Das US-amerikanische Gendaten-Unternehmen 23andMe wurde von der britischen Datenschutzbehörde ICO mit einer Geldstrafe von 2,3 Millionen Pfund belegt. Grund ist eine schwere Datenschutzverletzung im Jahr 2023, bei der sensible Daten von mehr als 150.000 britischen Nutzer:innen kompromittiert wurden – darunter Familienstammbäume, Gesundheitsberichte, Namen und Postleitzahlen.
Monate bis zur Aufdeckung
Der Angriff wurde erst entdeckt, nachdem ein Mitarbeitender das Datenpaket auf Reddit zum Verkauf fand. Insgesamt waren 7 Millionen Menschen weltweit betroffen. Die britische Behörde kritisierte, dass 23andMe unzureichende Sicherheitsvorkehrungen hatte, u. a. kein starkes Login-Verfahren implementierte. Der Hack gelang über sogenanntes Credential Stuffing – also das Ausprobieren gestohlener Passwörter von anderen Plattformen.
Konsequenzen und Reaktionen
Viele Nutzer:innen forderten nach dem Vorfall die Löschung ihrer DNA-Daten. Das Unternehmen meldete Insolvenzschutz in den USA an. Eine Übernahme durch ein Konsortium unter Leitung der Ex-CEO Anne Wojcicki ist im Gange. Ihr Institut versprach, genetische Daten künftig nicht zu verkaufen oder weiterzugeben, selbst bei Insolvenz, und bietet zwei Jahre Identitätsschutz für Betroffene an.
Kommentar der Datenschutzbehörde
UK-Informationskommissar John Edwards sprach von einem „tiefgreifenden Vertrauensbruch“ und betonte:
„Diese Art von Daten kann man nicht einfach zurücksetzen wie ein Passwort oder eine Kreditkartennummer.“
Die Strafe reiht sich ein in eine Serie hoher Bußgelder, etwa gegen Interserve (4,4 Mio. £) oder den IT-Anbieter Advanced (3,1 Mio. £) wegen ähnlicher Sicherheitsmängel.
