US-Datenhändler meldet nach Datenleck Insolvenz an
Bei dem US-Datenhändler National Public Data wurden vor Monaten personenbezogene Daten von “Hunderten Millionen” Menschen gestohlen. Das hat das Unternehmen im Rahmen eines Insolvenzantrags eingeräumt, über den mehrere Medien berichten.
National Public Data ist ein US-amerikanischer Anbieter von sogenannten Background-Checks mit Sitz in Florida. Das Unternehmen verspricht etwa Firmen zu helfen, potenzielle Angestellte zu überprüfen.
Im August hatte das Unternehmen bestätigt, Opfer eines Datendiebstahls geworden zu sein. Demnach sollen Unbekannte die Systeme des Unternehmens bereits im Dezember 2023 angegriffen haben. Im “April und Sommer 2024” seien schließlich Daten von den Servern gestohlen worden.
US-Sozialversicherungsnummern gestohlen
National Public Data hatte angegeben, unter den entwendeten Daten seien Namen, Post- und E-Mail-Adressen, Telefonnummern sowie Sozialversicherungsnummern. Unklar war aber geblieben, wie viele Personen von dem Diebstahl betroffen sind. In seiner Mitteilung hatte das Unternehmen keine Angaben dazu gemacht – in einer vorgeschriebenen Datenschutzmeldung an die Generalstaatsanwaltschaft des US-Bundesstaates Maine hingegen von 1,3 Millionen betroffenen US-Bürgern gesprochen.
Doch in dem nun eingereichten Insolvenzantrag räumt das Mutterunternehmen Jerico Pictures ein, dass es von “Hunderten Millionen” Betroffenen ausgeht. Der Nachrichtenseite TechCrunch zufolge schätzen IT-Sicherheitsexperten die Anzahl der gestohlenen Sozialversicherungsnummern auf etwa 270 Millionen.
Insbesondere bei den gestohlenen Sozialversicherungsnummern handelt es sich um sensible Informationen, weil sie in den USA auch als Identifikationsnachweis verwendet werden – Kriminelle könnten die Angaben daher zum Identitätsdiebstahl nutzen. Die zuständige Behörde Social Security Administration warnt, dass jedes Jahr Millionen Amerikanerinnen und Amerikaner Opfer von Identitätsdiebstahl werden. Kriminelle könnten mithilfe der Sozialversicherungsnummer auch weitere Informationen über Betroffene herausfinden.
Das IT-Fachportal BleepingComputer hatte im August berichtet, dass die erbeuteten Daten von Kriminellen zum Kauf angeboten wurden.
Untersuchungen und Klagen
Das Unternehmen hat den Gerichtsdokumenten zufolge Insolvenz angemeldet, weil die US-Handelsaufsicht Federal Trade Commission (FTC) sowie mehr als 20 US-Bundesstaaten den Vorfall aktuell untersuchen und als Ergebnis Geldbußen verhängen könnten. Zudem hätten von dem Datenleck Betroffene bereits mehr als ein Dutzend Sammelklagen eingereicht. Das Unternehmen verfüge aber nicht über ausreichend finanzielle Mittel, um den Forderungen nachzukommen oder die Gerichtsprozesse zu führen. Das Unternehmen habe hauptsächlich mit festen Kunden zusammengearbeitet – und sei von seinem Besitzer größtenteils im Alleingang aus dem Homeoffice geführt worden.
Laut TechCrunch ist es nach dem Insolvenzantrag unwahrscheinlich, dass von dem Datendiebstahl Betroffene eine Entschädigung erhalten werden.
In der Mitteilung von National Public Data zu dem Datendiebstahl heißt es inzwischen, das Unternehmen habe den Datenhandel eingestellt.
Ruf nach Regulierung
Lena Cohen von der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) sagte gegenüber der Nachrichtenseite The Register, der Fall zeige, wie wichtig Datenschutzgesetze sind. Die Datenhandelsindustrie sei undurchsichtig und unreguliert. Unternehmen würden jährlich Milliarden von US-Dollar mit dem Verkauf personenbezogener Daten verdienen. Ohne entsprechende gesetzliche Vorgaben würden sie diese Daten häufig aber unzureichend schützen.
Auch Cliff Steinhauer von der Organisation National Cybersecurity Alliance hatte im August gegenüber dem Sender CBS erklärt, Firmen wie National Public Data könnten Daten sammeln und verkaufen, weil es in den USA kein nationales Datenschutzgesetz gibt, dass dies verbieten würde.
Die US-Handelsaufsicht FTC ist bereits mehrfach gegen Datenhändler vorgegangen und hat diesen auch den Weiterverkauf der Daten untersagt – dabei ging es speziell um Standortdaten. (js)