Firmenkonkurs nach Datenpanne bei LabMD – Schuldzuweisungen an die Handelsbehörde
Eine Firma in Atlanta schloss ihre Tore aufgrund von heftigen Auseinandersetzungen mit der US-amerikanischen Handelsbehörde. Das medizinische Laboratorium LabMD sah sich aggressiven Ermittlungen in Zusammenhang mit einem Datenleck ausgesetzt, so der CEO Michael Daugherty. Er gibt zu Protokoll, dass die Handelsbehörde damit eindeutig ihre Macht ausgenutzt und Grenzen überschritten habe.
Der Fall begann 2010, als ein Monitoring Service für Peer-to-Peer-Netzwerke ein Rechnungsdokument von LabMD in einem der überwachten Netzwerke fand. Dieses Dokument umfasste 1.700 Seiten. Die Daten betrafen 9.000 Patienten und beinhalteten Sozialversicherungsnummern, Behandlungs-Codes und Versicherungsdaten. Tiversa, der Monitoring-Dienst, fand das Dokument während Recherchearbeiten zu Datenlecks in P2P-Netzwerken. Das LabMD-Dokument war eines von tausenden von sensiblen Dokumenten, welche die Firma entdeckte.
Die Handelsbehörde forderte daraufhin alle betroffenen Firmen auf, Informationen über jeden Computer bereitzustellen, der zum Sammeln und Speichern von personenbezogenen Daten genutzt wurde. Dies beinhaltete minutiöse Darstellungen der Netzwerkkomponenten, Firewall- und Router-Daten, sogar Tabellen in Datenbanken und Feldbezeichnungen mit persönlichen Daten. Nach über zwei Jahren der Nachforschung erstattete die Behörde offiziell Anklage gegen LabMD, da sie die sensiblen persönlichen Daten nicht ausreichend geschützt habe.
Daughertys Ansicht nach hat die Handelsbehörde kein Recht, Praktiken der Datensicherheit zu regulieren. Diese allerdings stellte verschiedene Mitarbeiter von LadMD in den vergangenen vier Jahren unter Strafe, zwang Manager zum Rücktritt und forderte wieder und wieder weitere Informationen.
An einem Tag, so Daugherty, entsandte die Handelsbehörde 35 Anordnungen zur sofortigen Absetzung von 23 Führungskräften. Davon arbeiteten einige seit mehreren Jahren nicht mehr für das Unternehmen.
Die Entscheidung, LabMD nun ganz zu schließen, kam zwei Wochen, nachdem ein Ausschuss der Handelsbehörde LabMDs Gesuch abwies, den Fall zu schließen.
Unternehmen, die personenbezogene Daten, ja sogar besonders sensible Daten von Patienten nicht ordnungsgemäß sichern, werden es auch in Zukunft schwer haben. Die Sicherheit der Firmendaten und der Daten deren Kunden (in diesem Fall von Patienten) hätten mit Penetrationstests geprüft werden können. Der Aufwand steht in keinem Verhältnis zur Gefahr der Schließung des Unternehmens.
Artikel von computerworld.com, 31.01.2014: Medical lab says FTC breach probe forced it to close