MICROS Systems, Tochtergesellschaft des Softwareriesen Oracle, wurde zur Zielscheibe eines Cyberangriffs. Dies bestätigte das Unternehmen gegenüber seinen Kunden kürzlich in einem Rundschreiben.
Sicherheitsexperten von Oracle hätten einen schädlichen Code beziehungsweise einen Schadcode sowie nicht autorisierte Netzwerkzugriffe in einigen älteren MICROS-Systemen entdeckt und blockiert. Meldungen aus IT-Sicherheitskreisen zufolge hatte sich das Kundensupport-Portal von MICROS mit Servern der russischen Cyberbrimegruppe Carbanak verbunden. Das eingeschleuste Schadprogramm ermöglichte es den Hackern vermutlich Logindaten von Kunden auszuspähen, sobald sich diese in das Supportportal einloggten.
Ausmaße des Hackerangriffs gegen MICROS noch unklar
MICROS ist einer der führenden Anbieter von Software-Lösungen für die Hotellerie und Gastronomie. Welche Ausmaße der Hackerangriff hat, ist derzeit noch unklar. Von der Datenpanne könnten weltweit jedoch über 330.000 Kreditkartenleser der Point-of-Sale-Systeme von MICROS betroffen sein. Das eingeschleuste Schadprogramm könnte über die jeweiligen Terminals eingelesenen Kreditkartendaten an unbefugte Dritte weitergeleitet haben.
MICROS äußerte sich hierzu nicht direkt, wies allerdings darauf hin, dass „in von MICROS gehosteten Umgebungen Zahlungsdaten verschlüsselt gespeichert und transportiert“ würden. MICROS-Kunden werden nun vom Unternehmen aufgefordert, ihre Passwörter für alle bestehenden Accounts zu wechseln.
Ist Ihr Hotel/Restaurant betroffen?
Sofern Sie Zahlungs- oder Kassensysteme der Firma MICROS nutzen, könnte ihr Betrieb von dem Hackerangriff betroffen sein, da Zahlungsdaten Ihrer Kunden, die durch MICROS-Systeme verarbeitet wurden, möglicherweise an Unbefugte gelangt sind. Aus datenschutzrechtlicher Sicht bleibt der jeweilige MICROS-Kunde stets verantwortlich für den sorgsamen Umgang mit personenbezogener Daten seiner Endkunden. Er ist für die Verarbeitung dieser Daten die „verantwortliche Stelle“ im Sinne des § 3 Abs. 7 Bundesdatenschutzgesetz [BDSG].
Informationspflichten nach §42a BDSG
Nutzer der Zahlungs- und Kassensysteme der Firma MICRO, treffen möglicherweise Informationspflichten nach §42a BDSG. Demnach ist die für die Datenverarbeitung verantwortliche Stelle bei unrechtmäßiger Kenntniserlangung von personenbezogenen Daten zu Bank- und Kreditkartenkonten durch Dritte, unter bestimmten Umständen verpflichtet, über die Datenpanne zu informieren. In diesem Fall ist sind die zuständige Aufsichtsbehörde und die von der Datenpanne betroffenen Personen über die unrechtmäßige Kenntniserlangung zu benachrichtigen.
Unsere Checkliste
Sofern Sie nicht ausschließen können, dass Ihr Hotel/Restaurant von der Datenpanne der Firma MICROS betroffen ist, ist nun schnelles Handeln geboten:
Kontaktieren Sie Ihren Datenschutzbeauftragten, der die weiteren Schritte festlegen und im Zweifel prüfen kann, ob eine Meldepflicht nach §42a BDSG vorliegt;
Treten Sie ggf. auch direkt an die Aufsichtsbehörde heran, um zu klären, ob Sie eine Meldepflicht nach §42a BDSG trifft;
Wenden Sie sich mit einem Auskunftsersuchen an MICROS, um festzustellen ob Ihr Konto/Zahlungs- oder Kassensystem von der Datenpanne betroffen ist;
Sie suchen einen kompetenten und zuverlässigen Datenschutzbeauftragten? Die Rechtanwälte von Spirit Legal erarbeiten passgenaue Lösungen, die Ihren individuellen Anforderungen gerecht werden. Sie erreichen uns wochentags an unserem Leipziger Standort, rund um die Uhr per Telefon und natürlich jederzeit über E-Mail oder unser Kontaktformular.