Beanstandung fehlender Schutzmaßnahmen im Landratsamt
Beanstandung der mangelnden Umsetzung von technischen und organisatorischen Schutzmaßnahmen bei einem Landratsamt
Bei einem Landratsamt wurde eine mögliche Kompromittierung einer VoIP-Telefon-Anlage festgestellt. Wie sich bei den anschließenden Ermittlungen herausstellte, konnten Angreifer eine Sicherheitslücke in einem Router ausnutzen. Um die Auswirkungen zu minimieren, wurde die gesamte IT des Landratsamts vorübergehend vom Netzwerk getrennt, was zu einem vollständigen Ausfall der Kommunikationsmöglichkeiten für die Bürger führte. Etwa eine Woche waren weder Telefonate, Online-Anträge, E-Mail-Kommunikation noch Kfz-Zulassungen möglich.
Im Rahmen der Aufarbeitung des Vorfalls wurde festgestellt, dass die Sicherheitslücke, die zu dem Angriff führte, bereits seit längerem bekannt war und seit Bestehen aktiv ausgenutzt wurde. Dabei handelte es sich um eine Schwachstelle in der Software einer Netzwerkkomponente, wodurch die Verfügbarkeit der Systeme und Dienstleistungen erheblich beeinträchtigt wurde. Auch wenn von den Angreifern wohl keine personenbezogenen Daten abgegriffen wurden, zeigte der Vorfall gravierende Mängel, insbesondere in den Prozessen der IT-Sicherheit und des Datenschutzmanagements, hinsichtlich von Schutzmaßnahmen wie des Einspielens von Updates und Patches auf.
Es wurden durch die Datenschutzbehörde Verstöße gegen Art. 32 Abs. 1 Buchst. b DSGVO förmlich beanstandet und gefordert, zeitnah Nachweise über die Behebung der bestehenden Mängel hinsichtlich der IT-Sicherheit vorzulegen.
Darüber hinaus wurden dem Landratsamt regelmäßige Überprüfungen und Evaluierungen der IT-Sicherheitsmaßnahmen, die Implementierung eines effektiven Patch-Management-Systems sowie Schulungen für Mitarbeiter zur Sensibilisierung für Datenschutz- und Sicherheitsfragen nahegelegt. Wie diese Beispiele zeigen, könnten mit diesen Basismaßnahmen schon eine Vielzahl von Hackerangriffen abgewehrt werden.
Quelle: Der Bayerische Landesbeauftragte für den Datenschutz
Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Einrichtung im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks