Hackerangriff auf Medibank

Für viele Unternehmen ist es der Albtraum schlechthin. Die Kontrolle über die Computer hat auf einmal ein anderer oder man erhält plötzlich eine Erpresser-E-Mail, die Daten enthält, die der Absender eigentlich gar nicht haben sollte. Zumeist werden die Daten gestohlen oder verschlüsselt und nur gegen ein hohes Lösegeld wieder zurück- oder freigegeben. Wie hoch die Forderung sein kann und welche Konsequenzen eine Ablehnung der Zahlung haben kann, musste auch der australische Krankenversicherer Medibank schmerzlich erfahren.

Was ist geschehen?

Der größten australischen Krankenversicherungsgesellschaft sind im November sensible Patientendaten gestohlen worden. Bei den Daten handelte es sich um Gesundheitsdaten von Millionen von Kunden. Die Hacker verlangten für die Rückgabe der gestohlenen Daten 9,7 Millionen australische Dollar (rund 6,2 Millionen Euro). Nachdem Medibank die Zahlung des Lösegeldes verweigert hatte, veröffentlichten die Hacker Teile der Daten im Darknet. Bei den veröffentlichten Daten handelte es sich unter anderem um Patientendaten zu Abtreibungen oder etwa Therapien gegen HIV und Drogensucht. Der verantwortliche Polizeisprecher sagte zu dem Fall, dass man die Verantwortlichen für die Tat in Russland vermute.

Zahlen oder nicht Zahlen?

Medibank-Chef David Koczkar hatte die Weigerung zur Lösegeldzahlung verteidigt: „Basierend auf den umfangreichen Ratschlägen, die wir von Experten für Cyberkriminalität erhalten haben, glauben wir, dass es nur eine begrenzte Chance gibt, dass die Zahlung eines Lösegelds die Rückgabe der Daten unserer Kunden sicherstellt und verhindert, dass sie veröffentlicht werden“.

Tatsächlich kann es auch nach der Zahlung zu einer Veröffentlichung oder zu einem Verkauf der Daten durch die Erpresser kommen. Dazu kommt, dass eine Zahlung die unmittelbare Unterstützung der Kriminellen bedeutet. Wer zahlt, finanziert also auch weitere Hackerangriffe. Allerdings gibt es auch Unternehmen, die der Lösegeldforderung nachkommen und auf das Wohlwollen der Hacker hoffen. So hatte JBS, der weltgrößte Fleischkonzern, 2021 11 Millionen Dollar in Bitcoin an seine Erpresser überwiesen, um potenziellen Risiken für seine Kunden vorzubeugen und seine Produktion wieder aufnehmen zu können. Die Hacker wissen natürlich, dass zukünftige Opfer nur dann ein Lösegeld zahlen, wenn die Daten danach auch wirklich freigegeben werden. Das Geschäftsmodel würde andernfalls nicht funktionieren. Jedoch unterschätzen viele Unternehmen die Gier der Angreifer. In manchen Fällen werden zahlende Unternehmen wiederholt gehackt und erpresst, nicht selten vom selben Angreifer. Bei der Abwägung einer Zahlung sollte man sich daher aller möglichen Konsequenzen bewusst sein.

Und der Datenschutz?

Eine Verletzung des Schutzes personenbezogener Daten muss gem. Art. 33 Abs .1 S.1 DSGVO der zuständigen Aufsichtsbehörde binnen 72 Stunden gemeldet werden. Die Verletzung des Schutzes personenbezogener Daten wird als Verletzung der Sicherheit definiert, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von, beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert, oder auf sonstige Weise verarbeitet werden. Da es bei Hackerangriffen im Mindesten zu einem unbefugten Zugang zu personenbezogenen Daten kommt, handelt es sich in jedem Fall um eine Verletzung des Schutzes personenbezogener Daten.

Eine Ausnahme von der Meldepflicht besteht nur dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Unter Risiko ist dabei die erhöhte Eintrittswahrscheinlichkeit eines drohenden Schadensereignisses zu verstehen. Für die Rechte und Pflichten natürlicher Personen besteht dann ein Risiko, wenn ihnen Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile drohen. Für die Risikoabwägung gilt: Je höher der anzunehmende Schaden, desto geringere Anforderungen sind an die Wahrscheinlichkeit des Schadenseintritts zu stellen. Im Fall des Hackerangriffs auf Medibank war der anzunehmende Schaden enorm, da eine Veröffentlichung von Gesundheitsdaten gem. Art. 9 Abs.1 DSGVO zu erheblichen Rufschädigungen und finanziellen Verlusten der betroffenen Patienten führen kann. Zudem ist die Wahrscheinlichkeit einer Veröffentlichung der Daten bei Hackerangriffen mit Lösegeldforderung extrem hoch. Aber auch aus Hackerangriffen, die „nur“ zu einem Diebstahl von Adress-, Kontakt-, oder Geburtsdaten führen, kann ein hoher Schaden für die betroffenen Personen hervorgehen, weil die Daten für Identitätsbetrug besonders wertvoll sind. Eine Ausnahme von der Meldepflicht wird daher bei Hackerangriffen nur selten vorliegen. Allgemein kann man sagen, dass in der Regel eine Meldepflicht besteht und nur ausnahmsweise von einer Meldung gegenüber der Aufsichtsbehörde abgesehen werden kann.

Der Angriff ist der Aufsichtsbehörde sodann innerhalb von 72 Stunden nach Bekanntwerden der Verletzung zu melden. Ist der Angriff offensichtlich, beginnt die Meldefrist mit der Kenntnisnahme. Wird der Angriff erst mit Zugang einer Erpresser-Nachricht bekannt, muss die Verletzung nach Zugang der Nachricht unverzüglich, also ohne schuldhaftes Zögern (vgl. § 121 Abs.1 BGB), der Aufsichtsbehörde gemeldet werden. Eine verspätete Meldung muss begründet werden (vgl. Art. 33 Abs.1 S.1 DSGVO). Grundsätzlich gilt dabei: Je gravierender die anzunehmenden Schäden sind und je höher die Eintrittswahrscheinlichkeit ist, desto schneller sollte eine Meldung erfolgen und desto besser muss eine Verspätung begründet werden.

Im Zuge der Meldung an die Aufsichtsbehörde sollte auch immer abgewogen werden, ob nicht auch die von der Datenpanne betroffenen Personen benachrichtigt werden müssen (vgl. Art. 34 DSGVO). Dies ist dann der Fall, wenn die Verletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Wer eine Erpresser-Nachricht erhält, sollte stets von einer hohen Schadenseintrittswahrscheinlichkeit und somit auch von einem hohen Risiko ausgehen. Fehleinschätzungen im Zuge einer Risikoanalyse können teuer werden. Wer seiner Meldepflicht gegenüber der Aufsichtsbehörde oder den betroffenen Personen nicht nachkommt, riskiert ein Bußgeld von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (vgl. Art. 83 Abs.4 DSGVO).

Fazit:

Wer Opfer eines Hackerangriffes wird, sollte diese Angelegenheit ernst nehmen, muss aber nicht verzweifeln. Vor allem die Zahlung eines Lösegeldes sollte wohl überlegt und im Zweifelsfall abgelehnt werden. Auch bei der datenschutzrechtlichen Aufarbeitung der Datenpanne ist strukturiertes und zügiges Handeln gefragt. Zur Erfüllung Ihrer Meldepflichten muss eine, für die Aufsichtsbehörden nachvollziehbare, Risikoanalyse durchgeführt werden. Bei dieser unterstützen wir Sie gerne.