Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

„Shitrix“-Angriff auf Uniklinik Düsseldorf zeigt Relevanz der IT-Sicherheit im Unternehmen

In Düsseldorf kam es am 10. September zu einem IT-Sicherheitsvorfall, der das Universitätsklinikum Düsseldorf betraf. Ob Pandemie oder nicht – Cyberangriffe kennen keine „Schonzeiten“ und damit gibt es auch in diesen Zeiten keine Ausnahmen bei virtuellen Attacken für sensible Sektoren des öffentlichen Lebens.

In diesem Blog-Beitrag geht es zum einen um den Cyberangriff auf die Uniklinik Düsseldorf. Zum anderen um die daraus resultierenden datenschutzrechtlichen Konsequenzen. Und diese sollten nicht nur die Verantwortlichen von kritischer Infrastruktur, sondern jegliche Unternehmen kennen. IT- und Datensicherheit sowie Datenschutz sind Themen, die Hand in Hand gehen.

Was ist passiert?

Das Geschehen beginnt im auslaufenden letzten Jahr. Citrix, ein Hersteller von VPN-Produkten, hat Ende 2019 eine Sicherheitslücke entdeckt. Bei entsprechender Konfiguration der lokalen Systeme der Citrix-Nutzer konnten Unbefugte in die dahinterliegenden Netzwerke eindringen und so Angriffe auf betroffene Organisationen ausüben. Der angebotene VPN-Service, der eigentlich den Mitarbeiter*innen den Zugriff von externen Arbeitsorten ermöglichen sollte, wurde so zu einem erheblichen Sicherheitsrisiko für die ganze Arbeitsorganisation. Im Januar 2020 stellte Citrix ein Sicherheitsupdate zur Verfügung, welches nach Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) jedoch das Problem nicht in Gänze lösen konnte. Offenbar waren bereits kompromittierte Systeme mit einer sog. Backdoor (einer Hintertür, die auch bei gepatchten Systemen weiterhin einen externen Zugang zum System verschafft, normalerweise für Wartungsarbeiten gedacht) versehen, die Cyberkriminellen weiter Zugang verschaffen kann. Auch das gepatchte System war also nur dann sicher, wenn es nicht bereits vorher befallen war.

Auch wenn das Update keine umfassende Sicherheit bieten kann, sollten Sie dennoch das IT-System unbedingt patchen, sofern dies noch nicht geschehen ist. Falls dies überhaupt noch hilft. Daran zweifelte Hanno Böck von golem.de bereits im Januar 2020 – denn jedes System, welches Citrix nutze, sei inzwischen befallen:

„Da hilft nur noch eines: abschalten und komplett neu aufsetzen – oder gleich auf Systeme eines so fragwürdigen Herstellers verzichten“ (Hanno Böck, golem.de)

Befallen waren dann wohl auch die IT-Systeme der Universitätsklinik Düsseldorf. Die Klinik hat ihre Server zwar gepatcht, die Backdoor für die Cyberkriminellen bestand allerdings weiterhin. Die Schwachstelle wurde genutzt, um die Server der Universitätsklinik zu verschlüsseln, womit dann die Klinik um Lösegeld erpresst werden sollte, wie heise.de berichtet. Die Klinik war damit lahmgelegt, Behandlungstermine mussten verschoben oder abgesagt werden, Notfallsanitäter*innen fuhren das Krankenhaus nicht mehr an. Wie schnell eine Schwachstelle in der IT-Sicherheit zu Konsequenzen im tatsächlichen Betrieb führen kann, macht dieser Vorgang einmal mehr klar.

Wie heise.de weiter berichtet, ist es wohl aufgrund des Angriffs zu einem Todesfall gekommen. Denn obwohl die Erpresser, die offenbar eigentlich die Heinrich Heine Universität Düsseldorf angreifen wollten, anboten, die Systeme wieder zu entsperren, war die Klinik vorübergehend arbeitsunfähig. Eine Patientin musste in ein Krankenhaus in Wuppertal verwiesen werden, die erforderliche Notoperation wurde deshalb zu spät durchgeführt. Inzwischen hat die zuständige Staatsanwaltschaft Ermittlungen eingeleitet.

Datenschutzrechtliche Einordnung

Die datenschutzrechtlichen Konsequenzen dieses Geschehnisses sind mannigfaltig und sollen an dieser Stelle beleuchtet werden. Denn mit einem solch massiven IT-Angriff gehen datenschutzrechtliche Konsequenzen einher.

Art 24 DSGVO verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen. Verantwortlicher ist die Universitätsklinik. Das Maß der notwendigen Sicherheitsmaßnahmen ist dabei abhängig vom Einzelfall. Je sensibler die verarbeiteten Daten und je höher die Risiken für die betroffenen Personen sind, desto strenger muss auf die IT-Sicherheit geachtet werden. Das konkretisiert nochmal Art 32 DSGVO, der die Anforderungen an ein angemessenes Schutzniveau näher festlegt.

Dem Gesundheitssektor kommt dabei eine besondere Rolle zu, die mit hohen Schutzanforderungen einhergeht. Es ergibt sich von selbst, dass im Krankenhaus sensible Daten verarbeitet werden. Diese Daten sind vor allem Gesundheitsdaten der Patient*innen. Dass diese besonders schützenswert sind, das sieht auch Art 9 DSGVO so: Gesundheitsdaten sind besonders schutzwürdige Daten, die nur in absoluten Ausnahmefällen und unter Achtung hoher Schutzstandards verarbeitet werden dürfen.

Werden in diesem Bereich Systeme gehackt und für Angriffe ausgenutzt, so muss dies innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden (Art 33 DSGVO).

Datenschutzverstöße müssen übrigens stets an die Datenschutzbehörde gemeldet werden, unabhängig, ob man nun eine Klinik ist oder nicht. Eine Meldung muss zudem auch dann erfolgen, wenn ein System zwar befallen ist, die Backdoor aber tatsächlich (noch) nicht für einen Angriff genutzt wurde. Bereits der Umstand, dass Unbefugte Zugriff auf IT-Systeme gehabt haben könnte, reicht für eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde aus.

Bei so sensiblen Daten wie Gesundheitsdaten geht die DSGVO sogar noch einen Schritt weiter: Art 34 DSGVO ordnet an, dass auch die betroffene Person regelmäßig über den Sicherheitsvorfall informiert werden muss.

Die Frage, wem der Datenschutzverstoß gemeldet werden muss, ist damit die erste wichtige Frage, die man sich in einem solchen Fall stellen muss. Im Ernstfall muss diese Frage innerhalb sehr kurzer Zeit beantwortet werden. Da die Frist für die Meldung recht kurz gesetzt ist, ist es also ratsam, entsprechende Meldeprozesse bereits im Voraus zu planen und die Mitarbeiter mit dem Vorgehen bei einem Datenschutzverstoß vertraut zu machen. Es lohnt sich, die Mitarbeiter früh im Umgang mit personenbezogenen Daten und bezüglich des Vorgehens bei Datenschutzverstößen zu sensibilisieren. Einzelheiten können Sie im Blog nachlesen: hier.

Natürlich müssen, wenn es erstmal zu einem Datenschutzverstoß gekommen ist, schnellstmöglich Gegenmaßnahmen ergriffen werden. Dazu gehört etwa unbedingt das Einspielen der Sicherheitsupdates des Softwareherstellers oder das Ändern von Passwörtern. Aber auch die Inkenntnissetzung der Betroffenen, damit diese auch eigene Schutzmaßnahmen ergreifen können (wir dargelegt wird in derartigen Fällen ohnehin regelmäßig die Pflicht nach Art. 34 DSGVO bestehen, die Betroffenen zu benachrichtigen).

Wie auf einen solchen Vorfall reagiert wird und welche Anstrengungen in welchem Zeitraum unternommen werden, um die Folgen eines Datenschutzverstoßes zu bewältigen, ist für das weitere Verfahren sehr relevant.

Zum Einem können Datenschutzverstöße schnell Schadensersatzansprüche des Betroffenen auslösen, auch Vertragsstrafen oder andere zivilrechtlichen Konsequenzen herbeiführen. Wird da ein Datenschutzverstoß totgeschwiegen oder nicht ausreichend bewältigt, wächst die Haftungssumme schnell an.

Zum Anderen kann es zeitglieich zu einem Verfahren der zuständigen Datenschutzaufsichtsbehörde kommen. Denn all diese vorgenannten Datenschutzverstöße (Art. 32, Art. 33. Art. 35) sind bußgeldbewehrt (Art 83 IV a) DSGVO). Wenn die Datenschutzaufsicht die Höhe des Bußgelds – die immerhin pro Verstoß bis zu 10.000.000 EUR betragen kann – festlegt, berücksichtigt sie unter Anderem, inwieweit der Verantwortliche Anstrengungen zur Minimierung des Schadens getroffen hat, in welchem Grad er für den Datenschutzverstoß verantwortlich ist und wie weitgehend der Verantwortliche mit der Aufsichtsbehörde kooperiert hat (vgl Art 83 II 2 DSGVO). Wie auf einen Datenschutzverstoß reagiert wird, kann also im erheblichen Maße behördliche Konsequenzen abzuwenden oder abzumildern.

Die Reaktion auf Datenschutzverstöße ist also von zentraler Bedeutung für das weitere behördliche Vorgehen. Auch wenn man als Verantwortlicher freilich alles daran setzen sollte, dass sich diese Datenschutzverstöße erst gar nicht ereignen, sollte man sich auch für den Ernstfall rüsten. Ein „Datenschutzverstoß“ muss dabei nicht so schwerwiegend wie das Geschehen bei der Universitätsklinik Düsseldorf sein. Bereits der versehentlich offene Versand einer Mail an einen BCC-Verteiler fällt unter den Begriff „Datenschutzverstoß“ und muss entsprechend behandelt werden. Vorsorge ist in diesem Bereich besser als Nachsorge.

Zumindest die Universitätsklinik Düsseldorf dürfte dennoch nicht mit einem Bußgeldverfahren konfrontiert sein. Als Anstalt des öffentlichen Rechts (§ 1 UKVO NRW) kann ihr gegenüber kein Bußgeld angeordnet werden (vgl § 32 DSG NRW iVm § 5 DSG NRW).

Strafrechtliche Komponente

Leider führte diese Erpressung durch Cyberkriminelle zum Tod einer Patientin, die nicht mehr rechtzeitig behandelt werden konnte. Wie die Rheinische Post berichtet, hat die Staatsanwaltschaft Wuppertal Ermittlungen gegen die Erpresser wegen fahrlässiger Tötung aufgenommen. Dazu heißt es in § 222 StGB:

„Wer durch Fahrlässigkeit den Tod eines Menschen verursacht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

Dieser Tatverdacht ist nicht fernliegend. Denn auch wenn die Täter den Tod wohl nicht beabsichtigt haben, so ist es absehbar, dass bei der Sperre eines Krankenhaus-IT-Systems die Behandlung in eilbedürftigen Fällen zu spät stattfindet.

Fazit    

Unabhängig der strafrechtlichen Würdigung zeigt dieser Vorfall einmal mehr die Relevanz der IT-Sicherheit im Unternehmen. Ungeschützte oder nicht ausreichend geschützte IT-Systeme kann sich niemand mehr leisten, für Unternehmen und öffentliche Einrichtungen ist die IT-Sicherheit und damit der Datenschutz schlichtweg ein Muss.

Technische und organisatorische Maßnahmen sowie der Datenschutz sind kein Thema, das belächelt und auf „morgen“ bzw „wenn mal Zeit ist“ verschoben werden sollte.

Als Fazit zu diesem Vorfall äußert sich der Präsident des BSI Arne Schönbohm zum Vorfall in der Düsseldorfer Universitätsklinik:

„Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Maßnahmen zu ergreifen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss.“ (Arne Schönbohm, Präsident des BSI)

Dem ist vorbehaltslos und umstandslos beizupflichten.

1 Response

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Rechtsanwältin Nina Diercks

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.

Social

Follow me on: