DSGVO Bußgeld nach Ransomwareangriff
Die norwegische Aufsichtsbehörde für Datenschutz verhängt ein DSGVO Bußgeld nach Ransomwareangriff. Folge des Angriffs war, dass die Mitarbeiter einer Gemeinde nicht mehr auf die meisten IT-Systeme der Kommune zugreifen konnten.
Im Zuge des Angriffs wurden die Daten verschlüsselt und die Backups gelöscht. Es schien so, dass die einzige Möglichkeit zur Wiederherstellung die Zahlung des Lösegeldes ist.
teilweise sensible Daten im Darknet veröffentlicht
Einige Wochen nach dem Angriff, wurde ein Teil der Daten im Darknet veröffentlicht. Ob dies lediglich geschah, um der Forderung Nachdruck zu verleihen, lässt sich aus der Pressemitteilung nicht erkennen. Allerdings ist ein solches Vorgehen von Ransomwareangreifern nicht unüblich.
teilweise sensible personenbezogene Daten
Bei den verschlüsselten Daten handelte es sich teilweise um hochsensible personenbezogene Daten. Daher war es nötig, durch die Vorschriften der DSGVO, den Vorfall gegenüber den Aufsichtsbehörden zu melden.
Der Ransomwareangriff wird als besonders schwerwiegend eingestuft. Hintergrund der Einstufung ist, das ein großer Teil der kommunalen Daten nicht mehr verfügbar sind. Dazu konnten diese auch nicht wieder hergestellt werden. Damit hat der Verantwortliche die Kontrolle über die teilweise hochsensiblen personenbezogenen Daten vollständig verloren. Wie und in welchem Umfang diese Daten im Darknet verbreitet werden ist unbekannt.
unangemessene technische Maßnahmen führen zu DSGVO Bußgeld
Bei der Überprüfung durch die Aufsichtsbehörde stellte diese fest, dass die ergriffenen technischen und organisatorischen Maßnahmen schwerwiegende Mängel aufwiesen. Man kann vermuten, dass diese nicht angemessen, bzw. nicht ausreichend waren, um dem Risiko (teilweise sensible personenbezogene Daten) Rechnung zu tragen.
Weder gab es eine Protokollierung und Analyse von Protokollen, noch wurden Backups abgesichert.
Zudem fehlte eine Zwei-Faktor-Authentifizierung (oder ähnliche Sicherheitsmaßnahmen), die mittlerweile zum Stand der Technik gehört.
Die von der Kommune eingesetzte Firewall war bezüglich der Protokollierung nur spärlich konfiguriert, so dass ein Großteil des internen Datenverkehrs gar nicht erst protokolliert wurde. Die Server waren gerade nicht so konfiguriert, dass sie Protokolle an ein zentrales Protokollierungszentrum senden konnten. Auch wichtige Ereignisse wurden nicht protokolliert.
Die verantwortliche Stelle hat ihre Backups weder vor absichtlichem, noch versehentlichem Löschen, Manipulationen oder dem Auslesen geschützt.
Höhe des DSGVO Bußgelds und weitere Kosten
Die Datenschutzbehörde hat gegen die Gemeinde ein Bußgeld in Höhe von ca. 400.000 Euro verhangen – in Norwegen ist es im Gegensatz zu Deutschland auch möglich gegen öffentliche Stellen Bußgelder zu verhängen.
Zudem wurde die Gemeinde dazu aufgefordert, einen angemessenen Schutz bei der Verarbeitung personenbezogener Daten umzusetzen.
Die Kosten des DSGVO Bußgelds waren aber nicht die einzigen Kosten, die Infolge des Ransomwareangriffs auf die Gemeinde zukamen. Um das eigene IT-System wiederherzustellen musste die Gemeinde zudem eine erhebliche Summe aufwenden, um auch für die Zukunft eine zufriedenstellende Informationssicherheit zu gewährleisten.
Bei der Berechnung der Geldbuße wurde die wirtschaftliche Lage der Gemeinde und die Kooperation bei der Zusammenarbeit mit den Behörden (u.a. Datenschutzaufsicht, aber auch Strafverfolgung) berücksichtigt
Gerne arbeiten wir mit Ihnen zusammen wirksame Methoden zur Absicherung von Ransomwareangriffen und der Vermeidung von Bußgeldern aus, oder prüfen die Wirksamkeit Ihrer umgesetzten Maßnahmen.
Das Bayerische Landesamt für Datenschutzaufsicht (LDA) betont immer wieder die Wichtigkeit von wirksamen technischen und organisatorischen Maßnahmen zur Absicherung von Ransomwareangriffen, und prüft diese auch regelmäßig bei Verantwortlichen.