Bild: Samuel Boivin / Shutterstock.com

Hackerangriff wird zur teuren Lektion: 42 Millionen Euro Bußgeld für Datenschutzpannen

Das französische Telekommunikationsunternehmen Free und seine Mobilfunktochter Free Mobile erleben derzeit, wie aus einem Cyberangriff ein teures Datenschutz-Desaster werden kann. Nach einem schweren Sicherheitsvorfall im Oktober 2024, bei dem die persönlichen Daten von rund 24 Millionen Kunden in falsche Hände gerieten, hat die französische Datenschutzbehörde CNIL jetzt ein deutliches Zeichen gesetzt: 42 Millionen Euro Bußgeld – aufgeteilt in 27 Millionen für Free Mobile und 15 Millionen für die Muttergesellschaft Free.

Doch nicht nur der Angriff selbst, sondern vor allem das Verhalten der Unternehmen nach dem Vorfall brachte sie ins Visier der Aufsichtsbehörde.

Was ist passiert? Datenleck durch schwache Sicherheitsvorkehrungen

Im Oktober 2024 verschafften sich unbekannte Angreifer Zugriff auf die internen Systeme von Free und Free Mobile. Betroffen waren Namen, Adressen – und in vielen Fällen sogar die IBANs der Kunden. Was die Sache besonders brisant macht: Der Einstieg erfolgte offenbar über unzureichend gesicherte VPN-Zugänge, wie sie etwa im Homeoffice genutzt werden.

Auch die internen Sicherheitssysteme reagierten nicht oder zu spät. Der Datenabfluss blieb zu lange unbemerkt – ein klarer Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), so die CNIL. Denn Unternehmen müssen nicht nur Daten schützen, sondern auch in der Lage sein, ungewöhnliche Zugriffe zu erkennen und abzuwehren. Beides ist hier offenkundig misslungen.

Kritik: Informationspolitik „unzureichend“, Datenspeicherung „übertrieben“

Besonders verärgert zeigte sich die CNIL über den Umgang mit den Betroffenen. Zwar wurden die Kunden per E-Mail informiert – doch nach Ansicht der Behörde fehlten entscheidende Hinweise, etwa zur konkreten Art der gestohlenen Daten und möglichen Risiken. Gerade bei Bankverbindungen sei das ein massives Versäumnis, weil Betroffene sich dadurch nicht ausreichend vor Phishing oder Identitätsdiebstahl schützen konnten.

Ein weiterer Kritikpunkt: Free Mobile hatte Daten ehemaliger Kunden über Jahre gespeichert, ohne rechtliche Notwendigkeit. Dabei ist laut DSGVO klar geregelt: Daten dürfen nur so lange gespeichert werden, wie sie für den ursprünglichen Zweck benötigt werden. Alles andere ist unzulässig – und in diesem Fall verschärfte es das Ausmaß des Datenlecks erheblich.

Strafe mit Ansage – und Fristen für Nachbesserung

Die CNIL ließ bei der Bemessung des Bußgeldes kein Erbarmen walten. Die Höhe der Strafe begründet sie mit der großen Anzahl Betroffener, dem hohen Risiko durch die erbeuteten Daten und der wirtschaftlichen Stärke des Unternehmens.

Free und Free Mobile haben laut CNIL inzwischen erste Sicherheitslücken geschlossen. Doch damit ist es nicht getan:

• Innerhalb von drei Monaten müssen weitere Sicherheitsmaßnahmen umgesetzt werden.
• Für die Löschung alter Kundendaten bleibt Free Mobile noch sechs Monate Zeit.

Was wir dazu sagen

Dass ein Mobilfunkriese Millionen Kunden durch schlechte Sicherheitsstandards und schlampige Datenpflege gefährdet, ist nicht nur ein Armutszeugnis – es ist eine Gefahr für den gesamten Markt. Datenschutz ist kein optionales Feature, sondern Pflicht. Und wer mit sensiblen Daten wie IBANs umgeht, muss härter abgesichert sein als ein Kühlschrank im Techniklager. Diese Strafe tut weh – und das soll sie auch. Bleibt nur zu hoffen, dass sie bei anderen Anbietern nicht nur Panik, sondern echten Handlungsdruck auslöst.

Quelle: heise.de