersicherheits-Prozesse der Airline beim Log-in, bei der Kreditkartenzahlung und bei den Buchungsdetails wie Name und Adresse «schwach» seien. Und es war ja nicht der erste schwere IT-Vorfall bei British Airways: Im Mai 2017 hatte schon ein grosser Systemausfall für Chaos gesorgt.

(JCR)