Mitarbeiterdaten frei zugänglich: 100 Millionen Dollar Klage gegen Tesla

Ein ehemaliger Tesla-Mitarbeiter hat im US-Bundesstaat Kalifornien eine 100 Millionen Dollar Sammelklage gegen den Autohersteller eingereicht. Gegenstand der Klage ist ein Datenleck von mehr als 20.000 internen Dateien und Dokumenten, die Insider im Mai dem Handelsblatt zugespielt hatten. Teil des Leaks waren auch die personenbezogenen Daten aktueller und ehemaliger Tesla-Angestellter – allein in den USA sind dies mehr als 75.000 Personen. Die Betroffenen müssen nun um Identitätsdiebstahl und Datenmissbrauch fürchten.

Die Anklage wirft Tesla vor, Mitarbeiterdaten nicht ausreichend gegen unberechtigte Zugriffe geschützt zu haben. Denn die Tatsache, dass es den Verantwortlichen möglich war, derartige Mengen sensibler Informationen aufzurufen, zu kopieren und zu veröffentlichen, weist auf ein gravierendes Sicherheitsproblem hin. Nach Insider-Angaben hat die falsche Konfiguration des Projektmanagement-Tools Jira dazu geführt, dass kritische Dokumente nahezu allen Mitarbeitern offen standen – von Gehaltslisten über Kundenbeschwerden bis hin zu Kündigungsgründen.

Sollte der Kläger Recht behalten, könnte Tesla die volle Schadenssumme von 100 Millionen Dollar treffen. Und das ist nur der Anfang. Auch weitere Klagen sind denkbar, denn der aktuelle Rechtsstreit deckt nur Betroffene in den USA ab. Dazu kommt die Veröffentlichung interner Dokumente, welche laufende Untersuchungen zu Teslas Autopilot-Programm und Batterieleistung weiter befeuern.

Darüber hinaus befassen sich auch europäische Datenschutzbehörden mit dem Vorfall. Sollten tatsächlich so viele Mitarbeiter Zugriff auf personenbezogene Daten gehabt haben, wie Insider dem Unternehmen vorwerfen, stellt dies auch einen Verstoß gegen die Datenschutzgrundverordnung dar. Die DSGVO sieht einen Strafrahmen von bis zu 4% des globalen Umsatzes vor, im Fall von Tesla wären dies rund 3 Milliarden Dollar. Ob es zu einer Strafe kommt, ist allerdings noch unklar.

Egal, ob es um kompromittierte Konten, Insider Threats oder Cyberangriffe geht: Unternehmen müssen sensible Daten intern wie extern vor unberechtigten Zugriffen schützen. Dazu muss sichergestellt sein, dass nur Personen Zugang zu Daten erhalten, die diese für ihre Arbeit zwingend benötigen. So sehen es die DSGVO, das Least Privilege Prinzip und Sicherheitsrichtlinien wie NIS2 vor.

Um Zugriffsrechte in komplexen IT-Umgebungen effektiv zu managen, brauchen Organisationen Identity und Access Management. Doch viele Firmen und Behörden scheuen die Einführung eines IAM-Systems wegen des damit verbundenen Aufwands. Die gute Nachricht: Identity und Access Management muss nicht kompliziert sein!

Als No-Code IAM Lösung ermöglicht tenfold es Organisationen, ihr Berechtigungsmanagement in wenigen Wochen zu automatisieren und den Zugang zu sensiblen Daten nach gängigen Best Practices zu beschränken. So können Unternehmen und Behörden mit minimalem Aufwand ihre Informationssicherheit verbessern, Datenschutzanforderungen erfüllen und gleichzeitig ihr IT-Personal entlasten.