Datenpanne: Hacker machen ernst ... Appell an die IT-Sicherheit

HMDATA Datenschutz-Newsletter 02/2021, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

In der täglichen Arbeit kommt so die ein oder andere Datenpanne über den Schreibtisch des Datenschützers: meist kann man aber gut reagieren und die Schäden für die Betroffenen sind überschaubar.
Persönlich hat mich aber ein Fall aus dem Oktober 2020 berührt, bei dem bei einem finnischen Dienstleister für psychologische Praxen auf Grund völlig mangelhafter IT-Sicherheit 40.000 Patientenakten durch Hacker entwendet wurden. Der Dienstleister hatte das Lösegeld nicht beglichen, und so begannen die Hacker, die Betroffenen einzeln zu erpressen.

Welches Leid für die Betroffenen hinter dem Datenverlust und den persönlichen Erpressungsversuchen steckt, mag man sich gar nicht vorstellen. Im Vergleich: Finnland hat nur 5.5 Mio. Einwohner, es ist also aufgerundet 1% der Bevölkerung betroffen.

Da auch das individuelle Erpressen den Hackern nicht genug einbrachte, haben diese nun Anfang Februar 2021 ernst gemacht: es wurden für jedermann download-tauglich aufbereitet alle Patientenakten und psychologischen Gutachten von 31.980 Betroffenen offen zugänglich gemacht.
Wem die Tragweite nicht sofort bewusst ist: die Sätze "Leider wurde die ausgeschriebene Stelle anderweitig besetzt", "Die Wohnung ist bereits vermietet" oder "Ihre Kreditanfrage konnten wir leider nicht positiv abschließen" werden die nächsten Jahre in Finnland öfter zu hören sein. Geschweige denn von der privaten und geschäftlichen Unsicherheit, nicht zu wissen, was mein Gegenüber nun über mich weiß. Das Klima des gesellschaftlichen Misstrauens ist eröffnet - beim Psychologen wird ja nicht über's Schäfchenzüchten gesprochen.
Die Daten sind nun 1000fach für Jedermann im Umlauf, Headhunter, Versicherungsunternehmen, Vermieter, Banken, Geschäftspartner, Arbeitgeber ... da könnte schon Interesse aufkommen, mit wem man es zu zukünftig tun hat.

Appell an die IT-Sicherheit

Warum ich das Thema dieses mal aufgreife? Als Datenschützer leidet man mit jedem Betroffenen. In diesem Fall besonders, weil es Unschuldige und Wehrlose trifft, die hilfesuchend ihre innersten Sorgen anderen anvertraut haben. Und vor allem: weil es durch Beachtung einfachster IT-Sicherheitsmaßnahmen gar nicht so weit hätte kommen müssen. Die oft gehörte Aussage "Bei mir ist alles sicher" muss erst den Praxistest bestehen, bevor sie valide ist und auch mit gutem Gewissen getroffen werden kann. Dem im oben geschilderten Fall verantwortlichen Geschäftsführer wurde zwischenzeitlich gekündigt, der Fall ist bis in die oberste Riege der finnischen Politik aufgestiegen. Aber es ist davon auszugehen, dass der Geschäftsführer nicht um den Status der IT-Sicherheit Bescheid wusste und diesem Thema keine Aufmerksamkeit schenkte oder dies vernachlässigte - aus welchen Gründen auch immer.
Sorgen Sie also bitte dafür, dass in Ihrem Betrieb neben der Pflicht nicht die Hoffnung, sondern das Wissen Grundlage Ihrer IT-Sicherheitskonzeption ist.
Eine von mir Anfang Januar durchgeführte Umfrage unter 529 Versicherungsmaklern brachte hervor, dass bei der Befragten 44% Resignation zum Thema herrscht, weil es zu komplex ist. Und 33% würden zwar gerne etwas verbessern, können aber nicht, weil sie keinen finden, der ihnen seriöse Kompetenz vermittelt. Rein aus Sicht der Kundendaten gibt es bessere Nachrichten.

ToDo

Wie gewohnt von mir gibt es keine Problematik ohne Lösung: ein paar interessante Fragen an Ihre IT-Systeme habe ich Ihnen in Form einer Checkliste beigefügt. Wie man damit umgeht, wird im Dokument erklärt. Aus Verantwortung gegenüber Ihren Kunden kann ich aber nur dringendst appellieren, diese Fragen zusammen mit dem IT-Verantwortlichen zu bearbeiten. Es ist keine bewertende Liste, weder Ja noch Nein mögen die richtigen Antworten sein, wichtig alleine ist, die Fragen zu stellen. Ziel ist der Einstig in die Diskussion und das Bewusstsein um die Pflicht des sicheren IT-Betriebes.