Morgan Stanley muss 1 Mio. Dollar Strafe zahlen, weil Mitarbeiter 730.000 Kundenkonten stahl

Weil die Daten von Tausenden Kunden der amerikanischen Großbank Morgan Stanley nicht ausreichend gesichert waren, muss diese nun eine Millionen US-Dollar Strafe, also umgerechnet 880.000 Euro bezahlen.

pixabay.com / CC0 Public Domain
Der Horror für jede Firma und jeden Kollegen: Mitarbeiter, die heimlich der Firma durch Datendiebstahl- oder Datenweitergabe an Dritte schaden.

Das bemerkenswerte an der Strafe ist, dass die Bank zur Rechenschaft gezogen wird, nicht, da sie Opfer von externen Hackern wurde, sondern direkt ein eigener Mitarbeiter sich privat an den Kundendaten von 730.000 Kunden bediente.

Das Gericht sagte, die Großbank habe nicht ausreichend genügend Schutzwälle eingebaut, welche verhindert hätten, dass der ehemalige Morgan Stanley-Mitarbeiter Galen M. am Arbeitsplatz sowie auf seinem Privatrechner Zugriffe auf die 730.000 Kundenkonten gehabt hätte. Die eine Millionen US-Dollar-Strafe war letztlich durch die Securities and Exchange Commission (SEC) ausgesprochen worden.

Wegen der illegalen Entwendung von 730.000 Kundenkonten-Daten war bereits im Dezember der ehemalige Morgan Stanley-Mitarbeiter Galen Marsh zu drei Jahren Haft auf Bewährung verurteilt worden. Er hatte in seiner Funktion als IT-Mitarbeiter zwischen den Jahren 2011 und 2014 Tausende Kundendaten von Morgan Stanley heimlich kopiert. Er soll die Daten über seine persönliche Webseite auf seinen persönlichen Server umgeleitet haben.

Zudem sollen über mehrere Monate auf Grund seiner Hacks die Kundendaten der 730.000 Bankkunden online auffindbar gewesen sein.

In den USA kann aber ein IT-Mitarbeiter, der Kundendaten von seinem Arbeitgeber stiehlt, nicht nur zu Freiheitsstrafe oder Bewährungsstrafe verurteilt werden, sondern sogar zu ganzem Berufsverbot. Deshalb erklärte der Rechtsanwalt des verurteilten ehemaligen Mitarbeiters von Morgan Stanley, man sei froh, dass gegen seinen Mandanten lediglich ein „zeitlich begrenztes Berufsverbot“ ausgesprochen worden sei.

So darf der Täter, Galen M., nun 5 Jahre nicht mehr in Unternehmen mit IT-Sicherheitssystemen arbeiten. Er war bei Morgan Stanley seit 2008 beschäftigt - zunächst als Vertriebsassistent, später als Finanzberater mit umfangreichem Zugang zu Kundendaten.

Der Chef der obersten Datenschutzbehörde für den Finanzsektor in den USA, Andrew Ceresney von der Securities and Exchange Commission (SEC), begründete die Millionen-Strafe gegen Morgan Stanley mit den Worten:

"In Anbetracht der Gefahren und Auswirkungen von cyberbreaches, ist Datensicherheit ein entscheidend wichtiger Aspekt des Anlegerschutzes".

Morgan Stanley versicherte, dass man nun einen Programmierfehler, der dazu geführt hätte, dass auch einfachere Mitarbeiter auf Tausende Kundendaten hätten zugreifen können, behoben habe. Jetzt sei gewährleistet, dass es keinen unbeschränkten Zugriff auf Kundendaten gebe, ohne dass genügend Kontrollmechanismen eingebaut worden seien.

Morgen Stanley sucht sich auch damit zu rechtfertigen, dass die zehnjährigen IT-Sicherungssysteme etwas in die Jahre gekommen seien.

Gefällt mir
1