Aktia Bank wurde 2023 eine Geldstrafe von 865.000 Euro wegen Sicherheitsverletzungen auferlegt. Aufgrund der Störung konnten beim Einloggen mit Bankdaten auf die Informationen anderer Kunden zugegriffen werden. Aktia plant, gegen die Entscheidung Berufung einzulegen.
Die Aktia Bank wurde mit einer Geldbuße in Höhe von 865.000 Euro belegt, die auf Versäumnisse im Bereich der Datensicherheit im Jahr 2023 zurückzuführen ist. Während eines Vorfalls konnten Kunden mit Bankzugang auf die Daten anderer Nutzer zugreifen, was auf schwerwiegende Probleme beim Anmeldevorgang hinweist. Aktia plant, gegen diese Entscheidung Berufung einzulegen.
Details zum Sicherheitsvorfall
Der Vorfall betraf einen technischen Fehler im Anmeldesystem der Bank, das im Januar 2023 aufgetreten ist. Während einer einstündigen Störung konnten sich manche Nutzer fälschlicherweise mit den Zugangsdaten anderer Kunden anmelden und deren vertrauliche Informationen einsehen. Dies führte dazu, dass sie in der Lage waren, im Namen anderer Kunden zu agieren.
Die Datenschutzbeauftragte, Heljä-Tuulia Pihamaa, betonte die Bedeutung einer funktionierenden starken Authentifizierung, um die Identität der Nutzer zu bestätigen und die Vertraulichkeit ihrer Daten zu gewährleisten. Der Vorfall betraf nicht nur Bankdienstleistungen, sondern auch den Zugang zu staatlichen Diensten, Arbeitslosenkassen, Versicherungen und Gesundheitsdiensten.
Insgesamt waren etwa 350 Personen von den Sicherheitsmängeln betroffen. Die Datenschutzbehörde stellte fest, dass die Bank bei der Planung, Durchführung und Testung der technischen Änderungen Defizite aufwies. Pihamaa wies darauf hin, dass bei der Verarbeitung von personenbezogenen Daten besondere Sorgfalt erforderlich ist, da eine Gefährdung schwerwiegende Folgen für die betroffenen Personen haben kann.
Aktia hat nach dem Vorfall Maßnahmen ergriffen, um sicherzustellen, dass sich solche Fehler in Zukunft nicht wiederholen. Es wurden neue Testmethoden implementiert, um die Verwechslung von Anmeldungen zu verhindern. Bislang gibt es keine Hinweise darauf, dass es zu Missbrauchsfällen gekommen ist.
Die verhängte Geldbuße wurde aufgrund des unzureichenden Schutzes personenbezogener Daten verhängt. Darüber hinaus erhielt die Bank eine Verwarnung wegen der Verletzung von Datenschutzbestimmungen. Diese Entscheidungen sind noch nicht rechtskräftig und können durch eine Beschwerde bei den Verwaltungsgerichten angefochten werden.
Reaktion von Aktia
Aktia hat angekündigt, gegen die Entscheidung vorzugehen, da sie der Meinung sind, dass es fehlerhafte Interpretationen der Datenschutztests vor dem Vorfall gab. Die Bank bezeichnet die Geldbuße als unangemessen.
Die Kommunikationsleiterin von Aktia, Mia Smeds, teilte mit, dass es sich um einen Einzelfall handele und sie mit der Entscheidung der Behörden nicht einverstanden sind. Sie betonten, dass Aktia durch ihre Reaktionsfähigkeit und -geschwindigkeit ihre Sicherheitsstandards unter Beweis gestellt hat. Smeds äußerte Bedauern über den Zugang Dritter zu sensiblen Gesundheitsdaten und versicherte, dass das Problem weniger als eine Stunde andauerte. Aktia hat weiterhin ihre Prozesse zur Qualitätskontrolle und Schulung der Mitarbeiter im Bereich Datenschutz und Datensicherheit verbessert.
Aktia sichert ihren Kunden zu, dass sie auch in Zukunft sicher auf ihre Dienstleistungen zugreifen können.