Von Patrick Stefan Storch
Kosten für Schadensbehebung und zusätzlich ein Bußgeld
Täglich werden Unternehmen in Deutschland, Österreich und der Schweiz Opfer von Ransomware-Angriffen. Die wirtschaftlichen und finanziellen Folgen für die Betroffenen sind schwer überschaubar und haben einige Unternehmen bereits in ihrer Existenz bedroht. Werden Krankenhäuser oder lebenswichtige Infrastrukturen attackiert, nimmt eine Schadprogramm-Attacke weite Dimensionen an.- Menschenleben können in Gefahr geraten.
Die Opfer solcher Angriffe sehen sich zunächst mit großen technischen und juristischen Herausforderungen konfrontiert. Ist das Schlimmste überstanden und die Herstellung der Daten erfolgreich, findet als nächstes die Aufarbeitung des Vorfalls statt. Immer häufiger ist zu beobachten, dass sich Unternehmen und Institutionen als Opfer eines Ransomware-Angriffs gegenüber den Datenschutzaufsichtsbehörden erklären müssen.
Fast 5 Mio. EURO Geldbuße für Opfer eines Ransomware-Angriffs
Dies beweist ein Fall aus dem vergangenen Oktober in Großbritannien. Dort verhängte die britische Datenschutzaufsichtsbehörde gegen die Muttergesellschaft eines Baukonzerns, welche Opfer eines Ransomware-Angriffs geworden ist, eine Geldbuße gemäß Artikel 83 Datenschutz-Grundverordnung (DSGVO) in Höhe von 4,4 Mio. Pfund, das sind ca. 5 Mio. EURO.
„Das Endpoint Security System war nicht ausreichend“
Nach Auffassung der britischen Datenschutzaufsicht führte die Nachlässigkeit des betroffenen Unternehmens dazu, dass die Daten von 113.000 gegenwärtigen und ehemaligen Arbeitnehmern über Monate nicht mehr zugänglich waren. Dabei handelte es sich um sensible Gesundheitsdaten im Sinne des Artikels 9 DSGVO, wie etwa um Angaben zum Vorliegen einer Behinderung oder zur Zugehörigkeit zu einer Religion.
Der Ransomware-Angriff selbst folgte einem bekannten Schema
Am Anfang stand eine Phishing-Mail, deren Anhang in Form einer ZIP-Datei von einem Mitarbeiter geöffnet wurde. Die hierdurch auf dem Rechner des Mitarbeiters, der sich im Homeoffice befand, installierte Schadsoftware verbreitete sich schließlich über das gesamte System des Unternehmens im Bereich Human Ressources.
Zwar bemerkte das überwachende Endpoint Security System die Schadsoftware und veranlasste die Entfernung einiger Angreifer-Dateien, jedoch blieb ein Teil der Software unentdeckt, die schließlich die Attacke erfolgreich durchführen konnte.
Für die britische Datenschutzaufsichtsbehörde waren die nicht ausreichenden Vorkehrungen im Bereich der Cybersicherheit des Unternehmens die maßgebenden Entscheidungsgründe für die Höhe der Geldbuße. Sie kam zu dem Schluss:
- Das Unternehmen setzte Systeme ein, für die Microsoft den Support nach entsprechender Vorankündigung schon vor längerer Zeit eingestellt hatte. Die Folge war, dass ein Update dieser Systeme nicht mehr erfolgte.
- Das Unternehmen verwendete kein ausreichendes Endpoint Security System. Insbesondere verhinderte das eingesetzte System nicht das Ausführen von Makros.
- Schließlich war einer der beiden Mitarbeiter, die an dem Vorfall beteiligt waren, nicht in Fragen der Datensicherung geschult worden.
Das Unternehmen wandte nach dem Vorfall sofort erhebliche Mittel auf, um die vorhandenen Sicherheitsschwachstellen zu beseitigen. Auch sonst zeigte sich das Unternehmen kooperativ, so die britische Datenschutzaufsichtsbehörde. Dennoch verhängte sie wegen der erheblichen Folgen, die der Vorfall für betroffene Personen nach sich zog, eine empfindliche Geldbuße von umgerechnet ca. 5 Mio. EURO.
Fazit:
Obwohl das Unternehmen selbst Opfer eines Ransomware-Angriffs wurde, liegt nach Auffassung der britischen Datenschutzaufsichtsbehörde im Ergebnis ein Verstoß gegen die Pflicht zur Wahrung der Integrität und Vertraulichkeit von personenbezogenen Daten (Artikel 5 Abs. 1 Buchstabe f DSGVO) vor.
Diese Beurteilung ist nachvollziehbar, da ein Unternehmen einfach ausgedrückt: alle technischen und organisatorischen Maßnahmen vorhalten muss, um eine DSGVO-konforme Datenverarbeitung auszuführen. In der Praxis trifft diese sognannte Rechenschaftspflicht die Führung des Unternehmens.
Das Verschulden durch Unterlassen bewirkte im konkreten Fall letztlich, dass sich die Sicherheit der Verarbeitung nicht auf dem Stand befand, den Artikel 32 DSGVO vorschreibt, so auch die britische Datenschutzaufsichtsbehörde.
Die Entscheidung greift das viel diskutierte Thema auf, dass das Einrichten eines Datenschutzmanagementsystems (DSMS) allein eben nicht ausreicht, sondern laufend auf seine Wirksamkeit hin untersucht und datenschutzrechtliche Geschäftsprozesse optimiert werden müssen.