Nicht nur in der Berichterstattung der Medien fällt derzeit die massive Zunahme von Cyber- und Hackerangriffen auf öffentliche Stellen auf (siehe bspw. die Website „Kommunaler Notbetrieb“). Auch im 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) wurde diese Entwicklung für die bayerischen Behörden festgestellt.
Während unsere im Juni 2025 erschienene Blogreihe zu Handlungsempfehlungen bei Hackerangriffen technische und organisatorische Maßnahmen sowie die aus solchen Angriffen ggf. resultieren Datenschutzverletzungen einordnete, behandelt der nachfolgende Beitrag die erhöhte Gefahrenlage und die Beanstandungen des Landesdatenschutzbeauftragten (vgl. Punkt 8.6 des Tätigkeitsberichts).
Beanstandungen aufgrund unzureichender technischer und organisatorischer Maßnahmen
Nach den Ausführungen des BayLfD gelang es den Angreifern die jeweiligen Sicherheitssysteme der betroffenen Stellen zu überwinden und somit umfassenden Zugriff auf sämtliche dort verarbeiteten Daten zu erlangen. In der Folge kam es teilweise zu tage- bis wochenlangen Ausfällen der öffentlichen Stellen. Wie das Darknet-Monitoring der Datenschutzaufsichtsbehörde dabei ergab, wurden häufig Kopien der entwendeten Daten erstellt und anschließend auf einschlägigen Plattformen im Darknet zum Verkauf angeboten.
Bemerkenswert ist dabei insbesondere die Feststellung des Landesdatenschutzbeauftragten, dass die erfolgreichen Hackerangriffe in den meisten Fällen nicht auf besonders komplexe Angriffsmethoden zurückzuführen sind. Stattdessen nutzten die Täter vorhandene Sicherheitslücken, wie fehlende Sicherheitsupdates oder unzureichend abgesicherte Benutzerkonten, aus. In diesem Zusammenhang wird die Umsetzung einer Zwei-Faktor-Authentifizierung auch für Privatpersonen als Stand der Technik hervorgehoben.
Praxisbeispiele
Da in vielen der gemeldeten Fälle keine angemessenen technischen und organisatorischen Maßnahmen getroffen worden sind, sprach der Landesbeauftragte mehrere Beanstandungen aus, die exemplarisch in den folgenden drei Fällen dargestellt werden:
- Unzureichende technische Absicherung des IT-Systems eines Klinikums
Durch die Verschlüsselung der IT-Systeme eines bayerischen Klinikums durch die Ransomware „RA World“ sind rund 3.600 Gigabyte Daten abgeflossen. Dies führte zu massiven Störungen des Klinikbetriebs, da elektronisch gespeicherte Daten nicht mehr abrufbar waren und sich die Klinik vorübergehend von der Notfallversorgung abmelden musste.
Laut forensischer Untersuchungen wurde festgestellt, dass die Angreifer öffentlich bekannte Sicherheitslücken ausnutzen konnten, zudem bereits verfügbare Patches nicht installiert wurden und keine wirksame Netzwerksegmentierung bestand.
Die Verstöße gegen die Vertraulichkeit und Verfügbarkeit der Daten wurden vom BayLfD förmlich beanstandet. Als weitere Maßnahmen wurde die Durchführung einer langfristigen Darknet-Überwachung sowie die umfassende Umstrukturierung, Neuorganisation und -installation der IT-Systeme angeordnet, um die IT-Infrastruktur auf den aktuellen Stand der Technik anzuheben.
- Fehlende IT-Sicherheitsmaßnahmen bei einem kommunalen IT-Dienstleister
Bei einem kommunalen IT-Dienstleister führte ein Angriff der Ransomware-Gruppe Akira zur vollständigen Verschlüsselung sämtlicher virtueller Server sowie zur Löschung von Backups. Neben personenbezogenen Daten von rund 40.500 Bürgerinnen und Bürgern waren auch zentrale Fachanwendungen betroffen. Zwar konnten Teile der verlorengegangenen Daten wiederhergestellt werden, jedoch musste ein erheblicher Teil manuell nachgepflegt werden. Die vollständige Wiederherstellung der Datenverfügbarkeit zog sich dadurch über mehrere Wochen hin.
Die forensischen Untersuchungen ergaben, dass die Angreifer über unzureichend gesicherte Zugangsdaten eines Mitarbeiters in die Systeme eindringen konnten. Es besteht sogar die Möglichkeit, dass diese Zugangsdaten zuvor gestohlen oder erworben worden waren. Zudem war die Firewall des IT-Dienstleisters veraltet bzw. unzureichend konfiguriert und grundlegende Sicherheitsmaßnahmen waren nicht in angemessenem Umfang umgesetzt.
Der BayLfD beanstandete daher den Verstoß gegen die Anforderungen des Art. 32 Abs. 1 lit. b DSGVO hinsichtlich der Vertraulichkeit und Verfügbarkeit. Darüber hinaus forderte er die Vorlage einer vollständigen Risikoanalyse sowie Nachweise über die Umsetzung angemessener Sicherheitsmaßnahmen. Er stellte zudem klar, dass das Outsourcing von IT-Leistungen durch Kommunen nicht automatisch zu einem höheren Sicherheitsniveau führt. Vielmehr müsse gewährleistet sein, dass IT-Dienstleister über ausreichend qualifiziertes Fachpersonal verfügen, geeignete TOM ergreifen und deren Wirksamkeit kontinuierlich und nachhaltig überwachen.
- Mangelnde Umsetzung technischer und organisatorischer Maßnahmen bei einem Landratsamt
Bei einem Landratsamt wurde die VoIP-Telefonanlage durch eine Sicherheitslücke in einem Router kompromittiert. In der Folge musste die gesamte IT-Infrastruktur vom Netzwerk getrennt werden, sodass wesentliche Kommunikationskanäle, einschließlich Telefonie, Online-Antragsverfahren und E-Mail, für die Bürgerinnen und Bürger über einen Zeitraum von einer Woche vollständig ausfielen.
Die Schwachstelle in der Software einer Netzwerkkomponente war bereits seit Längerem bekannt und wurde aktiv ausgenutzt. Obwohl in diesem Fall keine personenbezogenen Daten abgeflossen sind, offenbarte der Vorfall erhebliche Defizite im IT-Sicherheits- und Datenschutzmanagement, insbesondere im Hinblick auf das zeitnahe Einspielen von Updates und Patches.
Der Landesdatenschutzbeauftragte bemängelte daher Verstöße gegen Art. 32 Abs. 1 lit. b DSGVO und forderte die Vorlage von Nachweisen über die Behebung der festgestellten sicherheitsrelevanten Mängel.
Fazit
Zusammenfassend zeigen die dargestellten Fallbeispiele insbesondere Verstöße gegen Art. 32 Abs. 1 lit. b DSGVO sowie eine unzureichende Umsetzung angemessener technischer und organisatorischer Maßnahmen. Der BayLfD erkennt zwar die besonderen Herausforderungen an, die in der Hektik eines laufenden IT-Sicherheitsvorfalls entstehen können. Gleichzeitig weist er jedoch nachdrücklich auf die gesetzliche Pflicht zur Meldung von Datenschutzverletzungen gemäß Art. 33 DSGVO hin. Zudem empfiehlt er, klare Notfallkonzepte festzulegen, die regeln, über welche Kommunikationswege eine fristgerechte Meldung auch in Ausnahmesituationen sichergestellt werden kann.
Für Hinweise zum richtigen Vorgehen bei der Meldung von Hackerangriffen verweisen wir auf die „Aktuelle Kurz-Information 58“ des BayLfD sowie auf unseren Blogbeitrag, in dem wir die entsprechenden Handlungsempfehlungen kompakt zusammengefasst haben.