Die SEC hat Morgan Stanley Smith Barney mit einer Geldstrafe von 35 Mio USD belegt wegen unzureichendem Schutz personenbezogener Kunden-Daten.
Morgan Stanley Smith Barney (MSSB), jetzt Morgan Stanley Wealth Management, eine US-Vermögensverwaltung, hat aktuell zugestimmt, 35 Millionen US-Dollar zu zahlen. Damit wolle das Unternehmen Vorwürfe beilegen, dass sie Festplatten und Server mit persönlichen Daten ihrer Kunden nicht ordnungsgemäß entsorgt habe. Über einen Zeitraum von fünf Jahren ab 2015 wären durch den Datenverstoß etwa 15 Millionen Kundendaten kompromittiert. Darüber berichtete u.a. The New York Times.
Die United States Securities and Exchange Commission (SEC) hat MSSB, ein Joint Venture der Großbanken Morgan Stanley und Citigroup, mit einer Geldstrafe von 35 Millionen US-Dollar belegt. In einer Pressemitteilung führten sie auf, das Unternehmen hätte es in erheblichem Umfang versäumt, personenbezogene Daten ihrer Kunden zu schützen. MSSB nahm im Rahmen eines umfassenderen Hardware-Aktualisierungsprogramms lokale Büro- und Zweigstellenserver außer Betrieb.
Allerdings beauftragte das Unternehmen laut SEC bei diesen Gelegenheiten ein Umzugs- und Lagerunternehmen „ohne Erfahrung oder Fachwissen in Datenvernichtungsdiensten“ mit der Außerbetriebnahme Tausender Festplatten und Server, die die personenbezogenen Daten von Millionen seiner Kunden enthielten. Anschließend unterließ es das Unternehmen, die Arbeit des Umzugsunternehmens ordnungsgemäß zu überwachen.
Umzugsunternehmen gab Morgan Stanley-Server und Festplatten zur Auktion frei
Untersuchungen des SEC ergaben, dass das Umzugsunternehmen Tausende von Servern und Festplatten verkauft habe. Von denen landeten einige schließlich auf einer Internet-Auktionsseite, ohne dass die Informationen der Personen entfernt worden seien. Wie Ars Technika berichtete, erhielt besagtes Umzugsunternehmen „53 RAID-Arrays, die zusammen etwa 1.000 Festplatten enthielten und entfernte außerdem etwa 8.000 Sicherungsbänder aus einem der Datenzentren von Morgan Stanley“.
Infolge beauftragte das Umzugsunternehmen zunächst einen IT-Spezialisten. Dieser sollte alle auf den Laufwerken gespeicherten sensiblen Daten löschen oder zerstören. Nach Beendigung dieser Zusammenarbeit allerdings begann das Umzugsunternehmen damit, die Speichergeräte an ein weiteres Unternehmen zu verkaufen, das sie wiederum versteigerte. Das neue Unternehmen hat Morgan Stanley nie überprüft oder als Auftragnehmer oder Unterauftragnehmer für das Stilllegungsprojekt zugelassen.
Gemäß Informationen von Ars Technika soll Morgan Stanley im Jahr 2017 in einer E-Mail über den Vorfall informiert worden sein. Der Käufer, ein IT-Berater aus Oklahoma, machte darauf aufmerksam, dass Festplatten, die er auf einer Online-Auktionsseite gekauft hatte, Daten von Morgan Stanley enthielten. In der E-Mail wies der IT-Berater darauf hin:
„Sie sind ein großes Finanzinstitut und sollten einige sehr strenge Richtlinien zum Umgang mit ausrangierter Hardware befolgen. Oder zumindest eine Art Bestätigung der Datenvernichtung von den Anbietern zu erhalten, an die Sie Geräte verkaufen.“
MSSB reagierte darauf und kaufte schließlich die Festplatten im Besitz des IT-Beraters zurück.
Zudem bezieht sich die SEC darauf, dass „ein von der Firma während dieses Stilllegungsprozesses durchgeführter Datenabgleich ergab, dass 42 Server fehlten“. Diese enthielten:
„alle möglicherweise unverschlüsselte personenbezogene Daten von Kunden und Verbraucherberichte. Darüber hinaus erfuhr MSSB während dieses Prozesses auch, dass die außer Betrieb genommenen lokalen Geräte mit Verschlüsselungsfunktionen ausgestattet waren, die Firma die Verschlüsselungssoftware jedoch jahrelang nicht aktiviert hatte.“
Litanei von „erstaunlichen“ Fehlern
Gurbir S. Grewal, Direktor der SEC Enforcement Division, wies darauf hin, die Fehler, die über fünf Jahre aufgetreten seien „erstaunlich“. Grewal ergänzt:
„Kunden vertrauen Finanzexperten ihre personenbezogenen Daten mit dem Verständnis und der Erwartung an, dass man sie schützt, und MSSB hat dies kläglich versäumt. Wenn diese Voraussetzung nicht gegeben ist, können die sensiblen Daten in die falschen Hände geraten und katastrophale Folgen für Anleger haben.“
Gemäß SEC erklärte sich MSSB bereit, die Strafe zu zahlen und den Fall beizulegen, ohne die Anschuldigungen zuzugeben oder abzustreiten. Nach der Ankündigung der SEC gab Morgan Stanley in einer Erklärung bekannt, dass es erfreut sei, die Angelegenheit bereinigt zu haben.
„Wir haben die entsprechenden Kunden zuvor über diese Angelegenheiten informiert, die vor mehreren Jahren aufgetreten sind und keinen unbefugten Zugriff auf oder Missbrauch von persönlichen Kundeninformationen festgestellt“.
