Das Bildungstechnologieunternehmen Blackbaud stimmte einer Einigung mit der US-amerikanischen Federal Trade Commission über die Sicherheitspraktiken des Unternehmens zu, die zu einem Datenverstoß im Jahr 2020 führten.
Der FTC behauptet, dass Blackbaudein in den USA ansässiges Unternehmen, das Finanz- und Verwaltungssoftware für Hochschulen, gemeinnützige Organisationen, Gesundheitsorganisationen und rechtsextreme Organisationen bereitstellt, verfügte über „laxe“ Sicherheitsprotokolle, die es Angreifern ermöglichten, in das Netzwerk des Unternehmens einzudringen und auf die persönlichen Daten von Millionen von Verbrauchern zuzugreifen.
Bei diesem Vorfall im Februar 2020 nutzten böswillige Hacker die Anmeldedaten eines Kunden, um sich Zugang zum Netzwerk von Blackbaud zu verschaffen, wo die Hacker über drei Monate lang unentdeckt blieben und riesige Mengen unverschlüsselter sensibler Verbraucherdaten, darunter Sozialversicherungs- und Bankkontonummern, herausfilterten.
Das in South Carolina ansässige Unternehmen Blackbaud teilte betroffenen Kunden damals mit, dass nur Namen, Adressen, E-Mail-Adressen und Telefonnummern gestohlen worden seien, und behauptete, dass „der Cyberkriminelle keinen Zugriff auf Kreditkarteninformationen, Bankkontoinformationen oder Sozialversicherungsnummern hatte“.
Blackbaud, von dem die FTC behauptet, dass Blackbaud bereits im Juli 2020 wusste, dass Sozialversicherungsnummern und Finanzdaten gestohlen worden waren, gab das volle Ausmaß des Verstoßes erst später im Oktober bekannt und überprüfte auch nicht, ob die gestohlenen Daten gelöscht worden waren Nachdem sie sich bereit erklärt hatte, das Lösegeld der Angreifer in Höhe von etwa 250.000 US-Dollar zu zahlen, teilte die FTC mit.
Entsprechend der Beschwerde der FTCBlackbaud hat es versäumt, geeignete Cybersicherheitsmaßnahmen zu ergreifen, um eine Datenschutzverletzung zu verhindern. Die Regulierungsbehörde behauptet außerdem, dass das Unternehmen Versuche von Hackern, in seine Netzwerke einzudringen, Daten nicht zu segmentieren, die Multi-Faktor-Authentifizierung angemessen zu implementieren oder die Sicherheitskontrollen seines Unternehmens zu testen, zu überprüfen und zu bewerten, nicht überwacht hat. Das Unternehmen erlaubte seinen Mitarbeitern außerdem, standardmäßige, schwache oder identische Passwörter zu verwenden, heißt es in der Beschwerde, und versäumte es, veraltete Software und Systeme rechtzeitig zu patchen, wodurch Kundennetzwerke dem Risiko von Cyberangriffen ausgesetzt wurden.
Laut der Beschwerde erlaubte Blackbaud seinen Kunden außerdem, Sozialversicherungsnummern und Bankkontoinformationen in unverschlüsselten Feldern zu speichern, die nicht speziell für diese Zwecke vorgesehen waren. „Die mangelhaften Verschlüsselungspraktiken von Blackbaud haben die Schwere des Datenverstoßes noch verschärft“, sagte die FTC.
Die Regulierungsbehörde hat Blackbaud außerdem vorgeworfen, Verbraucherdaten über den Zeitraum hinaus, in dem sie benötigt wurden, jahrelang aufzubewahren, darunter „Kunden, die auf Produkte umgestiegen sind, die nicht von dem Verstoß betroffen waren, und sogar potenzielle Kunden“.
„Blackbauds mangelhafte Sicherheits- und Datenaufbewahrungspraktiken ermöglichten es einem Hacker, an sensible persönliche Daten von Millionen von Verbrauchern zu gelangen“, sagte Samuel Levine, Direktor des Bureau of Consumer Protection der FTC. „Unternehmen haben die Verantwortung, die von ihnen verwalteten Daten zu schützen und nicht mehr benötigte Daten zu löschen.“
In einer gemeinsamen Erklärung warfen die FTC-Vorsitzende Lina Kahn und die von den Demokraten ernannte Kommissarin Rebecca Kelly Slaughter Alvaro M. Bedoya dem Unternehmen „rücksichtslose Datenaufbewahrungspraktiken“ vor, indem sie Daten aufbewahrten, die das Unternehmen nicht benötigte, sagten sie.
Blackbaud, das nicht auf die Fragen von Tech geantwortet hat, hat zugestimmt, überflüssige Daten zu löschen und seine Cybersicherheitspraktiken zu reformieren.