Datenverwaltungsunternehmen zahlt 3 Millionen US-Dollar als Vergleich mit FBI wegen Ransomware-Offenlegungen im Jahr 2020

Blackbaud Inc., das Software zur Verwaltung von Spenderdaten an gemeinnützige Organisationen verkauft, erklärte sich am Donnerstag bereit, der Securities and Exchange Commission 3 Millionen US-Dollar in einem Vergleich über die Offenlegung eines Ransomware-Angriffs im Jahr 2020 zu zahlen.

Die SEC beschuldigte Blackbaud, gegen Bundesgesetze verstoßen zu haben, indem es irreführende Offenlegungen machte, in denen nicht der volle Umfang der bei dem Cyberangriff beschlagnahmten Kundeninformationen erwähnt wurde. Ein Teil dieses Versagens war darauf zurückzuführen, dass Mitarbeiter des Unternehmens es versäumten, das obere Management darüber zu informieren, dass sensible Daten gestohlen wurden.

Am 14. Mai 2020 entdeckte Blackbaud, dass bereits seit Februar 2020 jemand unbefugt auf ihre internen Systeme zugegriffen hatte, und fand Nachrichten des Täters, dass Kundendaten aus dem System entnommen wurden.

Der Angreifer forderte Lösegeld für die Löschung der gestohlenen Daten. Ein Drittanbieter wurde beauftragt, dies zu untersuchen und die Kommunikation mit dem Angreifer zu arrangieren, um schließlich die Zahlung des Lösegelds zu arrangieren.

Bis zum 16. Juli 2020 stellte Blackbaud fest, dass mindestens eine Million Dateien von über 13.000 Kunden entwendet worden waren. Mehrere Produkte, darunter mehrere Versionen der Spenderverwaltungssoftware von Blackbaud, waren ebenfalls von dem Angriff betroffen.

An diesem Tag machte Blackbaud den Angriff öffentlich, auch gegenüber den über 13.000 betroffenen Kunden. In der Ankündigung sagte Blackbaud, dass der Kriminelle nicht auf Bankkontoinformationen oder Sozialversicherungsnummern zugegriffen habe.

In den Tagen danach erhielt Blackbaud über 1.000 Nachrichten von Kunden bezüglich des Cyberangriffs. Mehrere Kunden äußerten Bedenken hinsichtlich der Möglichkeit, dass Spender-Banking- und Sozialversicherungsdaten mit unverschlüsselten Feldern in die Blackbaud-Software hochgeladen oder anderweitig in unverschlüsselte Anhänge aufgenommen wurden.

Bis zum 21. Juli 2020 hatte Blackbaud damit begonnen, den Kunden anzuerkennen, dass ihre Befürchtungen über unverschlüsselte Felder und Anhänge wahr waren. Bis Ende des Monats hatte Blackbaud bestätigt, dass der Kriminelle Sozialversicherungs- und Bankdaten des Spenders gestohlen hatte.

Die Techniker und Kundendienstmitarbeiter, die den Diebstahl dieser Informationen bestätigt hatten, informierten die Geschäftsleitung nicht. Es gab keine interne Richtlinie, um dies sicherzustellen, sagte die SEC.

Infolgedessen erwähnte Blackbaud in einer nachfolgenden SEC-Anmeldung im August 2020 nicht, dass die Bankinformationen und Sozialversicherungsnummern der Spender ihrer Kunden gestohlen worden waren.

In einer Einreichung vom 29. September 2020 gab das Unternehmen schließlich zu, dass der Cyberkriminelle möglicherweise auf die unverschlüsselten Felder zugegriffen hat, die für sensible Spenderdaten bestimmt sind. Ungefähr zu dieser Zeit wurde Kunden, von denen Blackbaud glaubte, dass Daten gestohlen wurden, dies mitgeteilt.

Die Nachlässigkeit des Personals und die daraus resultierenden falschen Offenlegungen durch die Geschäftsleitung verstießen gegen Bundesgesetze, sagte die SEC, obwohl das Management sich der Verstöße nicht bewusst war, als sie begangen wurden.