Ein Cyberangriff auf die britische Wahlkommission, der zu einer Datenpanne in den Wählerverzeichnissen von 40 Millionen Menschen führte, wäre vollständig vermeidbar gewesen, wenn die Organisation grundlegende Sicherheitsmaßnahmen ergriffen hätte. Dies geht aus einem vernichtenden Bericht der britischen Datenschutzbehörde hervor, der diese Woche veröffentlicht wurde.
Der Bericht veröffentlicht vom britischen Information Commissioner’s Office machte am Montag die Wahlkommission, die Kopien des britischen Registers der wahlberechtigten Bürger verwaltet, für eine Reihe von Sicherheitsmängeln verantwortlich, die ab August 2021 zum Massendiebstahl von Wählerinformationen führten.
Die Wahlkommission entdeckte die Kompromittierung ihrer Systeme erst mehr als ein Jahr später, im Oktober 2022, und es dauerte bis August 2023, bis sie den jahrelangen Datenverstoß öffentlich bekannt gab.
Die Kommission erklärte zum Zeitpunkt der Veröffentlichung, dass die Hacker in Server eingebrochen seien, auf denen ihre E-Mails gespeichert waren, und unter anderem Kopien der britischen Wählerverzeichnisse gestohlen hätten. In diesen Verzeichnissen sind Informationen über Wähler gespeichert, die sich zwischen 2014 und 2022 registriert haben. Dazu gehören Namen, Postanschriften, Telefonnummern und nicht öffentliche Wählerinformationen.
Die britische Regierung schrieb den Einbruch später China zumit Warnung hoher Beamter dass die gestohlenen Daten für „groß angelegte Spionage und länderübergreifende Repressionen gegen vermeintliche Dissidenten und Kritiker im Vereinigten Königreich“ verwendet werden könnten, bestritt China jedoch eine Beteiligung an dem Datendiebstahl.
Das ICO rügte die Wahlkommission am Montag offiziell wegen Verstoßes gegen britische Datenschutzgesetze und fügte hinzu: „Wenn die Wahlkommission grundlegende Schritte zum Schutz ihrer Systeme unternommen hätte, wie etwa wirksame Sicherheitspatches und Passwortverwaltung, wäre es höchstwahrscheinlich nicht zu diesem Datenverstoß gekommen.“
Die Wahlkommission räumte ihrerseits ein, eine kurze Erklärung Nach der Veröffentlichung des Berichts hieß es, es seien „keine ausreichenden Schutzmaßnahmen vorhanden gewesen, um den Cyberangriff auf die Kommission zu verhindern“.
Bis zum Bericht des ICO war nicht klar, was genau zur Gefährdung der Daten von zig Millionen britischen Wählern geführt hatte – oder was man hätte anders machen können.
Jetzt wissen wir, dass das ICO der Kommission speziell vorwarf, „bekannte Software-Schwachstellen“ in ihrem E-Mail-Server nicht gepatcht zu haben, der der erste Angriffspunkt für die Hacker war, die mit Unmengen an Wählerdaten davonkamen. Der Bericht bestätigt auch ein Detail, das Tech 2023 berichtete: Die E-Mail der Kommission war ein selbstgehosteter Microsoft Exchange-Server.
In seinem Bericht bestätigte das ICO, dass im Zeitraum 2021 und 2022 mindestens zwei Gruppen böswilliger Hacker in den selbstgehosteten Exchange-Server der Kommission eingebrochen sind, wobei sie eine Kette von drei Schwachstellen ausnutzten. zusammen als ProxyShell bezeichnetwodurch die Hacker eindringen, die Kontrolle übernehmen und auf dem Server Schadcode platzieren konnten.
Microsoft hatte mehrere Monate zuvor im April und Mai 2021 Patches für ProxyShell veröffentlicht, die Kommission hatte diese jedoch nicht installiert.
Bis August 2021, US-Cybersicherheitsagentur CISA begann Alarm zu schlagen dass böswillige Hacker ProxyShell aktiv ausnutzten, und dass jede Organisation, die über einen effektiven Sicherheitspatchprozess verfügte, bereits vor Monaten Fixes ausgerollt hatte und bereits geschützt war. Die Wahlkommission gehörte nicht zu diesen Organisationen.
„Die Wahlkommission verfügte zum Zeitpunkt des Vorfalls nicht über ein geeignetes Patching-System“, heißt es im Bericht des ICO. „Dieses Versäumnis ist eine grundlegende Maßnahme.“
Zu den weiteren nennenswerten Sicherheitsproblemen, die während der Untersuchung des ICO aufgedeckt wurden, gehört, dass die Wahlkommission das Erraten von Passwörtern zuließ, die „äußerst anfällig“ für das Erraten waren. Außerdem bestätigte die Kommission, dass sie sich „bewusst“ sei, dass Teile ihrer Infrastruktur veraltet seien.
Der stellvertretende ICO-Kommissar Stephen Bonner sagte in einer Stellungnahme zum Bericht und der Rüge des ICO: „Wenn die Wahlkommission grundlegende Schritte zum Schutz ihrer Systeme unternommen hätte, wie etwa wirksame Sicherheitspatches und Passwortverwaltung, wäre dieser Datenverstoß höchstwahrscheinlich nicht passiert.“
Warum hat das ICO die Wahlkommission nicht mit einer Geldstrafe belegt?
Ein völlig vermeidbarer Cyberangriff, der die persönlichen Daten von 40 Millionen britischen Wählern offenlegte, klingt vielleicht wie ein so schwerwiegender Verstoß, dass die Wahlkommission nicht nur mit einer Verwarnung, sondern mit einer Geldstrafe belegt werden müsste. Doch die ICO hat für die schlampige Sicherheit nur eine öffentliche Rüge ausgesprochen.
Öffentliche Stellen wurden in der Vergangenheit mit Strafen belegt, wenn sie Datenschutzbestimmungen verletzten. Juni 2022 Unter der vorherigen konservativen Regierung kündigte das ICO an, es werde einen überarbeiteten Ansatz zur Durchsetzung öffentlicher Stellen erproben.
Die Aufsichtsbehörde sagte, die Änderung der Richtlinien bedeute, dass die Behörden in den nächsten zwei Jahren wahrscheinlich keine hohen Geldstrafen für Verstöße zahlen müssten, auch wenn das ICO angedeutet habe, dass die Vorfälle weiterhin gründlich untersucht würden. Der Sektor müsse jedoch mit einem verstärkten Einsatz von Verweisen und anderen Durchsetzungsbefugnissen anstelle von Geldstrafen rechnen.
In einem (n offener Brief Der Datenschutzbeauftragte John Edwards begründete den Schritt damals folgendermaßen: „Ich bin nicht davon überzeugt, dass hohe Geldstrafen allein im öffentlichen Sektor eine so wirksame Abschreckung darstellen. Sie treffen Aktionäre oder einzelne Direktoren nicht in der gleichen Weise wie im privaten Sektor, sondern werden direkt aus dem Budget für die Bereitstellung von Dienstleistungen finanziert. Die Auswirkungen einer Geldstrafe im öffentlichen Sektor treffen zudem oft die Opfer des Verstoßes in Form von Budgetkürzungen für wichtige Dienstleistungen und nicht die Täter. Im Endeffekt werden die von einem Verstoß betroffenen Personen doppelt bestraft.“
Auf den ersten Blick könnte es so aussehen, als hätte die Wahlkommission das Glück gehabt, ihren Verstoß im Rahmen des zweijährigen Versuchs des ICO zu einem sanfteren Ansatz bei der sektoralen Durchsetzung zu entdecken.
Edwards stimmte mit der Aussage des ICO überein, weniger Sanktionen für Datenschutzverstöße im öffentlichen Sektor zu verhängen. Gleichzeitig sagte er, die Regulierungsbehörde werde einen proaktiveren Arbeitsablauf einführen und die Führungsebene öffentlicher Behörden ansprechen, um zu versuchen, die Standards zu erhöhen und die Einhaltung des Datenschutzes in allen Regierungsstellen durch einen Ansatz zur Schadensprävention voranzutreiben.
Als Edwards jedoch den Plan enthüllte, eine Kombination aus sanfterer Durchsetzung und proaktiver Öffentlichkeitsarbeit zu testen, räumte er ein, dass dies Anstrengungen auf beiden Seiten erfordern würde, und schrieb: „[W]Wir können das nicht allein schaffen. Alle Seiten müssen dafür verantwortlich sein, diese Verbesserungen herbeizuführen.“
Der Verstoß gegen die Vorschriften der Wahlkommission könnte daher weitergehende Fragen über den Erfolg des ICO-Prozesses aufwerfen. Unter anderem könnte er die Frage aufwerfen, ob die Behörden des öffentlichen Sektors ihren Teil der Abmachung eingehalten haben, die die mildere Durchsetzung eigentlich rechtfertigen sollte.
Es scheint jedenfalls nicht so, als sei die Wahlkommission in den ersten Monaten des ICO-Prozesses – also bevor sie den Einbruch im Oktober 2022 entdeckte – bei der Bewertung der Sicherheitsrisiken ausreichend proaktiv vorgegangen. Die Rüge des ICO, in der das Versäumnis der Kommission, bekannte Softwarefehler zu beheben, als „grundlegende Maßnahme“ bezeichnet wird, klingt beispielsweise wie die Definition eines vermeidbaren Datenschutzverstoßes, den die Regulierungsbehörde mit ihrer Politikänderung im öffentlichen Sektor beseitigen wollte.
In diesem Fall behauptet das ICO jedoch, dass es nicht die sanftere Durchsetzungspolitik des öffentlichen Sektors angewandt habe.
Auf die Frage, warum die Wahlkommission keine Strafe verhängt habe, antwortete ICO-Sprecherin Lucy Milburn gegenüber Tech: „Nach einer gründlichen Untersuchung wurde in diesem Fall keine Geldstrafe in Betracht gezogen. Trotz der Anzahl der betroffenen Personen beschränkten sich die betroffenen personenbezogenen Daten hauptsächlich auf Namen und Adressen aus dem Wählerverzeichnis. Unsere Untersuchung ergab keine Hinweise darauf, dass personenbezogene Daten missbraucht wurden oder dass durch diesen Verstoß ein direkter Schaden entstanden ist.“
„Die Wahlkommission hat nun die notwendigen Schritte unternommen, um ihre Sicherheit im Nachhinein zu verbessern, darunter die Umsetzung eines Plans zur Modernisierung ihrer Infrastruktur sowie Kennwortrichtlinienkontrollen und eine Multi-Faktor-Authentifizierung für alle Benutzer“, fügte der Sprecher hinzu.
Wie die Aufsichtsbehörde mitteilt, wurde keine Geldstrafe verhängt, da keine Daten missbraucht wurden, oder besser gesagt, das ICO keine Beweise für einen Missbrauch gefunden hat. Die bloße Offenlegung der Informationen von 40 Millionen Wählern genügte nicht den Anforderungen des ICO.
Man könnte sich fragen, in welchem Maße sich die Untersuchung der Aufsichtsbehörde darauf konzentrierte, herauszufinden, wie Wählerinformationen möglicherweise missbraucht worden sind.
Zurück zum ICO-Prozess zur Durchsetzung der öffentlichen Ordnung in Ende JuniKurz vor Ablauf der Zweijahresfrist des Experiments gab die Regulierungsbehörde eine Erklärung heraus, in der sie mitteilte, sie werde die Politik überprüfen, bevor sie im Herbst eine Entscheidung über die Zukunft ihres sektoralen Ansatzes fällen werde.
Ob diese Politik Bestand hat oder ob es zu weniger Verwarnungen und mehr Geldstrafen für Datenschutzverletzungen im öffentlichen Sektor kommt, bleibt abzuwarten. Ungeachtet dessen zeigt der Fall der Datenschutzverletzung bei der Wahlkommission, dass die ICO zögert, den öffentlichen Sektor zu sanktionieren – es sei denn, die Offenlegung personenbezogener Daten kann mit nachweisbarem Schaden in Verbindung gebracht werden.
Es ist nicht klar, wie ein Regulierungsansatz, der die Abschreckung von vornherein nicht so stark einschränkt, dazu beitragen soll, die Datenschutzstandards in allen Bereichen der Regierung zu erhöhen.