Unzureichende Absicherung eines Klinikums

Beanstandung der unzureichenden technischen Absicherung von IT-Systemen eines Klinikums

Ein bayerisches Klinikum wurde Opfer eines Cyberangriffs, bei dem die IT-Systeme durch Ransomware namens „RA World“ verschlüsselt wurden und etwa 3.600 Gigabyte Daten abgeflossen sind. Auf eine damit verbundene Lösegeldforderung ging das Klinikum gemäß dem Rat der Polizei nicht ein.

Der Angriff führte zu erheblichen Störungen im Klinikbetrieb, da die elektronisch gespeicherten Daten nicht mehr zugreifbar waren. Er erforderte eine Abmeldung von der Notfallversorgung. Die Sicherheit und Versorgung der Patienten konnte durch die Aktivierung bestehender Notfallpläne und unter Verwendung von Papierakten gewährleistet werden.

Die forensischen Untersuchungen haben ergeben, dass öffentlich bekannte Sicherheitslücken ausgenutzt wurden. Es standen auch bereits Patches zur Verfügung, die jedoch nicht installiert waren. Zudem wurde keine wirksame Netzwerkssegmentierung umgesetzt, was die Ausweitung des Angriffs im gesamten Netzwerk des Klinikums ermöglichte.

Nach dem Vorfall wurden im Rahmen der Aufarbeitung neben dem unzureichenden Patch-Management noch einige weitere konzeptionelle Sicherheitsmängel festgestellt. Dementsprechend wurde nach dem Vorfall ein komplettes Neuaufsetzen aller Systeme begonnen, um eine IT-Infrastruktur gemäß dem Stand der Technik zu erreichen.

Den eklatanten Verstoß gegen die Anforderungen von Art. 32 Abs. 1 Buchst. b DSGVO insbesondere hinsichtlich der Vertraulichkeit und der Verfügbarkeit, hat die Datenschutzbehörde förmlich beanstandet. Zudem wurde das Klinikum gebeten, längerfristig eine Darknet-Überwachung hinsichtlich des Verkaufs der abgeflossenen Daten durchzuführen.

Quelle: Der Bayerische Landesbeauftragte für den Datenschutz

Sind Sie sich sicher, ob Ihre Einrichtung im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks