„23andme hat dabei versagt, grundlegende Maßnahmen zum Schutz personenbezogener Daten zu setzen“, zeiht John Edwards, Chef der britischen Datenschutzbehörde, das US-Unternehmen für Genanalysen, „Ihre Sicherheitssysteme waren inadäquat, die Warnsignale waren da und die Firma hat langsam reagiert.“ Das Ergebnis ist bekannt: Fast sieben Millionen Datensätze von Kunden 23andmes gelangten 2023 in falsche Hände und im Darknet zum Verkauf. Edwards Behörde verhängt nun eine Strafe von umgerechnet gut 2,7 Millionen Euro über die Genfirma.

Die der Strafe zugrundeliegende Untersuchung war gemeinsame Arbeit der britischen und der kanadischen Bundesdatenschutzbehörde. Letztere darf, sehr zum anhaltenden Ärger ihres Chefs Philippe Dufresne, keine Strafen verhängen, sondern muss sich auf die Feststellung beschränken, dass 23andme kanadisches Datenschutzrecht verletzt hat. Von der illegalen Offenlegung dürften etwa 320.000 Kanadier und rund 150.000 Briten betroffen sein.

Die Methode des Angreifers war banal: Credential Stuffing. Dabei werden Logins und Passwörter, die bei Einbrüchen in andere Dienste offengelegt worden sind, ausprobiert. Hat der User die gleiche Kombination eingesetzt, und gibt es keine Multifaktor-Authentifizierung, kann sich der Angreifer einloggen. Das ist bei 23andme im Jahr 2023 bei über 18.000 Konten gelungen. Viele 23andme-Kunden haben in ihren Konten die Option aktiviert, ihre Daten mit Verwandten zu teilen. Daher konnte der Angreifer über gut 18.000 Konten die Daten von fast sieben Millionen Menschen abgreifen.

Fünf Monate nichts mitbekommen

Fünf Monate lang, ab Ende April 2023, konnte der Täter ungestört ein Passwort nach dem anderen ausprobieren. Denn, so die kanadische und die britische Behörde, 23andme hatte ineffektive Erkennungssysteme sowie unzulängliches Logging und Monitoring. Zudem sei die Untersuchung von Anomalien inadäquat gewesen, sonst hätte 23andme die Vorgänge Monate früher als erst im Oktober 2023 erkannt.

Hinzu kommt unzureichende Vorbeugung. Die beiden Behörden kritisieren, dass 23andme keine verpflichtende Multifaktor-Authentifizierung (MFA) hatte, dass es nicht überprüft hat, ob Kunden anderswo kompromittierte Passwörter wiederverwenden, dass es keine zusätzliche Überprüfung bei der Anforderung der Gen-Rohdaten gab, und dass die Passwortregeln zu lasch waren: 23andme schrieb mindestens achtstellige Passwörter mit „minimalen Komplexitätsregeln“ vor; eine Richtlinie der britischen Datenschutzbehörde ICO (Information Commissioner’s Office) empfiehlt mindestens zehnstellige Passwörter ohne Zwang der Verwendung von Sonderzeichen und ohne Längenbeschränkung.

Selbst als 23andme die unberechtigten Zugriffe erkannt hatte, reagierte es nicht so, wie sich die Datenschutzbehörden das vorstellen. Es dauerte vier Tage, bis die Firma alle Passwörter zurücksetzte und laufende Sitzungen schloss. Bis zur Einführung verpflichtender MFA und zusätzlicher Absicherung der Rohdaten verging gar ein Monat. Zu allem Überdruss waren die rechtlich vorgeschriebenen Mitteilungen der Firma an die britische und die kanadische Datenschutzbehörde auch noch unvollständig.

Nach Insolvenz kommt Wojcicki wieder ans Ruder

Einige Monate nach dem Vorfall stellte 23andme Insolvenzantrag. Daher ist nicht gesichert, dass die britische Strafe in der festgesetzten Höhe bezahlt wird. Das Unternehmen könnte auch noch Rechtsmittel ergreifen.

23andme wurde 2006 gegründet, ist 2021 an die Börse gegangen, hat aber nie Gewinn geschrieben. Nach einigem Hin und Her im Insolvenzverfahren dürfte Mitgründern Anne Wojcicki über ihre Forschungsfirma TTAM die Konkursmasse 23andmes aus dem Konkursverfahren erwerben. TTAM hat dafür 305 Millionen US-Dollar geboten, mehr als die Pharmafirma Regeneron. Wojcicki war bis 2015 mit Google-Mitgründer Sergey Brin verheiratet und ist die jüngste Schwester der im August an Lungenkrebs verstorbenen Susan Wojcicki, der ersten Marketingleiterin Googles und langjährigen Chefin Youtubes.

(ds)