Wie bereits durch verschiedene Nachrichtendienste mitgeteilt, wurden am zweiten Wochenende im Juli mehrere Einrichtungen der DRK-Trägergesellschaft Süd-West Opfer eines Hackerangriffs. Im Rahmen des Angriffs wurden Daten und Netzwerke der Gesellschaft verschlüsselt. Hiervon betroffen waren neben Altenpflegeeinrichtungen auch mehrere Krankenhäuser.
Die Versorgung der Patienten könne weiterhin gewährleistet werden, allerdings sei, beispielsweise die Patientenaufnahmen kurzfristig auf die handschriftliche Erfassung der notwendigen Daten umgestellt worden.
Vereinzelt könne zwischenzeitlich die Verfügbarkeit der Daten an verschiedenen Standorten wieder gewährleistet werden. Ermittlungen würden derzeit mit der Landeszentrale Cybercrime der Generalstaatsanwaltschaft Koblenz durchgeführt.
Dass eine nachträgliche Ausermittlung des Cyberangriffs notwendig ist, haben wir bereits in einem vorherigen Blogbeitrag ausgeführt. Die Experten für IT-Forensik sollten schnellstmöglich mit der Spurensuche beginnen. Die sich hieraus ergebenden Erkenntnisse können nicht nur dazu genutzt werden, eine entsprechende Anpassung der technischen und organisatorischen Maßnahmen vorzunehmen. Vielmehr sind diese Erkenntnisse auch notwendig, um den Umfang des Angriffs zu ermitteln und um im gegebenen Fall den Meldepflichten gegenüber den Behörden (Art. 33 DSGVO) oder, je nach Schwere des Angriffs, gegenüber den Betroffenen (Art. 34 DSGVO) nachkommen zu können. Für weitere Informationen bezüglich der Melde- und Benachrichtigungspflichten des Verantwortlichen sei an dieser Stelle auf die Orientierungshilfe des Bayerischen Landesbeauftragten für Datenschutz hingewiesen (Stand 06/2019).
Um Störungen innerbetrieblicher Abläufe, hohen finanziellen Aufwand für nachträgliche IT-forensische Aufklärung und meldepflichtige Vorfälle von vornherein zu vermeiden, sollten bereits im Vorfeld Maßnahmen ergriffen werden, die den Eintritt der Datenschutzverletzungen verhindern oder deren Eintrittswahrscheinlichkeit möglichst verringern.
Hierzu sollte im Vornherein eine Erfassung aller Verarbeitungstätigkeiten stehen, bei denen personenbezogene Daten verarbeitet werden. Nur hierdurch können eventuelle Schwachstellen der Datensicherheit erkannt werden. Um diese zu beheben, kann bei Bedarf die Expertise aus dem Bereich der Informationssicherheit eingeholt werden. In dieser Zusammenarbeit sollte es das Ziel sein, die jeweiligen Verfahren auf den aktuellen Stand der Technik zu bringen und so die Datensicherheit bestmöglich zu gewährleisten. Neben dem Einsatz von Anti-Viren- und Anti-Schadsoftware sowie einer gut funktionierenden Firewall ist zum Schutz vor den negativen Folgen einer Verschlüsselung von Datensätzen durch Trojaner die regelmäßige Anfertigung aktueller und separat verwahrter Backups erforderlich. Zudem sollte immer wieder getestet werden, ob das Wiedereinspielen der Backups erfolgreich verläuft.
Neben diesen technischen sind auch organisatorische Maßnahmen zu ergreifen. Hierbei sollten insbesondere Schulungen dazu genutzt werden, die Sensibilität für den Datenschutz bei den einzelnen Mitarbeitern zu erhöhen. Insbesondere die gängigen Arbeitsabläufe der Mitarbeiter sollten hierbei thematisiert werden, beispielsweise der aufmerksame Umgang mit eigehenden E-Mailnachrichten inklusive Anhang oder Verlinkungen. Welche Risiken diese für die Datensicherheit bürgen können wurde zuletzt durch die Schad-Software Emotet deutlich. Darüber hinaus sollten die Mitarbeiter über den Umgang mit einer Datenpanne unterwiesen werden bzw. in die Lage versetzt werden, rechtzeitig die notwendigen Schritte einzuleiten und die zuständigen Stellen innerhalb des Unternehmens zu informieren.
Auch wenn die entsprechenden Vorkehrungsmaßnahmen Zeit und Geld in Anspruch nehmen, sollte es jedoch im Interesse des Vertrauens- und Datenschutzes vermieden werden, gezwungenermaßen auf Stift und Papier zurückgreifen zu müssen.