Millionen-Geldbuße für ein Opfer von Ransomware
Wer ohnehin schon großen Schaden hat, darf zusätzlich noch eine Geldbuße zahlen. So erging es einem Unternehmen, das Opfer einer Ransomware-Attacke wurde. Denn die Datenschutzaufsicht konnte dem Unternehmen nachweisen, dass es am Erfolg des Angriffs selbst schuld war. Dass der Fall in Großbritannien spielt, ist ohne Bedeutung. Denn auch dort wendet die Datenschutzaufsicht nach wie vor die DSGVO an.
EINE WARNUNG FÜR ALLE UNTERNEHMEN
Das hat die Datenschutzaufsicht entschieden
Die britische Datenschutzaufsicht verhängte gegen die Muttergesellschaft eines Baukonzerns eine Geldbuße gemäß Art. 83 Datenschutz-Grundverordnung (DSGVO) in Höhe von 4.440.000 £. Das entspricht ungefähr 5 Millionen €.
Das wirft die Datenschutzaufsicht dem Unternehmen vor
Nach Auffassung der Datenschutzaufsicht ist das Unternehmen selbst schuld daran, dass eine Ransomware-Attacke erfolgreich war. Sie führte dazu, dass die Daten von 113.000 jetzigen und früheren Arbeitnehmern monatelang nicht mehr zugänglich waren. Dabei ging es auch um besondere Kategorien personenbezogener Daten im Sinn von Art. 9 DSGVO, etwa um Angaben zum Vorliegen einer Behinderung oder zur Zugehörigkeit zu einer Religion.
Am Anfang stand eine Phishing-Mail
Alles begann mit einer Phishing-Mail. Sie ging im gemeinsamen Posteingang eines Teams ein. Die Mail schien eine dringende Zahlungsangelegenheit zu betreffen. Deshalb leitete ein Mitglied des Teams sie an einen anderen Mitarbeiter weiter, der für solche Angelegenheiten zuständig war. Der öffnete die Mail, lud die ZIP-Datei im Anhang herunter, entpackte sie und öffnete die Script-Datei. Das führte zur Installation einer Schadsoftware und eröffnete dem Angreifer den Zugriff auf den Arbeitsplatz-Computer des Mitarbeiters.
Dann wirkte sich eine Split-Tunnelung fatal aus
Der Mitarbeiter befand sich im Homeoffice. Bei ihm war ein Verfahren der Split-Tunnelung installiert. Er konnte also einen besonders geschützten VPN-Zugang zum System seines Arbeitgebers benutzen, hatte aber mit seinem Gerät gleichzeitig auch Zugriff auf das allgemeine Internet. Er stellte die Verbindung über das allgemeine Internet her. Dass der besonders geschützte Zugang mit einem System zur Erkennung von Schadsoftware ausgestattet war, half daher nichts.
Zusätzlich arbeitete ein Schutzsystem unvollständig
Der Arbeitsplatz-Computer wurde durch ein Endpoint Security System überwacht. Es bemerkte, dass Schadsoftware vorhanden war. Es veranlasste sogar die Entfernung einiger Schad-Dateien. Anschließend meldete es, dass dies erfolgreich gewesen sei. Dabei blieben allerdings einige Schad-Dateien zurück. So kam es dazu, dass der Angreifer weiterhin Zugriff auf den Arbeitsplatz-Computer des Mitarbeiters im Homeoffice hatte.
Über diese Eintrittspforte verschaffte er sich einige Zeit später Zugriff auf Systeme des Unternehmens im Bereich Human Ressources. Dort gelang es ihm, umfangreiche Datenbestände zu verschlüsseln. Die Zugriffsblockade dauerte je nach Datenbestand zwischen zwei und fünf Monaten.
Integrität und Vertraulichkeit der Daten waren nicht gewahrt
Die Datenschutzaufsicht rügt eine längere Liste von Verstößen des Unternehmens. Den Ausgangspunkt bildet der Verstoß gegen die Pflicht zur Wahrung der Integrität und Vertraulichkeit von personenbezogenen Daten (Art. 5 Abs. 1 Buchstabe f DSGVO). Hier moniert die Datenschutzaufsicht unter anderem:
- Das Unternehmen setzte Systeme ein, für die Microsoft den Support nach entsprechender Vorankündigung schon vor längerer Zeit eingestellt hatte. Die Folge war, dass ein Update dieser Systeme nicht mehr erfolgte.
- Das Unternehmen verwendete kein ausreichendes Endpoint Security System. Insbesondere verhinderte das eingesetzte System nicht das Ausführen von Makros.
- Schließlich war einer der beiden Mitarbeiter, die an dem Vorfall beteiligt waren, nicht in Fragen der Datensicherung geschult worden.
Die Sicherheit der Verarbeitung war nicht gewährleistet
Die erheblichen „Unterlassungssünden“ des Unternehmens bewirkten, dass sich die Sicherheit der Verarbeitung nicht auf dem Stand befand, den Art. 32 DSGVO vorschreibt. Das führte dazu, dass der Zugriff auf umfangreiche Datenbestände für erhebliche Zeit überhaupt nicht möglich oder jedenfalls stark eingeschränkt war.
Darum ist die COVID-Pandemie keine Entschuldigung
Der Arbeitnehmer, der versehentlich die Schad-Software installierte, arbeitete wegen COVID im Homeoffice. Das Unternehmen hatte mit ihm vereinbart, dass er lediglich wichtige Daten über den besonders geschützten Zugang seines Arbeitgebers leiten musste. Für andere Daten durfte er den normalen Internetzugang benutzen.
Obwohl man sich darüber streiten könnte, ob eine solche Vereinbarung in Ordnung ist, hielt sich die Datenschutzaufsicht damit nicht auf. Sie beanstandete dieser Vereinbarung für sich genommen nicht. Vielmehr verwies sie darauf, dass alle anderen Sicherheits-Schwachstellen (insbesondere das unzureichende Endpoint Security System) nichts mit der COVID-Situation zu tun hatten.
Das ist das Ergebnis
Das Unternehmen wandte nach dem Vorfall sofort erhebliche Mittel auf, um die vorhandenen Sicherheitsschwachstellen zu beseitigen. Der entsprechende Betrag ist im Bescheid der Datenschutzaufsicht geschwärzt, scheint aber beträchtlich gewesen zu sein. Auch sonst zeigte sich das Unternehmen offensichtlich kooperativ. Dennoch verhängte die Datenschutzaufsicht wegen der erheblichen Folgen, die der Vorfall für betroffene Personen nach sich zog, die empfindliche Geldbuße von 4.440.000 £.
Der Bescheid der Datenschutzaufsicht ist hier abrufbar
Der vollständige Geldbußen-Bescheid (Monetary Penalty Notice) des Information Commissioner´s Office (ICO) vom 19. Oktober 2022 ist (nur in englischer Sprache) hier abrufbar: https://ico.org.uk/media/action-weve-taken/mpns/4021951/interserve-group-limited-monetary-penalty-notice.pdf. Er umfasst 55 Seiten.
Bei Zeitdruck sind von besonderem Interesse
- die Schilderung des eigentlichen Vorfalls (Rn. 41 mit Untergliederung in die Buchstaben a bis i),
- die Darstellung der betroffenen Arten von Daten (Rn. 48-50) und
- die Schilderung, wie lange der Zugriff auf die einzelnen Datenbestände nicht möglich war (Rn. 89).