Anfang Dezember kam ein Richter in Minnesota zu dem Schluss, dass eine Gruppe von Banken mit ihrer Anklage wegen Fahrlässigkeit gegen Target fortfahren kann. In der Klage geht es um den Vorfall bei Target, bei dem 2013 neben persönlichen Informationen auch Kreditkartendaten von 40 Millionen Kunden gestohlen wurden. Den Banken zufolge versäumte Target es „Warnsignale zu beachten“, die den Banken Verluste erspart hätten.

Nach dem Vorfall klagten mehrere Banken und Kunden gegen Target in Minnesota, wo der Firmensitz liegt. Beide Gruppen wurden zusammengefasst in Sammelklagen. Target stellte einen Antrag auf Einstellung des Verfahrens in Bezug auf die Banken, doch Richter Paul A. Magnuson fällte nun das Urteil, dass deren Forderungen valide sind.

Die Entscheidung könnte weitreichende Auswirkungen nach sich ziehen in Bezug auf die Verteilung der Kosten und Verantwortlichkeiten in Fällen von Betrug im Kreditkartensystem. Bisher haben meist die Herausgeber der Karten und die Händler die Lasten gemeinsam getragen. Nun könnte Magnusons Urteil dazu führen, dass mehr Karten ausgebende Banken die Händler wegen mangelnden Schutzes ihrer PoS-Systeme verklagen.

Die Kosten für Target und andere Händler könnten happig ausfallen. Die New York Times berichtet, dass „die Kosten zum Ersatz aller betroffenen Karten des Target-Falls rund 400 Millionen US-Dollar betragen – und der US-amerikanische Geheimdienst schätzt, dass rund 1.000 Händler ähnlichen Attacken zum Opfer fielen.“ Auch gegen Home Depot wurden bereits Klagen eingereicht. Das Unternehmen fiel im Sommer 2014 einem Hack zum Opfer. Diese Klagen wurden jedoch bisher von Behörden gestellt, nicht von den involvierten Banken.

Magnuson zufolge präsentierten die Banken glaubhafte Beweise, dass Target sein System nur unzureichend geschützt hätte.

„Zwar verursachten die Aktivitäten der Hacker die Schäden, Target spielte allerdings dahingehend eine wichtige Rolle, dass es diese Schäden erst möglich machte“,

so der Richter.

„Der Vorwurf der Kläger, dass Target ein wichtiges Sicherheits-Feature bewusst deaktiviert habe, gereicht zur Klage wegen Fahrlässigkeit.“

Target hatte nur Monate vor dem Vorfall ein neues Sicherheitsprogramm von FireEye gekauft und installiert. Der Händler ignorierte aber wiederholt Sicherheitswarnungen eben dieser Software.

Artikel von arstechnica.com, 05.12.2014: Judge rules that banks can sue Target for 2013 credit card hack
Artikel von zdnet.com, 08.12.2014: Breach epidemic’s lurid chapter: who pays?