Die US-amerikanische Wettbewerbs- und Verbraucherschutzbehörde FTC (Federal Trade Commission) geht gegen GoDaddy vor, einen der größten Webhosting-Anbieter der Welt. Die unabhängige US-Aufsicht wirft dem Unternehmen mangelnde IT-Sicherheit bei Webhosting-Diensten sowie irreführende Versprechungen zum Datenschutz vor. Cyberangriffe aufgrund schwachen Schutzes könnten GoDaddy-Kunden und deren Website-Besucher schaden. Deshalb verlangt die FTC von GoDaddy etliche Maßnahmen zur Verstärkung der eigenen IT-Sicherheit.
Anzeige
Die US-Behörde verweist auf schwerwiegende Sicherheitsverletzungen in den Jahren von 2019 bis 2022, bei denen Cyberkriminelle unbefugten Zugriff auf Websites von GoDaddy-Kunden erlangen konnten. So konnten im Dezember 2022 etwa Angreifer nach einem Cyber-Einbruch GoDaddy-Webseiten umleiten. Besucher von Kunden-Websites wurden sporadisch und automatisch auf Malware-Seiten weitergeleitet. Ein Jahr zuvor betraf eine GoDaddy-Datenpanne 1,2 Millionen WordPress-Kunden, als sich Cyberangreifer Zugang zu persönlichen Daten dieser GoDaddy-Kunden verschaffen konnten. Insgesamt zählt GoDaddy laut FTC rund 5 Millionen Webhosting-Kunden.
In der offiziellen Beschwerde listet die FTC zu den "unangemessenen Sicherheitspraktiken" unter anderem, dass GoDaddy versäumt hat, Vermögenswerte und Software-Updates zu inventarisieren und zu verwalten, Risiken für seine Shared-Hosting-Dienste nicht abgeschätzt hat, sicherheitsrelevante Ereignisse in der Hosting-Umgebung nicht ausreichend protokolliert und überwacht hat, sowie das Shared Hosting von weniger sicheren Umgebungen nicht getrennt hat. Dazu gehört auch, dass GoDaddy keine Multifaktor-Authentifizierung nutzt und keine Software einsetzt, um Logdateien auf mögliche Bedrohungen zu prüfen.
Zudem wirft die FTC GoDaddy vor, Kunden durch irreführende Angaben auf der eigenen Website, in E-Mails oder bei Werbung in sozialen Netzwerken getäuscht zu haben. Der Webhoster verweist dabei auf "angemessene Sicherheit" seiner Angebote und dass sich GoDaddy an Datenschutz-Rahmenvereinbarungen der USA mit der EU und der Schweiz hält. Diese verlangen von Unternehmen "angemessene und geeignete Maßnahmen zum Schutz personenbezogener Daten". Die Angaben GoDaddys sind nach Einschätzung der FTC nicht zutreffend.
Neben dem Ausbau der IT-Sicherheit verlangt die FTC von GoDaddy auch, dass der Webhoster einen externen Gutachter damit beauftragt, die IT-Sicherheit des Unternehmens unabhängig zu prüfen. Dies soll nach Umsetzung der ersten Maßnahmen und zukünftig zweijährlich erfolgen.
Gleichzeitig macht die FTC einen Einigungsvorschlag. Demnach wird die Beschwerde beigelegt, wenn GoDaddy ein "umfassendes Datensicherheitsprogramm" umsetzt. Dieses orientiert sich an ähnlichen Fällen der FTC, etwa mit Marriott. Die Hotelkette musste im April 2024 in einem Gerichtsverfahren einräumen, dass die bei Cyberangriffen erbeuteten Daten von 500 Millionen Opfern nicht von Marriott verschlüsselt waren. Ende vergangenen Jahres einigte sich die Hotelkette mit der FTC auf ein "umfassendes Informationssicherheitsprogramm", das Marriott zu implementieren hat.
Lesen Sie auch
"Millionen von Unternehmen, insbesondere kleine Firmen, verlassen sich auf Webhosting-Anbieter wie GoDaddy, um die Websites zu sichern, auf die sie und ihre Kunden angewiesen sind", sagte Samuel Levine, Direktor des Büros für Verbraucherschutz der FTC. "Die FTC ergreift heute Maßnahmen, um sicherzustellen, dass Unternehmen wie GoDaddy ihre Sicherheitssysteme verstärken, um Verbraucher auf der ganzen Welt zu schützen."
(
Kommentare