Die britische Datenschutzbehörde (ICO) hat das US-Gentestunternehmen 23andMe mit einer Geldstrafe von 2,3 Millionen Pfund belegt. Grund ist ein schwerwiegender Cyberangriff im Sommer 2023, bei dem persönliche Daten von über 150.000 britischen Nutzern kompromittiert wurden.
Was wurde gestohlen?
Die Hacker erlangten Zugriff auf:
- Namen, Postleitzahlen und Gesundheitsdaten
- Familienstammbäume und genetische Informationen
- Ethnische Herkunft und Krankheitsrisiken
Der Vorfall blieb monatelang unbemerkt und wurde erst öffentlich, als ein Mitarbeiter gestohlene Daten auf Reddit zum Verkauf entdeckte. Insgesamt waren rund 7 Millionen Menschen weltweit betroffen.
Kritik der Aufsichtsbehörde
Der britische Datenschutzbeauftragte John Edwards sprach von einem „tiefgreifend schädlichen Verstoß“ und kritisierte, dass 23andMe grundlegende Sicherheitsmaßnahmen unterlassen habe – etwa eine stärkere Authentifizierung. Die Hacker nutzten eine „Credential Stuffing“-Taktik, bei der gestohlene Passwörter aus anderen Datenlecks automatisiert ausprobiert wurden.
„Die Warnzeichen waren da, doch das Unternehmen reagierte zu langsam“, so Edwards.
Folgen und Übernahmepläne
- Viele Nutzer forderten die Löschung ihrer DNA-Daten.
- 23andMe beantragte Insolvenzschutz in den USA.
- Eine Übernahme durch Ex-Chefin Anne Wojcicki ist im Gange.
- Ihr Institut TTAM hat zugesichert, dass künftig bessere Datenschutzmaßnahmen gelten sollen – u.a. können Nutzer ihre Daten löschen oder sich jederzeit von Studien abmelden.
Weitere Bußgelder der ICO
- 2022: Interserve – £4,4 Mio. Strafe für verlorene Mitarbeiterdaten
- 2024: Advanced Computer Software Group – £3,1 Mio. wegen gefährdeter NHS-Daten
Der Fall zeigt einmal mehr, wie kritisch Datensicherheit bei sensiblen Informationen wie genetischen Daten ist – und wie schwerwiegend die Folgen mangelhafter Schutzmaßnahmen sein können.
