DatenschutzHackerangriffeSchwachstellen

Kalifornien verklagt 23andMe wegen Datenschutz-Versäumnisse: Millionen Genomanlysen gefährdet

Von CyberDeutsch Redaktion
Kalifornien verklagt 23andMe wegen Datenschutz-Versäumnisse: Millionen Genomanlysen gefährdet
Zusammenfassung

Kaliforniens Generalstaatsanwalt hat Klage gegen das DNA-Testunternehmen 23andMe eingereicht und wirft dem Unternehmen vor, sensible Nutzerdaten bei einer Datenpanne im Jahr 2023 nicht ausreichend geschützt zu haben. Der Sicherheitsverstoß betraf etwa sieben Millionen Menschen in den USA. Die Angreifer nutzten die Methode des „Credential Stuffing" aus, um auf rund 14.000 Konten zuzugreifen und damit auf die Daten von Millionen Kunden zu gelangen. Das Unternehmen, das unter dem Namen Chrome Holding Co. nach einer Insolvenz firmiert, hatte bereits bekannt gegeben, dass genetische Daten, Gesundheitsberichte und verwandte Informationen von Nutzern kompromittiert wurden. Besonders besorgniserregend ist, dass die Angreifer über fünf Monate unentdeckt in den Systemen aktiv waren und dass 23andMe Warnzeichen wie verdächtige Login-Versuche im Juli 2023 ignorierte. Für deutsche Unternehmen und Nutzer ist dieser Fall relevant, da er zeigt, wie unzureichende Sicherheitsmaßnahmen bei der Verwaltung hochsensibler genetischer Daten zu massiven Datenlecks führen können. Dies unterstreicht die Bedeutung strengerer Datenschutzanforderungen gemäß DSGVO und die Notwendigkeit robuster Sicherheitsprotokolle, insbesondere bei der Speicherung personenbezogener genetischer Informationen.

Die Klage offenbart ein besorgniserregendes Versagen in den grundlegendsten Sicherheitsmaßnahmen. Angreifer nutzten sogenanntes Credential-Stuffing, um über 14.000 Konten zu kompromittieren und damit auf die Daten von 7 Millionen Kunden zuzugreifen. Diese Angriffsmethode ist seit Jahren bekannt und leicht zu verhindern — durch Multifaktor-Authentifizierung oder erzwungene Passwort-Änderungen.

Besonders skandalös: 23andMe hatte seit einem MyHeritage-Datenleck 2017 gewusst, dass gestohlene Anmeldedaten in Umlauf waren, unternahm aber nichts. Stattdessen ließ die Firma verdächtige Aktivitäten monatelang unbeachtet. Im Juli 2023 verzeichnete das System einen ungewöhnlichen Anstieg von Login-Versuchen, im August diskutierten Nutzer auf Reddit bereits über einen möglichen Datenklau — doch 23andMe reagierte erst, als Cyberkriminelle das Material aktiv zum Verkauf anboten und Lösegeld forderten.

Die geraubten Informationen umfassten DNA-Rohdaten, Gesundheitsberichte, genetische Verwandtschaftsinformationen und geografische Standortangaben. Im Oktober 2023 wurden über 1,1 Millionen Datensätze speziell mit Bezug zu asiatisch-pazifischen und aschkenasisch-jüdischen Nutzern auf dem Dark Web angeboten — ein Umstand, den Generalstaatsanwalt Bonta kritisch im Kontext wachsender rassistischer und antisemitischer Gewalt bewertet.

Kalifornien argumentiert, dass genetische Informationen den höchsten Schutzstandard erfordern und das kalifornische Genetic Information Privacy Act explizit eine verstärkte Schutzpflicht vorsieht. 23andMe muss mit erheblichen Geldstrafen und einstweiligen Verfügungen rechnen. Zudem hatte Bonta bereits während des Insolvenzverfahrens 2024 interveniiert, um zu verhindern, dass genetische Daten unbefugt an Dritte verkauft werden. Der Konflikt führte zu einem Vergleich in Höhe von 50 Millionen Dollar.

Für deutsche Unternehmen und Behörden gilt dies als warnendes Beispiel. Das BSI und der Bundesdatenschutzbeauftragte fordern seit langem technische Standards für hochsensible personenbezogene Daten. Verstöße können zu DSGVO-Bußgeldern bis 4 Prozent des Jahresumsatzes führen.

Ähnliche Artikel