23andMe verklagt: Zahlungen an Cyberkriminelle nach Datenleck

Die Untersuchung der Sicherheitslücke ergab, dass die Angreifer eine Credential-Stuffing-Attacke durchführten, bei der sie bereits bei anderen Diensten kompromittierte E-Mail-Adressen und Passwörter verwendeten, um unbefugten Zugriff auf die Konten zu erlangen. Ein wesentlicher Faktor für die Reichweite des Vorfalls war die Ausnutzung der „DNA Relatives“-Funktion. Diese ermöglichte es den Akteuren, durch die Verknüpfung von Profilen Informationen über eine weitaus größere Anzahl von Personen zu extrahieren, als durch den direkten Kontozugriff allein möglich gewesen wäre.

Vorwürfe der Verschleierung durch Lösegeldzahlungen

Die vorliegende Klageschrift legt dar, dass 23andMe nach dem Eindringen Unbekannter in seine Systeme versucht haben soll, die Situation durch finanzielle Transaktionen zu lösen. Anstatt den Vorfall gemäß den geltenden Sicherheitsstandards und gesetzlichen Meldepflichten vollständig offenzulegen, wird der Führung vorgeworfen, Cyberkriminelle mit Zahlungen ruhiggestellt zu haben. Diese Vorgehensweise hätte laut den Klägern das Ziel verfolgt, die negativen Auswirkungen auf den Aktienkurs und das Vertrauen der Kunden zu minimieren.

Die rechtliche Argumentation stützt sich darauf, dass solche Zahlungen nicht nur das Risiko künftiger Erpressungen erhöhen, sondern auch eine bewusste Täuschung von Aktionären und Regulierungsbehörden darstellen könnten. Die Kläger behaupten, dass die Entscheidung für eine geheime Zahlung die Transparenz untergraben hat, die für Unternehmen, die mit hochsensiblen biologischen Daten arbeiten, unerlässlich ist.

Die Klageführer führen an, dass 23andMe in seinen Pflichtmitteilungen an die US-Börsenaufsicht (Securities and Exchange Commission, SEC) die Risiken und die tatsächliche Natur der Sicherheitsvorfälle systematisch falsch dargestellt habe. Diese mangelnde Transparenz in den Finanzberichten soll dazu geführt haben, dass Investoren über die Integrität des Geschäftsmodells getäuscht wurden, was unmittelbar zu massiven Kursverlusten der Aktie an der NASDAQ führte.

Die rechtliche Dimension der Erpressung und Treuepflichten

Ein zentraler Aspekt der juristischen Auseinandersetzung ist die Frage der persönlichen Verantwortung der Führungskräfte. Es wird untersucht, ob die Entscheidung für potenzielle Lösegeldzahlungen gegen die Treuepflichten gegenüber den Aktionären verstieß. Die Kläger argumentieren, dass das Management das Risiko eines rechtlichen Konflikts gegen das Risiko einer massiven Entwertung des Unternehmens abgewogen hat, ohne die betroffenen Nutzer über die tatsächliche Gefahr zu informieren.

Die Verschleierung der Wahrheit durch finanzielle Zugeständnisse an Kriminelle stellt einen Vertrauensbruch dar, der weit über technische Fehler hinausgeht.

Anwaltlicher Vertreter der Klägergruppe

Neben den direkten Geschädigten durch den Datenabfluss sind auch Investoren Teil der juristischen Offensive. Diese machen geltend, dass die finanziellen Rückstellungen für die Bewältigung der Krise und die potenziellen Zahlungen an Erpresser in den offiziellen Berichten nicht transparent ausgewiesen wurden. Die Klage wirft dem Unternehmen vor, die finanzielle Tragweite der Cyber-Bedrohung systematisch unterbewertet zu haben.

In der Klageschrift wird die Rolle von CEO Anne Wojcicki und des gesamten Board of Directors detailliert hinterfragt. Es wird dargelegt, dass die Entscheidungsebene die Diskrepanz zwischen dem tatsächlichen Sicherheitsrisiko und der öffentlichen Darstellung des Unternehmens aktiv mitgestaltet haben soll.

Auswirkungen auf die Datensicherheit biologischer Informationen

Der Fall 23andMe berührt den Kern der Sicherheit im Bereich der Bioinformatik. Da das Unternehmen Informationen über die Abstammung und gesundheitliche Veranlagungen speichert, wiegt der Vorwurf der unzureichenden Absicherung besonders schwer. Die Kläger führen an, dass die Integrität der genetischen Profile durch die Sicherheitslücken und die anschließende Krisenbewältigung dauerhaft beschädigt wurde.

Nach vorliegenden Daten waren die Informationen von circa 6,9 Millionen Nutzern betroffen. Zu den extrahierten Datenmengen gehörten neben den genetischen Markern auch detaillierte Angaben zur ethnischen Abstammung, die durch die algorithmische Verknüpfung der betroffenen Profile über die Verwandtschaftsfunktionen akribisch zusammengestellt wurden.

Die technische Problematik liegt hierbei nicht nur im eigentlichen Datendiebstahl, sondern in der Unvorhersehbarkeit der Nutzung dieser Daten. Wenn Cyberkriminelle durch Zahlungen zur Geheimhaltung bewegt werden, bleibt unklar, ob die gestohlenen Daten tatsächlich gelöscht wurden oder ob sie weiterhin im Darknet gehandelt werden. Diese Unsicherheit stellt ein langfristiges Risiko für die Privatsphäre der betroffenen Personen dar, da genetische Informationen im Gegensatz zu Passwörtern nicht geändert werden können.

Regulatorische Konsequenzen für die Branche

Die Entscheidung der Gerichte wird definieren, wie Unternehmen mit der Erpressung durch Cyberkriminelle umgehen dürfen, ohne die gesetzlichen Informationspflichten zu verletzen. Sollten die Vorwürfe der Lösegeldzahlungen zur Verschleierung rechtlich Bestand haben, müssten Unternehmen im Bereich der digitalen Gesundheitsdaten ihre Protokolle für Cyberangriffe grundlegend überdenken.

Regulierungsbehörden beobachten den Fall genau. Im Zentrum steht die Frage, ob die Meldung eines Hacks erst dann erfolgen darf, wenn alle Versuche einer außergerichtlichen Lösung gescheitert sind, oder ob die Pflicht zur sofortigen Transparenz gegenüber den Betroffenen Vorrang hat. Der Ausgang dieses Verfahrens könnte wegweisende Präzedenzfälle schaffen, die festlegen, wie die Grenze zwischen Krisenmanagement und illegaler Verschleierung im digitalen Zeitalter gezogen wird.