War der Arzt Opfer eines Cyberangriffs geworden?
Die Antwort lautet: Nein.
Die Daten waren durch einen frei zugänglichen Windowsserver ohne zusätzlichen Schutz ins Internet gelangt. Ein IT-Experte ist eher zufällig über die Daten im Netz gestolpert und informierte den Arzt über seinen Fund. Bis zu einer endgültigen Schließung der Datenlücke dauerte es jedoch noch mehrere Tage.
Der Arzt hat daraufhin umgehend Kontakt mit seinem IT-Dienstleister aufgenommen, die Fehleranalyse und Beseitigung der Lücke konnten jedoch nicht sofort festgestellt oder abgestellt werden; die sensiblen Daten der Patienten und auch die der Mitarbeiter waren somit weiterhin frei zugänglich im Internet. Einmal ins Netz gelangt, waren diese nicht mehr zu löschen.
Schwachstelle war ein Telekom-Router.
Laut dem Bericht des NDR war eine Schwachstelle in dem in der Praxis verwendeten Telekom-Router Ursache für das Datenleck. Der Router hatte eine falsche Grundeinstellung und hierdurch konnten die Daten des Arztes unbemerkt ins Internet gelangen. Die Schwachstelle selbst ließ sich nur durch ein Update der Telekom beseitigen.
Unklar wie viele weitere Unternehmen betroffen sind.
Laut Aussage des NDR wird der Router von der Telekom häufig an Geschäftskunden abgegeben. Es sei nicht klar, wie viele andere Unternehmen durch die Sicherheitslücke des Geräts betroffen sind.
Jeder Nutzer eines der betroffenen Telekomrouter muss sich bewusst sein, dass eventuell neben Geschäftsgeheimnissen auch personenbezogene Daten, Gesundheitsdaten von Kunden oder Mitarbeitern frei zugänglich im Internet sein könnten. Spätestens jetzt sollte sich jedes Unternehmen und nicht nur der Arzt aus Celle die Frage stellen: „Liegt bei mir eine Datenschutzpanne vor und wenn ja was muss ich beachten, was sind meine nächsten Schritte?“
Ähnlich wie bei einem Cyberangriff sind aber viele Unternehmen auch bei dem Thema IT-Sicherheit und Datenschutz noch nicht optimal aufgestellt und im Ernstfall hilflos.
Dabei ist bei einer möglichen Datenpanne nach der Europäischen Datenschutz-Grundverordnung (DSGVO) bereits im Vorfeld einer Risikobewertung der Datensicherheit notwendig und bei Bekanntwerden einer sog. Datenpanne ein zügiges Handeln geboten. Nach Art. 33 Abs. 1 DSGVO muss eine Datenpanne binnen 72 Stunden nach der Kenntnis der Datenschutzverletzung an die zuständige Datenschutzbehörde gemeldet werden.
Vorsicht vor DSGVO-Fallsticken!
Die Vorschrift enthält dabei einige für den Laien unbekannte Fallstricke. So wird eine dokumentierte Risikobewertung gefordert, die als Grundlage für die Entscheidung dient, ob die Datenpanne der Datenschutzbehörde zu melden ist. Auch kann es notwendig werden, dass z. B. Patienten, Kunden oder Mitarbeiter über die Datenpanne informiert werden müssen. Für die meisten Menschen auch unbekannt sind dann die Meldewege, die Meldeinhalte usw. Des Weiteren hat die Datenschutzbehörde, egal ob der Vorfall gesetzlich gemeldet werden muss oder nicht, Erwartungen bezüglich sofort zu treffender Maßnahmen. In jedem Fall wird im Meldefall der Datenpanne geprüft, ob vorgelagerte Pflichten erfüllt worden sind. Eine dieser vorgelagerten Pflichten ist beispielsweise eine dokumentierte Angemessenheitsbewertung der sogenannten technischen und organisatorischen Maßnahmen (Art. 32 DSGVO). Prekär ist, dass man bei schuldhaften Verzögerungen der Meldepflichten oder fehlerhaften Meldungen die DSGVO-Bußgelder befürchten muss. Auch gegenüber einem Kunden oder der eigenen Mitarbeiter kann man unter Umständen schadensersatzpflichtig werden, wenn dessen personenbezogene Daten von einer Datenpanne betroffen sind.
Netzwerk an Experten benötigt.
Der Unternehmer benötigt daher unverzüglich nach der Kenntnis ein Netzwerk an Experten, die ihn zeitnah beraten und bei der richtigen Entscheidungsfindung helfen. Neben einem externen Datenschutzbeauftragten oder einem Rechtsanwalt mit Schwerpunkt Datenschutz wird in der Regel auch ein Kommunikationsexperte zum Umgang mit der Presse, den Betroffenen (z. B. Patienten, Mitarbeiter) und der Datenschutzbehörde benötigt.
Wo findet der Unternehmer die Experten im Ernstfall? Reicht hier der Blick in die Gelben Seiten?
Steuerung und Vermittlung von Experten durch die HDI.
Wir als HDI Versicherung AG können auch in dieser schwierigen Lage den dringend benötigten Support mit der Cyberversicherung liefern. Bei dieser Versicherung sind nicht nur Eigen- und Drittschäden als Folge eines Cyberangriffs, z. B. in Form einer Betriebsunterbrechung versichert, sondern auch die Folgen einer Datenschutzverletzung oder Datenvertraulichkeitsverletzung.
Auch ein Cyberangriff kann zu einer Datenschutzverletzung führen, wenn z. B. ein Hacker Gesundheitsdaten ausspäht oder sogar entwendet und im Darknet verkauft. Wie das Beispiel des Celler Arztes zeigt, kann auch eine technische Sicherheitslücke zu einem Datenschutzproblem werden.
Welche Vorteile bietet die Cyberversicherung?
Support:
Über unsere Cyberversicherung mit integrierter Schadenhotline können wir sofort einen der folgenden Dienstleister vermitteln:
- einen Forensiker (zur Unterstützung des IT-Dienstleisters);
- einen Rechtsanwalt mit Schwerpunkt Datenschutz (zur Prüfung, ob eine Datenschutzpanne vorliegt, gesetzliche Meldepflichten zu beachten sind, wie und mit welchen Inhalten zu melden ist),
- und eine PR-Agentur (als Kommunikationsmanager)
Schadenersatzansprüche:
Wir übernehmen darüber hinaus auch die berechtigten Schadenersatzansprüche von Dritten, die aus einem Hackerangriff, einem Datenverlust oder einer Datenschutzverletzung resultieren können.
Wir übernehmen:
- Ansprüche wegen Urheber- und Namensrechtsverletzungen bei unberechtigter Veröffentlichung elektronischer Medieninhalte;
- Forderungen zur Zahlung von Vertragsstrafen durch E-Payment-Service-Provider;
- die Kosten der Verteidigung in Datenschutzverfahren;
- Vertragsstrafen wegen Datenvertraulichkeitsverletzungen;
- immaterielle Schäden und Personenschäden aufgrund von Persönlichkeitsverletzungen;
- vertragliche Freistellungsverpflichtungen gegenüber Auftragsdaten verarbeitern;
- und vertragliche Schadenersatzansprüche.
Durch die zeitnahe und vollumfängliche Unterstützung mit allen Experten können wir unsere Kunden nicht nur monetär unterstützen, sondern insbesondere den zeitnahen, dringend benötigten Support bieten.
HDI INGLetter Juni 2020