Die britische Datenschutzaufsicht verhängte gegen die Muttergesellschaft eines Baukonzerns eine Geldbuße gemäß Art. 83 Datenschutz-Grundverordnung (DSGVO) in Höhe von 4.440.000 £. Das entspricht ungefähr 5 Millionen €.
Nach Auffassung der Datenschutzaufsicht ist das Unternehmen selbst schuld daran, dass eine Ransomware-Attacke erfolgreich war. Sie führte dazu, dass die Daten von 113.000 jetzigen und früheren Arbeitnehmern monatelang nicht mehr zugänglich waren. Dabei ging es auch um besondere Kategorien personenbezogener Daten im Sinn von Art. 9 DSGVO, etwa um Angaben zum Vorliegen einer Behinderung oder zur Zugehörigkeit zu einer Religion.
Alles begann mit einer Phishing-Mail. Sie ging im gemeinsamen Posteingang eines Teams ein. Die Mail schien eine dringende Zahlungsangelegenheit zu betreffen. Deshalb leitete ein Mitglied des Teams sie an einen anderen Mitarbeiter weiter, der für solche Angelegenheiten zuständig war. Der öffnete die Mail, lud die ZIP-Datei im Anhang herunter, entpackte sie und öffnete die Script-Datei. Das führte zur Installation einer Schadsoftware und eröffnete dem Angreifer den Zugriff auf den Arbeitsplatz-Computer des Mitarbeiters.
Der Mitarbeiter befand sich im Homeoffice. Bei ihm war ein Verfahren der Split-Tunnelung installiert. Er konnte also einen besonders geschützten VPN-Zugang zum System seines Arbeitgebers benutzen, hatte aber mit seinem Gerät gleichzeitig auch Zugriff auf das allgemeine Internet. Er stellte die Verbindung über das allgemeine Internet her. Dass der besonders geschützte Zugang mit einem System zur Erkennung von Schadsoftware ausgestattet war, half daher nichts.
Der Arbeitsplatz-Computer wurde durch ein Endpoint Security System überwacht. Es bemerkte, dass Schadsoftware vorhanden war. Es veranlasste sogar die Entfernung einiger Schad-Dateien. Anschließend meldete es, dass dies erfolgreich gewesen sei. Dabei blieben allerdings einige Schad-Dateien zurück. So kam es dazu, dass der Angreifer weiterhin Zugriff auf den Arbeitsplatz-Computer des Mitarbeiters im Homeoffice hatte.
Über diese Eintrittspforte verschaffte er sich einige Zeit später Zugriff auf Systeme des Unternehmens im Bereich Human Ressources. Dort gelang es ihm, umfangreiche Datenbestände zu verschlüsseln. Die Zugriffsblockade dauerte je nach Datenbestand zwischen zwei und fünf Monaten.
Die Datenschutzaufsicht rügt eine längere Liste von Verstößen des Unternehmens. Den Ausgangspunkt bildet der Verstoß gegen die Pflicht zur Wahrung der Integrität und Vertraulichkeit von personenbezogenen Daten (Art. 5 Abs. 1 Buchstabe f DSGVO). Hier moniert die Datenschutzaufsicht unter anderem:
Die erheblichen „Unterlassungssünden“ des Unternehmens bewirkten, dass sich die Sicherheit der Verarbeitung nicht auf dem Stand befand, den Art. 32 DSGVO vorschreibt. Das führte dazu, dass der Zugriff auf umfangreiche Datenbestände für erhebliche Zeit überhaupt nicht möglich oder jedenfalls stark eingeschränkt war.
Der Arbeitnehmer, der versehentlich die Schad-Software installierte, arbeitete wegen COVID im Homeoffice. Das Unternehmen hatte mit ihm vereinbart, dass er lediglich wichtige Daten über den besonders geschützten Zugang seines Arbeitgebers leiten musste. Für andere Daten durfte er den normalen Internetzugang benutzen.
Obwohl man sich darüber streiten könnte, ob eine solche Vereinbarung in Ordnung ist, hielt sich die Datenschutzaufsicht damit nicht auf. Sie beanstandete dieser Vereinbarung für sich genommen nicht. Vielmehr verwies sie darauf, dass alle anderen Sicherheits-Schwachstellen (insbesondere das unzureichende Endpoint Security System) nichts mit der COVID-Situation zu tun hatten.
Das Unternehmen wandte nach dem Vorfall sofort erhebliche Mittel auf, um die vorhandenen Sicherheitsschwachstellen zu beseitigen. Der entsprechende Betrag ist im Bescheid der Datenschutzaufsicht geschwärzt, scheint aber beträchtlich gewesen zu sein. Auch sonst zeigte sich das Unternehmen offensichtlich kooperativ. Dennoch verhängte die Datenschutzaufsicht wegen der erheblichen Folgen, die der Vorfall für betroffene Personen nach sich zog, die empfindliche Geldbuße von 4.440.000 £.
Der vollständige Geldbußen-Bescheid (Monetary Penalty Notice) des Information Commissioner´s Office (ICO) vom 19. Oktober 2022 ist (nur in englischer Sprache) hier abrufbar: https://ico.org.uk/media/action-weve-taken/mpns/4021951/interserve-group-limited-monetary-penalty-notice.pdf. Er umfasst 55 Seiten.
Bei Zeitdruck sind von besonderem Interesse
