16,4 Mio. Pfund Strafe für Britische Tesco Bank wegen mangelnder Sicherheit
Am 5. November 2016 wurden bei einem Hackerangriff auf 9.000 Online-Bankkonten der Tesco Bank innerhalb von 48 Stunden insgesamt 2,26 Millionen Pfund gestohlen. Die Tesco Bank mit Sitz im schottischen Edinburgh entschädigte alle betroffenen Kunden umgehend. Allerdings belegte die britische Finanzdienstleistungsaufsicht die Bank mit einer saftigen Strafe in Höhe von 16,4 Mio. Britischen Pfund.
Die Strafe war überwiegend für Tescos Versäumnis die erforderlichen Fähigkeiten und Sorgfalt anzuwenden, um ihre Kunden zu schützen. Die Behörde ist der Ansicht, dass der Angriff weitgehend vermeidbar gewesen wäre. Tesco hätte sich vor allem nicht sehr geschickt angestellt und auch nicht die nötige Dringlichkeit an den Tag gelegt. Laut Direktor Mark Steward:
„…spiegelte die auferlegte Strafe die Tatsache wider, dass seine Behörde null Toleranz für solche Banken hat, die ihre Kunden nicht vor vorhersehbaren Risiken schützen. In diesem Fall ging dem Angriff eine sehr spezifische Warnung voraus, die die Tesco Bank erst nach dem Angriff richtig angegangen ist. Das war eindeutig zu wenig und zu spät. Die Kunden hätten dem Risiko überhaupt nicht ausgesetzt sein sollen.“
Steward bezieht sich hierbei auf einen Betrugswarnhinweis an Tesco, vom Kreditkartenunternehmen VISA, im November 2015. Schon damals wurden betrügerische Transaktionen aufgedeckt, die denen ähnelten, die ein Jahr später dann im großen Stil umgesetzt wurden.
Die Hacker hatten höchstwahrscheinlich einen Algorithmus verwendet, der authentische Debitkartennummern erzeugte und diese „virtuellen“ Karten wurden anschließend für nicht autorisierte Transaktionen verwendet. Die Kriminellen hatten ganz klar verschiedene Schwachstellen bei Tesco ausgenutzt: Mängel in der Gestaltung der Tesco Debitkarte, der internen Kontrollen gegen Finanzkriminalität, Konfigurationen der Banken spezifische Authentifizierungs- und Betrugserkennungsregeln und im Team für Finanzkriminalität selbst. Letzteres hatte ein E-Mail verschickt, anstatt das Betrugs-Strategie-Team direkt anzurufen – wie es Tescos interne Prozesse eigentlich verlangen. Daher dauerte es 21 Stunden, bis die beiden Teams miteinander kommunizierten und in der Zwischenzeit lief der Angriff munter weiter.
Nach dem Angriff kooperierte Tesco mit den Behörden, entschädigte ihre Kunden und verbesserte die Cyberabwehrmaßnahmen. Dafür bekam Tesco einen Rabatt auf die zuvor viel höher angesetzte Strafe.
Artikel von bbc.com, 01.10.2018: Tesco Bank fined £16.4m over cyber-attack
Artikel von theregister.co.uk, 01.10.2018: Financial Conduct Authority fines Tesco Bank £16.4m over 2016 security breach
Artikel von zdnet.com, 01.10.2018: Tesco Bank fined £16.4m over cyber attack
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0