Die australische Regierung will, dass Optus für Datenschutzverletzungen zahlt

Australiens derzeitige Regierung fordert strengere Datenschutzgesetze, nachdem in der vergangenen Woche die Cybersicherheit verletzt wurde und die persönlichen Daten von 9.8 Millionen Optus-Kunden kompromittiert wurden. Die Regierung beschreibt den Cyberangriff als „technisch nicht herausfordernd“ und sagt, dass der Verstoß niemals hätte passieren dürfen und dass Optus für die Behebung der Situation zahlen sollte. 

Wenn Kunden ihre persönlichen Daten an Unternehmen weitergeben, erwarten sie, dass die Informationen sicher aufbewahrt werden, sagte der australische Premierminister Anthony Albanese sagte im Parlament Mittwoch. Er bezeichnete die Datenschutzverletzung bei Optus als „große Sorge“ und sagte, der Vorfall sollte als Weckruf für Unternehmen in Australien dienen. 

Der Mobilfunkanbieter meldete letzte Woche eine Sicherheitsverletzung, bei der verschiedene Kundendaten, darunter Geburtsdaten, E-Mail-Adressen und Passnummern, kompromittiert wurden. Informationen, die sowohl aktuellen als auch ehemaligen Kunden gehörten, seien betroffen, sagte Optus, was sein CEO Kelly Bayer Rosmarin später sagte, war das Ergebnis eines „ausgeklügelten“ Angriffs, der mehrere Sicherheitsebenen infiltrierte.  

Das Telekommunikationsunternehmen muss jedoch noch weitere Einzelheiten darüber bekannt geben, wie es zu dem Verstoß kam oder welche Systeme verletzt wurden. Lokale Berichte haben auf eine Online-API (Application Programming Interface) hingewiesen, die anscheinend keine Authentifizierung oder Autorisierung für den Zugriff auf Kundendaten erforderte. 

Albanese sagte, die Regierung arbeite mit Optus zusammen, um die notwendigen Informationen zu erhalten, „um eine strafrechtliche Untersuchung durchzuführen“, die von der australischen Bundespolizei in Zusammenarbeit mit dem FBI geleitet wird.  

„Wir wissen, dass dieser Verstoß niemals hätte passieren dürfen“, sagte der Premierminister. „Nach einem Jahrzehnt der Untätigkeit brauchen wir eindeutig bessere nationale Gesetze, um die immense Menge an Daten zu verwalten, die Unternehmen über Australier sammeln, und klare Konsequenzen, wenn sie damit nicht gut umgehen.“

Er wies Forderungen der Oppositionspartei zurück, dass die Regierung für den Ersatz von Pässen aufkommen solle, und argumentierte stattdessen, dass Optus dazu gebracht werden sollte, solche Kosten zu decken. Die Steuerzahler sollten nicht für ein Problem aufkommen müssen, das das Ergebnis von Optus' eigenen Versäumnissen bei der Cybersicherheit und den Datenschutzbestimmungen war, sagte er und fügte hinzu, dass der Außenminister Optus gebeten habe, die damit verbundenen Kosten zu übernehmen. 

Optus ist eine hundertprozentige Tochtergesellschaft des Telekommunikationskonzerns Singtel aus Singapur. 

Albanese added that the government was looking to strengthen local laws under its current review of the Privacy Act. 

Laut der australischen Innenministerin Clare O'Neil hinkte das Land beim Cyberschutz etwa fünf Jahre hinterher. „Es ist einfach nicht gut genug“, sagte O'Neil, der auch Minister für Cybersicherheit ist. 

„Was bei Optus passiert ist, war kein ausgeklügelter Angriff. Wir sollten in diesem Land keinen Telekommunikationsanbieter haben, der das Fenster für den Diebstahl von Daten dieser Art effektiv offen lässt“, sagte sie. 

Den Bruch beschreiben als inakzeptabel, fügte sie hinzu, dass der Vorfall ein großer Fehler von Optus' Seite war. „Sie sind schuld“, sagte der Minister. „Der hier durchgeführte Cyber-Hack war technologisch nicht besonders herausfordernd.“

Sie fügte hinzu, dass ein Verstoß eines solchen Ausmaßes, an dem ein Unternehmen wie Optus beteiligt wäre, in anderen Ländern zu erheblichen Geldstrafen geführt hätte. Stattdessen lag in Australien die Höchststrafe nach dem Datenschutzgesetz bei nur 2.2 Millionen AU $, was sie als „völlig unangemessen“ bezeichnete. 

O'Neil bemerkte weiter, dass sie zwar in der Lage war, Mindeststandards für die Cybersicherheit für Unternehmen in mehreren Sektoren festzulegen, dies jedoch nicht für Telekommunikationsunternehmen tun konnte, die sich aus den bestehenden Gesetzen des Landes herausgehalten hatten, weil ihre Standards hoch genug waren und sie waren durch andere Gesetze ausreichend geregelt. 

Dies sei eindeutig nicht der Fall, wie der jüngste Verstoß gezeigt habe, sagte sie. 

Der Minister betonte die Notwendigkeit, die Datenschutzgesetze des Landes zu stärken, und sagte, dass Geräte zunehmend mit dem Internet verbunden seien. „Es ist eine wirklich klare Botschaft für mich, für Australier und für australische Unternehmen, dass wir die Standards hier anheben und uns besser verhalten müssen, um die Australier zu schützen.“

Sie sagte, die derzeitige Überprüfung des Gesetzes durch die Regierung werde sich mit einer Reihe von Themen befassen, einschließlich der Befugnisse, die sie habe, um Mindeststandards für die Cybersicherheit vorzuschreiben, die den Optus-Verstoß hätten verhindern können. 

„Das ist ein wichtiger Weckruf“ sagte sie. „Das sagt uns, dass Unternehmen, die sich selbst als Experten für Cybersicherheit bezeichnet haben, bei dieser Art von Angriffen scheitern.“ 

O'Neil gab in einer Erklärung am Dienstag auch bekannt, dass die Medicare-Nummern der Kunden bei der Optus-Verletzung kompromittiert wurden, die ursprünglich nicht als von dem Angriff betroffene Daten bekannt wurden. 

Sie äußerte sich ferner besorgt über Berichte, wonach bei der Verletzung gestohlene persönliche Informationen jetzt kostenlos und gegen Lösegeld angeboten würden. 

VERWANDTE ABDECKUNG