Das Cloud-Softwareunternehmen Blackbaud hat zugestimmt, eine Abfindung in Höhe von 3 Millionen Euro für irreführende Offenlegungen über einen Ransomware-Angriff zu zahlen, der im Mai 2020 vor fast drei Jahren stattfand.
Das börsennotierte Unternehmen, das Software zur Verwaltung von Spenderdaten für gemeinnützige Organisationen und Bildungseinrichtungen bereitstellt, hatte bis jetzt (wird in einem neuen Tab geöffnet) keinen Ransomware-Angriff offengelegt, von dem es zu diesem Zeitpunkt Kenntnis hatte.
Dieser Angriff betraf Berichten zufolge mehr als 13,000 Kunden und gefährdete persönlich identifizierbare Informationen wie Namen, Adressen, E-Mail-Adressen und Telefonnummern.
Blackbaud-Ransomware-Angriff im Jahr 2020
Die US-Börsenaufsicht SEC (Securities and Exchange Commission) erklärte (öffnet einen neuen Tab), dass „das Unternehmen im August 2020 einen vierteljährlichen Bericht bei der SEC eingereicht hat, in dem diese wichtigen Informationen über das Ausmaß des Angriffs ausgelassen und das Risiko irreführend beschrieben wurden.“ Ein Angreifer erhält hypothetisch sensible Spenderinformationen.
Der Leiter der Crypto and Cyber Assets Unit der SEC Enforcement Division, David Hirsch, stellte fest, dass Blackbaud es versäumt habe, Investoren genau und rechtzeitig über den Ransomware-Angriff zu informieren, eine Verpflichtung, die es als Aktiengesellschaft habe.
Allerdings machte das Unternehmen der Drohung wahr und bezahlte die Forderung des Cyberkriminellen „mit der Bestätigung, dass die von ihnen gelöschte Kopie vernichtet worden war“, wobei Kundendaten als oberste Priorität bei seiner Entscheidung angeführt wurden.
Aufgrund ihrer Nichtkommunikation und der darauf folgenden Ereignisse wurden verschiedene Abschnitte und Regeln des Wertpapiergesetzes von 1933 und des Börsengesetzes von 1934 verletzt, was zu einer zivilrechtlichen Geldstrafe von 3 Millionen Euro und einer Festnahme und Festnahme von Blackbauds Milde führte diese Verstöße.
Das Unternehmen hat sich noch nicht öffentlich zu dem Deal geäußert, noch hat es Kunden beruhigt, deren Bedenken geäußert wurden, nachdem der Ransomware-Angriff öffentlich diskutiert wurde.