Datenschutz und IT-Sicherheit: Verschlüsselungstrojaner (Ransomware) in Arztpraxen, Kliniken und anderen Unternehmen

Nachdem um den 25.05.2018 große Aufregung, Verunsicherung, ja teilweise sogar Panik wegen der Einführung des neuen EU-Datenschutzrechts, der EU-Datenschutzgrundverordnung (DSGVO) herrschte, hat sich in den letzten Monaten die Aufregung weitgehend gelegt. Alles doch nur ein Sturm im Wasserglas und weiter wie bisher? Das wäre ein Trugschluss. Wer bislang noch keine Beschwerden von Kunden oder Mitarbeitern wegen angeblicher Datenschutzverstöße hatte und noch keine Anhörungsschreiben der Datenschutzaufsicht erhalten hat, sollte nicht dem Fehlschluss unterliegen, dass es so bleibt. Die Datenschutzaufsichtsbehörden beginnen, nachdem sich die große Welle der Beratungsanfragen gelegt hat, inzwischen wieder mit Datenschutzprüfungen bei Unternehmen – und die haben es in sich.

Querschnittsprüfung in Niedersachsen

Als eine der ersten Behörden hat die Landesdatenschutzaufsicht in Niedersachen Ende Juni einen Fragebogen mit 10 Fragen zur Umsetzung der DSGVO an 50 Unternehmen geschickt. Aus den Fragen kann man ablesen, worauf die Aufsichtsbehörden bei der Umsetzung wert legen und die eigenen Umsetzungsmaßnahmen nachschärfen. Daher lohnt ein Blick in den Fragebogen. Mit einem Abschlussbericht der Prüfungen ist im Mai 2019 zu rechnen.

Spezielle Prüfungen in Bayern u.a. zum Schutz gegen Ransomware

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Anfang November 2018 eine Pressemitteilung (Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten nach der DSGVO) heraus gegeben, wonach Prüfungen bei Unternehmen und Arztpraxen eingeleitet wurden.

Neben allgemeinen Prüfungen zur Umsetzung der DSGVO in KMUs gibt es auch einige spezielle Prüfungen zur Cybersecurity bei Online-Shops, Rechenschaftspflichten in Großkonzernen, Informationspflichten bei Bewerbern, Meldungen von Datenpannen bei Subunternehmern und Löschung in SAP-Systemen.

Speziell im Gesundheitsbereich werden die Schutzmaßnahmen gegen Erpressungssoftware in Arztpraxen geprüft. Ein entsprechender Fragebogen mit Infoblatt zum Thema Verschlüsselungstrojaner („Ransomware“) wurden Arztpraxen versendet und ist online abrufbar.

Schadsoftware legt hunderte Klinikcomputer tagelang lahm

Grund dafür sind die wöchentlichen Meldungen bei der BayLDA, dass es Befall von Arbeitsplatzrechnern bei Ärzten und kleinen Betrieben durch diese Art der Schadsoftware gibt. Ransomware (Erpressungssoftware) verschlüsselt alle Daten auf den betroffenen Computer und auch den angeschlossenen BackUp-Speichermedien. Um einen Freischaltcode zu erhalten, soll das Opfer eine bestimmte Anzahl von Bitcoins als Lösegeld bezahlen. Wenn ein Rechner infiziert ist, kann sich die Ransomware auch im gesamten Netzwerk verbreiten und weitere Rechner oder Server befallen und weitere Daten verschlüsseln.

In einem aktuellen Fall hat ein Computervirus im Krankenhaus (Mail-Trojaner – nach Presseberichten handelt es sich um die Malware „Emotet“) rund 450 Rechner am Klinikum Fürstenfeldbruck für mindestens eine Woche unbrauchbar gemacht; Bankkonten mussten zum Schutz gesperrt werden. Die Erreichbarkeit per E-Mail und Telefon war nicht mehr gegeben, da auch die Telefonanlage ausgefallen ist. Neue Patienten konnten – außer in extremen Notfällen – nicht mehr aufgenommen werden. Rettungswagen werden umgeleitet, Blutproben mussten per Hand beschriftet (gelabeld) werden; alle Patientendaten müssen manuell erfasst werden und Datentransport erfolgt in der Papierakte des Patienten. Emotet ist eine Malware, die sich mittelbar über E-Mails verbreitet. Die E-Mails enthalten angeblich Rechnungen, offene Rechnungen oder Gutschriften im Word-Format, was schon auffällig ist, weil üblicherweise Rechnungen inhaltlich nicht geändert werden können. In den Word-Dokumenten ist ein Makro (kleine Programmanweisungen) enthalten, die bei Aktivierung des Makros die eigentliche Schadsoftware runterläd. Die Schadsoftware ist darauf ausgerichtet, dass E-Mail-Adressdaten aus dem Mailprogramm ausgelesen werden, um dem Opfer gezielt E-Mails mit angeblich vertrauenswürdigen E-Mail-Adressen zusenden zu können. Zudem liest das Emotet Bankdaten aus und leitet diese verschlüsselt an den Angreifer weiter (daher die Sperrung aller Konten der Klinik).

Meldepflicht bei Datenpannen

Unzureichende IT-Sicherheitsmaßnahmen sind eines der Kriterien, die im Falle von Datenpannen bußgelderhöhend berücksichtigt werden können, Art. 83 Abs. 2 DSGVO. Aber auch ohne Datenpanne kann die unzureichende Implementierung technischer und organisatorischer Datenschutzmaßnahmen, Art. 32 DSGVO, nach Art. 83 Abs. 4 a) DSGVO mit einem Bußgeld bis zu 10 Millionen Euro oder 2 % des Vorjahresgesamtumsatzes verhängt werden. Grund genug also, die IT-Sicherheitsmaßnahmen selbst zu überprüfen (bzw. extern prüfen zu lassen) und erforderlichenfalls zu verbessern, bevor es die Aufsichtsbehörden kontrollieren oder gar Hacker erfolgreiche Angriffe landen können. Wer nicht selbst über die nötige IT-Kompetenz verfügt, kann sich externen Rat einholen und z.B. ein IT-Sicherheitsaudit beauftragen.

Es gehört zu den Aufgaben der IT-Sicherheit nicht nur dafür zu sorgen, dass keine Unberechtigten auf die Daten zugreifen, sondern auch, dass die Daten unverändert verfügbar sind. Erwachsen aus Verletzungen der IT-Sicherheit (Datenpannen) Risiken für die betroffenen Personen (hier Patienten), so sind diese Datenschutzvorfälle der Datenschutzaufsicht zu melden, Art. 33 DSGVO, und wenn hohe Risiken für die betroffenen Personen drohen, müsse diese zusätzlich informiert werden, Art. 34 DSGVO. Zu den Meldepflichten bei Data-Breaches hat die Datenschutzaufsicht in Hamburg am 15.11.2018 ein Merkblatt „Data-Breach-Meldungen nach Ar.t 33 DSGVO“ herausgegeben. Dieses Merkblatt basiert wesentlich auf einer „Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)“ der Artikel 29. Arbeitsgruppe– jetzt EU-Datenschutzausschuss, Art. 68 DSGVO.

Erstes Bußgeld – 20.000 Euro – wegen unzureichender IT-Sicherheit bei Passworten

Wie die Landesdatenschutzaufsicht in Baden-Württemberg am 22.11.2018 mitteilten, hatte das Unternehmen knuddels.de Passwort unverschlüsselt gespeichert, so dass sie einem Hackerangriff zum Opfer fallen und von frei zugänglich im Netz veröffentlicht werden konnten. Die Datenschutzaufsicht lobt die gute Kooperation des Unternehmens, welches sich mit einer Meldung der Datenpanne an die Aufsicht gewandt hatte und umgehend für eine deutliche Verbesserung der IT-Sicherheit sorgt. Dies wurde bei der Bemessung des Bußgeldes mildernd berücksichtigt.

Besondere Schutzpflichten bei Patientendaten (update)

Gerade in Arztpraxen werden besonders sensible und schützenswerte personenbezogene Daten verarbeitet (Artikel 9 Abs. 2 lit. h), Abs. 3 DSGVO, § 22 Abs. 1 Nr. 1 lit. b) BDSG). Diese Daten sind nicht nur den „normalen“ IT-Sicherheitsmaßnahmen zu unterwerfen, sondern durch spezifische technische und organisatorische Maßnahmen in besonders guter Weise gegen unberechtigte Zugriffe und unbeabsichtigte Datenverluste zu schützen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Was kann man vorbeugend gegen „Ransomware“ tun?

Für eine „sichere Verarbeitung“ (Artikel 32 DSGVO) müssen technische und organisatorische Maßnahmen (toM) getroffen werden, die wie folgendes beinhalten können:

• Berechtigungskonzept (Vertraulichkeit und Integrität)
  • Der Zugriff wird nur auf die benötigten (,personenbezogenen) Daten nach dem „Need-to-Know“-Prinzip reduziert
  • Nur für Installationen wird der administrative Zugriff gewährt, sonst wird mit dem Benutzer Konto gearbeitet
• Datensicherung (Backup) (Verfügbarkeit und Belastbarkeit der Systeme und Dienste)
  • Entsprechendes Konzept erstellen, damit u.a. ein Notfall-Anlaufplan zur Datenwiederherstellung existiert
  • Zusätzliche Archivierung berücksichtigen, wo die Daten nur noch entsprechenden Lesezugriff besitzen
  • Datensicherungssoftware auf dem Stand der Technik benutzen, die ggfs. schon bei der Vorabprüfung mit bereits gesicherten Daten durch heuristische Verfahren verschlüsselte/ manipulierte Daten auf dem Dateisystem auffindet.
• Organisatorische Maßnahmen
  • Schulung, Sensibilisierung der Mitarbeiter: keine Makros aktivieren. Bei ungewöhnlichen Datenformaten (Rechnungen werden üblicherweise nicht als Office-Dokumente verschickt, da sie allzugleich geändert werden könnten) beim Absender nachfragen.

Auch andere Datenschutzaufsichtsbehörde können mit Prüfungen nachziehen

Jedes Unternehmen und jede Arztpraxis hat nach der DSGVO eine Rechenschaftspflicht (Accountability – Artikel 5 Abs. 2 DSGVO) u.a. der Datenschutzaufsichtsbehörde gegenüber, dass sie die Vorgaben der DSGVO einhält. Zu diesen Vorgaben gehört die IT-Sicherheit, insbesondere der Schutz vor unberechtigtem Zugriffauf Daten aber auch vor unabsichtlichem Verlustder Daten. Da sich die Aufsichtsbehörden untereinander abstimmen, ist es nur eine Frage der Zeit, dass die Aufsichtsbehörden in den anderen Bundesländern nachziehen und vergleichbare Prüfungen ansetzen werden, denn berechtigt sind sie (Art. 58 Abs. 1 Buchstabe a und b DSGVO).

Welche Fragen wird die Aufsichtsbehörde stellen oder wie kann sich Ihr Unternehmen besser aufstellen?

Wenn in dem Unternehmen mehr als 10 Mitarbeiter automatisiert (am PC) mit personenbezogene Daten arbeiten, muss ein Datenschutzbeauftragter (DSB) benannt werden, § 38 BDSG, der die Verantwortlichen (Geschäftsleitung, Praxisinhaber) entsprechend darauf hinweist, welche Dokumente erstellt werden müssen (Verträge zur Auftragsverarbeitung, Verzeichnis von Verarbeitungstätigkeiten, Datenschutzinformationen, Einwilligungserklärungen, etc.). Daraus gehören auch die technischen und organisatorischen Maßnahmen (toM), wie sie oben bereits erwähnt wurden, die zu dokumentieren sind und die sich alle am jeweiligen Prozess beteiligten Mitarbeiter einhalten müssen.

Muss kein DSB benannt werden, sind die Datenschutz-Dokumente gleichwohl vom Verantwortlichen zu erstellen, um der Nachweispflicht zu genügen. Hierzu lohnt es sich, eine Datenschutzberatung in Anspruch zu nehmen, damit u.a. das Thema Datenschutz objektiv von außen betrachtet werden kann, aber auch Unterstützung bei der Dokumentenerstellung und fortlaufende Prüfung und Aktualisierung der Dokumente gewährleistet ist.

BSI-Gesetz, KritisVO und Orientierungshilfe Cloud-Anbieter

Große Gesundheitseinrichtungen, die als sogenannte kritische Infrastrukturangesehen werden, müssen zusätzlich zum Datenschutzrecht das IT-Sicherheitsgesetz (BSI-Gesetz) und die BSI-Kritisverordnung (§ 6 BSI-KritisV) beachten. Auch in anderen für das Funktionieren des Gemeinwesens wichtigen Branchen, z.B. dem Finanzwesen, § 7 BSI-Gesetz, ist die IT-Sicherheit ein wichtiger Punkt, den nicht nur die Datenschutzaufsicht, sondern auch das BSI sowie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die BaFin wird Banken zu mehr IT-Sicherheit drängen und sieht die IT-Sicherheit als „Chefsache“an, hat eine Orientierungshilfe für Auslagerungen an Cloud-Anbieterherausgegeben, die auch für anderen Branchen hilfreich ist und wird Prüfungen bei Banken durchführen.

Autoren: David Seiler und Sacha Pichler

Rechtsanwalt David Seiler, Datenschutzbeauftragter und Dozent für IT-Security Law an der B-TU in Cottbus, bietet in diesem Themenbereich Rechtsberatung an.

Herr Pichler ist Datenschutzconsultant und Berater für IT-Sicherheitskonzepte nach BSI-Grundschutz bei der PBIT Systeme GmbH & Co. KG.

Um auch vertiefte Beratung im IT-Sicherheitsbereich anbieten zu können,  hat RA Seiler  zusammen mit der PBIT Systeme GmbH & Co. KG die Firma dpc Data Protection Consulting GmbH gegründet, die u.a. in dem Bereich Informationssicherheit entsprechende Konzepte (Bsp.: IT-Sicherheitskonzepte nach BSI-Grundschutz mit entsprechend zertifizierten Beratern) anbietet und externe Datenschutzbeauftragte stellt.