- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Bisher größter Hackerangriff in Deutschland

Vor wenigen Tagen kam es zu einem spektakulären Hackangriff gegen mehrere Krankenhäuser einer Trägergesellschaft in Rheinland-Pfalz. Die Aufarbeitung des Vorfalls wird noch einige Zeit in Anspruch nehmen. Der Fall zeigt die Verwundbarkeit von IT-System, wohl nicht nur in Krankenhäusern.

Am zweiten Wochenende des Monats fand ein spektakulärer Angriff statt. Der Vorfall betraf rund 20 Betriebe des Gesundheitssektors in Rheinland-Pfalz und dem Saarland.

Alle Einrichtungen sind Teil des Krankenhausverbundes des Deutschen Roten Kreuzes Süd-West. Zu den Betroffenen gehörten

Trojaner verhindert Zugriff auf System

Ein Trojaner hatte Server und Datenbanken verschlüsselt. In der Folge konnten die Mitarbeiter nicht mehr auf die Systeme zugreifen.

Als sichtbarste Folge musste das Personal bei der Aufnahme von Patienten die Daten handschriftlich erfassen.

Hintergründe zu den Tätern sind derzeit noch unklar, die Ermittlungen des Landeskriminalamts dauern noch an.

Bisher einmaliges Ausmaß

Das Bundesamt für Sicherheit in der Informationstechnik hat den Vorfall als bisher einmaliges Ereignis eingestuft [1]. Bundesweit sei kein Fall bekannt, bei dem so viele Einrichtungen betroffen waren.

Erfolgreiche Hackangriffe hat es zwar in der Vergangenheit gegeben, dabei war es aber bisher immer um einzelne Standorte gegangen.

Datenschutzbeauftragter bezieht Stellung

Inzwischen hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, zu dem Vorfall Stellung bezogen.

In der Presseerklärung [2] verwies er darauf, dass die Betreibergesellschaft ihren Pflichten nachgekommen sei.

Gemäß Art. 33 der DSGVO habe sie seiner Aufsichtsbehörde die Datenschutz-Verletzung gemeldet [3]. Daraufhin wurde ein formelles Verfahren zur Aufklärung eingeleitet.

Seiner Ansicht nach zeige der Angriff, “wie verwundbar Krankenhäuser mit der Digitalisierung ihre Abläufe werden und wie wichtig es deshalb ist, geeignete und wirksame Vorkehrungen zum Schutz der Patientendaten bereits präventiv zu ergreifen”.

Was tun bei Erpressung durch Trojaner?

Die Verwundbarkeit von IT-Systemen und das daher rührende potentielle Risiko für personenbezogene Daten beschränkt sich nicht auf das Gesundheitswesen. Grundsätzlich lässt sich die Bewertung auch auf andere Branchen und Bereiche übertragen.

Im Zusammenhang mit Erpressungsversuchen durch Trojaner haben Experten einige Tipps. So sei es notwendig, sich vorab nicht nur mit Maßnahmen zur Abwehr zu beschäftigen.

Orientierungshilfe zur Meldepflicht

In diesem Zusammenhang sei an die Orientierungshilfe zur Meldepflicht [4]  des Bayerischen Landesbeauftragten für den Datenschutz erinnert.

Sie hilft den Verantwortlichen während der verständlicherweise angespannten Situation die notwendigen Verfahrensschritte richtig zu durchlaufen.

Stephan Lamprecht