Das Gentest-Unternehmen 23andMe wurde vom britischen Information Commissioner’s Office (ICO) mit einer Geldstrafe von 2,31 Millionen Pfund belegt, nachdem es 2023 zu einem erheblichen Datenverstoß gekommen war. Der Verstoß betraf Tausende von Personen.
Das ICO führte die unzureichenden Sicherheitsmaßnahmen von 23andMe, das anschließend Insolvenz anmelden musste, als Ursache für den Vorfall an. Informationsbeauftragter John Edwards erklärte: „Dies war ein zutiefst schädlicher Verstoß, der sensible persönliche Informationen, Familiengeschichten und sogar Gesundheitszustände preisgab.“
Im Zuge des bevorstehenden Verkaufs an das TTAM Research Institute hat der übernehmende Konzern „mehrere verbindliche Zusagen zur Verbesserung des Schutzes von Kundendaten und des Datenschutzes“ abgegeben.
Der Verstoß im Oktober 2023 beinhaltete einen „Credential-Stuffing“-Angriff, bei dem Hacker Passwörter aus früheren Datenlecks nutzten, um Zugriff auf 14.000 23andMe-Konten zu erhalten. Dadurch wurden Informationen über etwa 6,9 Millionen Personen kompromittiert, die mit diesen Konten verknüpft waren.
Laut ICO umfasste dies sensible Daten von 155.592 britischen Einwohnern, darunter Namen, Geburtsjahre, Standortdaten, Profilbilder, ethnische Zugehörigkeit, Gesundheitsberichte und Stammbäume. Wichtig ist, dass keine DNA-Aufzeichnungen abgerufen wurden.
Herr Edwards betonte den irreversiblen Charakter der offengelegten Informationen und erklärte: „Wie uns einer der Betroffenen mitteilte: Sobald diese Informationen veröffentlicht sind, können sie nicht mehr geändert oder wie ein Passwort oder eine Kreditkartennummer neu ausgegeben werden.“
Das ICO hebt die strengeren regulatorischen Anforderungen für genetische Daten hervor, die nach britischem Recht als „besondere Kategorien von Daten“ eingestuft werden und erhöhte Sicherheitsmaßnahmen erfordern. Die Untersuchung, die gemeinsam mit dem kanadischen Datenschutzbeauftragten im Juni letzten Jahres durchgeführt wurde, ergab, dass die unzureichenden Authentifizierungs- und Verifizierungsprotokolle von 23andMe, einschließlich des Mangels an obligatorischer Multi-Faktor-Authentifizierung, gegen das britische Datenschutzrecht verstießen.
Weitere Mängel waren schwache Passwortanforderungen und unzureichende Verifizierung für Downloads von Rohdaten aus genetischen Untersuchungen. Herr Edwards kritisierte die unzureichenden Sicherheitssysteme von 23andMe und die verzögerte Reaktion auf Warnsignale, wodurch die Benutzerdaten verwundbar blieben.
23andMe behauptet, diese Probleme bis Ende 2024 behoben zu haben. Sowohl das ICO als auch das Office of the Privacy Commissioner of Canada forderten 23andMe kürzlich auf, den Datenschutz inmitten seines Insolvenzverfahrens zu priorisieren.
Nach einem überarbeiteten Bieterverfahren gab 23andMe am Freitag bekannt, dass es seine Vermögenswerte für 305 Millionen US-Dollar an das TTAM Research Institute, eine gemeinnützige Organisation, verkauft hat. Dieser Verkauf umfasst verbindliche Zusagen zur Aufrechterhaltung des bestehenden Kundenschutzes, einschließlich der Datenlöschung und der Möglichkeit, sich von der Forschung abzumelden. Ein Insolvenzgericht wird den Verkauf am Mittwoch prüfen.