Technische IT-Mängel vor Ransomware-Angriff ziehen DSGVO-Bußgelder nach sich Ransomware
Was war passiert?
Der Entscheidung liegt ein Sachverhalt aus dem Jahre 2019 zugrunde. Bei dem Unternehmen Centric Health war es zu einem Ransomware-Angriff gekommen. Über eine Sicherheitslücke hatten die Täter Zugriff auf die Computersysteme des Gesundheitsunternehmens erlangt.
Dabei wurden personenbezogene Daten von Patienten zunächst verschlüsselt und in einem späteren Schritt durch die Hacker auch gelöscht. Eine Zahlung des geforderten Lösegeldes durch das betroffene Unternehmen erfolgte nicht. Unter den Datensätzen befanden sich insbesondere Namen, Geburtsdaten, Sozialversicherungsnummern sowie Kontaktinformationen der Patienten. Originäre Gesundheitsdaten waren jedoch wohl nicht betroffen. Zugleich hatte die Schadsoftware auch die vorhandenen Backups und Snapshots des Unternehmens erfasst und ebenfalls verschlüsselt. Bei einem bestimmten Teil der betroffenen Daten lag daher ein Totalverlust vor und sie konnten auch im Nachgang an den Angriff nicht wiederhergestellt werden.
Bemerkenswert war darüber hinaus, dass es überhaupt nicht zu einer sonst bei Ransomware-Angriffen durchaus typischen sogenannten Exfiltration der Daten gekommen war. Die Hacker haben die Daten also im Verlauf des Angriffs nicht etwa auch aus dem Computersystem des Unternehmens entwendet oder gar bei Nichtzahlung des geforderten Lösegelds umfassend "geleakt", wie dies inzwischen durchaus häufig angedroht wird.
Die Entscheidung der Aufsichtsbehörde
Das betroffene Unternehmen verhielt sich im Umgang mit dem Angriff durchaus vorbildlich: Es entdeckte den Angriff frühzeitig und leitete Maßnahmen zur Begrenzung ein. Es informierte zugleich die Datenschutzaufsichtsbehörde sowie die betroffenen Patienten (diese leider mit etwas unklarer und später durch die Behörde explizit beanstandeter Formulierung) und zog ein Fachunternehmen für IT-Forensik zur Aufarbeitung der eingetretenen Schäden hinzu.
Trotz Anerkennung des vorbildlichen Umgangs mit dem Ransomware-Angriff verhängte die Behörde im nachfolgenden aufsichtsrechtlichen Verfahren ein Bußgeld von 460.000,00 Euro gegen das Unternehmen. Die Behörde stellte fest, dass das Unternehmen durch sein Verhalten vor dem Angriff insbesondere gegen die Pflicht zur Gewährleistung eines angemessenen technischen Schutzniveaus für die personenbezogenen Daten verstoßen hatte. So seien Sicherheitspatches trotz Verfügbarkeit über längere Zeiträume von bis zu einem Jahr nicht eingespielt worden. Teilweise hätten auch keine Lizenzen betreffend Einzelsoftware für den Bezug von neueren Sicherheitsupdates mehr bestanden. All dies stelle bereits einen Verstoß gegen die DSGVO dar, selbst wenn im Einzelnen unklar sei, ob die Patches den Erfolg des Angriffs überhaupt hätten verhindern können. Ferner sei es unerheblich, ob es zu einem Datenleak gekommen sei, denn ein unberechtigter Zugriff auf die Daten – jedenfalls durch die Hacker selbst – hätte unzweifelhaft stattgefunden. Dies macht deutlich, dass bereits bei einem Ransomwareangriff bereits die Unzugänglichkeit der Daten durch die Verantwortlichen einen Datenschutzverstoß darstellt. Dies ergibt sich zwar bereits indirekt aus Art. 4 Nr. 12 DSGVO, es ist dennoch bemerkenswert wie deutlich die Aufsichtsbehörde hierauf abstellt.
Auswirkungen der behördlichen Entscheidung
Zunächst ist festzustellen, dass die Entscheidungen von ausländischen Aufsichtsbehörden keine unmittelbaren Auswirkungen auf die deutschen Aufsichtsbehörden - etwa gar im Wege einer (mittelbaren) Bindungswirkung - haben. Auch wurde die Behördenentscheidung nicht gerichtlich überprüft, sodass offen ist, ob oder inwieweit sie einer Kontrolle standhalten würde.
Aus der Entscheidung lässt sich jedoch ableiten, welche Anforderungen Aufsichtsbehörden zukünftig an den technischen Datenschutz, also den "praktisch-technischen" und nicht rein organisatorischen Teil der DSGVO-Anforderungen, stellen könnten. In Zeiten zunehmender Ransomware-Angriffe sind dies wichtige Hinweise. Bemerkenswert ist dabei, welch großer Wert auf das zügige Einspielen von Sicherheitspatches gelegt wurde. Für den Systemadministrator bedeutet das einen Zielkonflikt zwischen einem Rollout mit Augenmaß zur Wahrung der Gesamtsystemstabilität sowie dem Wunsch des möglichst schnellen Ausrollens von Patches und Neuversionen zur (rechtlichen und technischen) Risikominimierung. Daneben darf nicht unterschlagen werden, dass die geforderte Nutzung stets neuester Software auch einen nicht unerheblichen Kostenfaktor darstellen kann, wenn etwa nach Ende der Supportzeit keine kostenlose Sicherheitspatches mehr zur Verfügung gestellt werden und stattdessen kostenpflichtige Updates erforderlich werden, obwohl etwa ein neuer Funktionsumfang überhaupt nicht benötigt wird.. Hinsichtlich dieser Anforderungen an die IT-Sicherheit hält die Entscheidung vielfach sehr konkrete Maßgaben bereit und ist insoweit für die IT-Beauftragten von Unternehmen lesenswert (die Entscheidung ist im Volltext auf Englisch unter folgendem Link. abrufbar).
Fazit
Die Entscheidung zeigt, wie wichtig es ist, auf datenschutzrelevante Vorfälle im Bereich der IT-Sicherheit durch festgelegte betriebsinterne Abläufe vorbereitet zu sein. Es benötigt nicht viel Fantasie um zu erkennen, dass das Bußgeld noch ungleich höher ausgefallen wäre, wenn das Unternehmen nicht auf vorgefertigte Handlungsanweisungen hätte zurückgreifen können, die einen im Grundsatz vorbildlichen Umgang mit dem Vorfall erlaubt haben. Daneben ist festzustellen, dass Datenschutz und IT-Sicherheit nun umso mehr im Zusammenhang gedacht werden müssen. Denn Verstöße gegen Grundsätze der IT Sicherheit können auch dann Bußgelder nach der DSGVO nach sich ziehen, wenn der datenschutzrechtliche „worst case“ in Form eines umfassenden Leaks überhaupt nicht eintritt.
Wir beraten regelmäßig zu IT-sicherheits- sowie datenschutzrechtlichen Themen und unterstützen Sie gerne bei der Risikominimierung im Vorfeld sowie dann, wenn es bereits akut zu einem Vorfall gekommen ist.