Der massive Cyber-Einbruch bei Target ist nun Bestandteil einer Klage der Banken, die die betroffenen Karten herausgegeben haben. Bei dem Vorfall gelang es Kriminellen, Malware auf PoS-Geräten zu installieren und somit die Daten von 40 Millionen EC- und Kreditkarten zu stehlen. Target argumentiert gegen die Vorwürfe der Banken – das Unternehmen hätte keine Verantwortung gehabt, die Banken vor Schäden zu schützen.

Die Anklage wird von fünf Banken getragen – First Federal Savings, Village Bank, Umpqua Bank, Mutual Bank und Louisianas CSE Federal Credit Union. Insgesamt geben diese Banken Verluste von mehr als 5 Millionen US-Dollar an. Während diese Klage läuft, steht auch der US-amerikanische Kongress unter Druck. Mehrere Finanzinstitute, darunter auch zwei große Kreditunionen, verlangen mehr Verantwortung von Händlern im Umgang mit finanziellen Kundendaten. Sie sollen den gleichen Datenschutzrichtlinien unterliegen wie die Finanzinstitute selbst.

Mehrere Dateneinbrüche bei größeren Händlern wie Target und Home Depot führten im vergangenen Jahr dazu, dass Banken und Kreditunionen hunderte Millionen an Karten neu herausgeben mussten. Bei dem Vorfall bei Home Depot waren insgesamt 53 Millionen E-Mail-Adressen sowie 56 Millionen Bezahlkarten von Kunden kompromittiert worden.

Die Händler wehren sich gegen zusätzliche Regelungen. Sie geben an, über die Verträge mit den großen Kreditkartenherausgebern bereits an die Banken zu zahlen. Diese Zahlungen machen aber nur einen Bruchteil der tatsächlichen Kosten einer neuen Kreditkarte aus. Eine Studie der Zurich General Insurance von 2010 fand heraus, dass pro betroffener Karte hunderte Dollar an Kosten anfallen können. Und dies gilt als zusätzlich zu den durch Kartenbetrug entstandenen Schäden und den Kosten für die Untersuchung des Vorfalles sowie möglichen Strafzahlungen und PR-Schäden.

Die Banken nutzen den Plastic Card Security Act als Grundlage für ihre Klage. Dieses Gesetz verbietet den Händlern, die Zahlungsdaten nach der Vollendung des Kaufvorgangs zu behalten. Die Anwälte der Banken behaupten, Target hätte die Daten behalten und Sicherheitsmaßnahmen deaktiviert, die den Vorfall aufgedeckt hätten. Targets Anwälte hingegen weisen darauf hin, dass dieses Gesetz keine Anwendung in dem Fall findet, da es sich um PoS-Geräte und keine Back-End-Systeme handelt.

Artikel von arstechnica.com, 21.11.2014: Target to judge: Banks’ losses in our card breach aren’t our problem
Artikel von insurancejournal.com, 23.11.2014: Target: Retailer Owes No Duty to Banks in Data Breach