Es ist längst kein Geheimnis mehr, dass Unternehmen wie auch die öffentliche Verwaltung gleichermaßen zunehmend einer sich immer weiter zuspitzenden Lage der IT-Sicherheit in Deutschland ausgesetzt gegenübersehen. Dieser Umstand wird nicht nur das Bundesamt für Sicherheit in der Informationstechnik (BSI) im jährlichen Lagebericht dargelegt, sondern ist neben den Fachinformationsquellen zuweilen auch aus den allgemeinen Medien zu entnehmen. Es vergeht nahezu kein Tag ohne Berichterstattung welche Phishing-Kampagnen, Ransomware-Angriffe oder Technologien im Bereich Deepfakes und zahlreiche andere Szenarien zum Gegenstand haben. Durch Cyberangriffe wie Ransomware können komplette Betriebsabläufe gefährdet werden, indem Daten und Systeme verschlüsselt werden können. Die IT- bzw. Cybersicherheitslage ist angespannt. Dieses Lagebild zeichnet sich gleichwohl nicht nur für den deutschen Raum ab. Weltweit sind Unternehmend und Behörden Zielscheiben von Cyberangriffen. Neben Lösegelderpressungen, Umsatzeinbußen, Ausfallkosten durch Beeinträchtigungen von Produktionssystemen, Patentrechtsverletzungen, Imageschäden sowie Kosten für Ermittlungen, Ersatzmaßnahmen und Rechtsstreitigkeiten sind ebenso datenschutzrechtliche Aspekte zu betrachten. Dies gilt sowohl in präventiver Hinsicht – z.B. Einhaltung der Grundsätze aus Art. 5 Abs. 1 lit. f), Art. 32 DS-GVO – als auch für den repressiven Bereich, wie der aktuelle Fall der Centric Health Ltd. anschaulich verdeutlicht. Was sich genau ereignet hat und an welcher Stelle das Datenschutzrecht ins Spiel kommt, soll der nachstehende Beitrag näher beleuchten.
Was ist passiert?
Gegen die Centric Health Ltd. wurde gemäß Art. 83 DS-GVO ein Bußgeld insgesamt in Höhe von EUR 460.000 aufgrund eines Ransomware-Angriffs verhängt. Die Centric Health Ltd. bietet hausärztliche und zahnärztliche Leistungen der primären Gesundheitsversorgung, fachärztliche und berufsbezogene Dienstleistungen für über 400.000 Patienten in ganz Irland. Der Hauptsitz des Unternehmens befindet sich in Dublin. Bei dem Vorfall – der sich bereits 2019 ereignete – waren Daten von ca. 70.000 Patienten betroffen. Bei Ransomware handelt es sich um eine – wenn nicht sogar die – operativ größte Bedrohung im Cybersicherheitsbereich. Ransomware sind Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen üblicherweise nur gegen Lösegeld erfolgt. Bei dem Einsatz von Ransomware wird das betroffene Opfer demnach bedroht, dass seine Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Was bei einem Ransomware-Angriff zu tun ist, haben wir bereits in der Vergangenheit näher beleuchtet.
Im Fall der Centric. Health Ltd. haben sich die Täter über eine Sicherheitslücke Zugriff auf die Computersysteme des Gesundheitsunternehmens verschafft. Dabei wurden personenbezogene Daten von Patienten zunächst verschlüsselt und in einem späteren Schritt durch die Hacker sogar Datensätze von ca. 2.500 Patienten gelöscht. Die Daten auf dem System wurden zwar regelmäßig durch Backups gesichert, und jeden Tag wurde ein Snapshot der Daten erstellt, aber auch diese Sicherungen waren durch den Angriff betroffen. Forensische Untersuchungen haben ergeben, dass anhand der verfügbaren Daten keine Beweise für eine Datenexfiltration festgestellt werden konnten. Unter den betroffenen Datenkategorien befanden sich insbesondere Namen, Geburtsdaten, Sozialversicherungsnummern sowie Kontaktinformationen der Patienten. Es gab in der Folge eine Lösegeldforderung, welcher durch die Centric. Health Ltd. auch nachgekommen wurde, wodurch die Entschlüsselung der Daten erreicht werden sollte.
Was wird der verantwortlichen Stelle vorgeworfen?
Zunächst ist festzuhalten, dass der Fall bereits deshalb besondere Aufmerksamkeit verdient, da es sich um die Verhängung eines Bußgeldes durch die Irische Datenschutzaufsichtsbehörde (An Coimisiún um Chosaint Sonraí) handelt. Der gegenständliche Fall spielt zur Überraschung abseits der großen Tech-Giganten, welche üblicherweise mit der irischen Datenschutzaufsichtsbehörde in Verbindung gebracht werden.
In der Begründung des Bescheides wird u.a. ausgeführt, dass der Verstoß von Centric in der Nichtumsetzung technischer und organisatorischer Maßnahmen, die dem Risiko angemessen sind, das sich aus der Verarbeitung personenbezogenen Daten der Patienten ergibt, liegt. Das Versäumnis die erforderlichen Schutzmaßnahmen nicht rechtzeitig und wirksam zu ergreifen, führte zu der die Möglichkeit, dass personenbezogene Daten von Patienten an Unbefugte weitergegeben wurden. Im Sinne des Art. 4 Nr. 12 DS-GVO liegt demnach eine Verletzung des Schutzes personenbezogener Daten durch eine unbefugte Offenlegung von bzw. einen unbefugten Zugang zu personenbezogenen Daten vor.
Die Untersuchung der Aufsichtsbehörde ergab, dass die Gesundheitseinrichtung keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen hatte, was den Angriff noch erleichterte. Vorgeworfen wird der Centric Health Ltd. ein Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO [„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet…“], Art. 5 Abs. 2 DS-GVO sowie Art. 32 Abs. 2 DS-GVO [„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind…“].
Den Angaben entsprechend verfügte Centric zwar über funktionierende Firewall-Systeme und Protokollierungen. Der forensische Bericht stellte allerdings fest, dass die Konfiguration der Netzwerk-Firewall von Centric zum Zeitpunkt des Vorfalls „vollständig offen war und sämtlichen eingehenden und ausgehenden Datenverkehr durchließ“. Weiterhin sei der Remote Desktop Protocol (RDP) Dienst auf dem Host Server „vollständig dem Internet ausgesetzt und lediglich mit einem Kennwort gesichert, dass ohne große Schwierigkeiten durch einen Brute-Force-Angriff geknackt werden konnte.“ Im forensischen Bericht wird ferner festgestellt, dass die Passwörter für die Administratorkonten „anscheinend einem üblichen organisatorischen Format folgten und nicht den üblichen Passwortsicherheitsstandards entsprachen“. Schließlich wird festgestellt, dass auf das Windows-Betriebssystem im gesamten Jahr 2018 keine Sicherheits- oder Funktionspatches angewendet wurden.
Welche Auswirkungen ergeben sich für die Praxis?
Der gezeigte Fall lässt insoweit aufhorchen, als dass durch die Begründung für die Bußgeldsanktionierung mehr als deutlich hervorgehoben wird, welche Bedeutung der technische Datenschutz einnimmt. Insbesondere Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 DS-GVO verpflichten die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, ein Sicherheitsniveau zu gewährleisten, das den mit der Verarbeitung personenbezogener Daten verbundenen Risiken angemessen ist.
Zu einem angemessenen Sicherheitsniveau gehören technische Maßnahmen, die in der Lage sind, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten. Zu den angemessenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DS-GVO gehören – mit Blick auf den konkreten Fall – unter anderem, dass verfügbare Sicherheits-Patches zeitnah eingespielt werden. Weiterhin umfasst sind funktionierende Backups, wobei hierunter nicht nur die gebetsmühlenartige Belehrung zu zählen ist, dass überhaupt ein Backupsystem vorhanden ist. Vielmehr muss das für Sorge getragen werden, dass z.B. im Fall eines Cyberangriffs die Verfügbarkeit der Daten durch das erfolgreiche Einspielen des Backups gewährleistet werden kann. Ebenso stellt eine erfolgreiche Passwortsicherheit einen entscheidenden Schritt für ein angemessenes Sicherheitsniveau dar. Umso erschreckender erscheint es, dass unter den beliebtesten deutschen Passwörter 2022 zuweilen immer noch altbekannte Klassiker zu finden sind.
Fazit
Zusammenfassend lässt sich zunächst festhalten, dass der Fall für datenschutzrechtlich verantwortliche Stellen in jeglicher Hinsicht ein Augenöffner darstellen sollte, welchen Stellenwert die Datensicherheit bzw. die Sicherheit der Verarbeitung nach Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 DS-GVO für die grundlegende Erfüllung der datenschutzrechtlichen Verpflichtungen einnimmt. „Mut zur Lücke“ ist in diesem Bereich selten ein guter Ratschlag, insbesondere auch im Hinblick auf die eingangs erwähnte sich zuspitzende Sicherheitslage.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.