Cyberrisiken: ...

...Datenleck kann alle Freiberufler betreffen!

Ende November 2019 berichtete der NDR von einem niedergelassenen Arzt aus Celle, dessen Patientendaten für einen längeren Zeitraum frei im Internet zugänglich waren. Sämtliche Arztberichte, Röntgenbilder und alle weiteren Daten der Arztpraxis konnten durch Dritte eingesehen werden. Aber was war passiert?

Quelle: HDI INGLetter

War der Arzt Opfer eines Cyberangriffs geworden?

Die Antwort lautet: Nein.

Die Daten waren durch einen frei zugänglichen Windowsserver ohne zusätzlichen Schutz ins Internet gelangt. Ein IT-Experte ist eher zufällig über die Daten im Netz gestolpert und informierte den Arzt über seinen Fund. Bis zu einer endgültigen Schließung der Datenlücke dauerte es jedoch noch mehrere Tage.

Der Arzt hat daraufhin umgehend Kontakt mit seinem IT-Dienstleister aufgenommen, die Fehleranalyse und Beseitigung der Lücke konnten jedoch nicht sofort festgestellt oder abgestellt werden; die sensiblen Daten der Patienten und auch die der Mitarbeiter waren somit weiterhin frei zugänglich im Internet. Einmal ins Netz gelangt, waren diese nicht mehr zu löschen.

Schwachstelle war ein Telekom-Router.

Laut dem Bericht des NDR war eine Schwachstelle in dem in der Praxis verwendeten Telekom-Router Ursache für das Datenleck. Der Router hatte eine falsche Grundeinstellung und hierdurch konnten die Daten des Arztes unbemerkt ins Internet gelangen. Die Schwachstelle selbst ließ sich nur durch ein Update der Telekom beseitigen.

Unklar wie viele weitere Unternehmen betroffen sind.

Laut Aussage des NDR wird der Router von der Telekom häufig an Geschäftskunden abgegeben. Es sei nicht klar, wie viele andere Unternehmen durch die Sicherheitslücke des Geräts betroffen sind.

https://www.ndr.de/nachrichten/niedersachsen/hannover_weser-leinegebiet/Datenleck-in-Praxis-30000-Patienten-betroffen,patientendaten116.html

Jeder Nutzer eines der betroffenen Telekomrouter muss sich bewusst sein, dass eventuell neben Geschäftsgeheimnissen auch personenbezogene Daten, Gesundheitsdaten von Kunden oder Mitarbeitern frei zugänglich im Internet sein könnten. Spätestens jetzt sollte sich jedes Unternehmen und nicht nur der Arzt aus Celle die Frage stellen: „Liegt bei mir eine Datenschutzpanne vor und wenn ja was muss ich beachten, was sind meine nächsten Schritte?“

Ähnlich wie bei einem Cyberangriff sind aber viele Unternehmen auch bei dem Thema IT-Sicherheit und Datenschutz noch nicht optimal aufgestellt und im Ernstfall hilflos.

Dabei ist bei einer möglichen Datenpanne nach der Europäischen Datenschutz-Grundverordnung (DSGVO) bereits im Vorfeld einer Risikobewertung der Datensicherheit notwendig und bei Bekanntwerden einer sog. Datenpanne ein zügiges Handeln geboten. Nach Art. 33 Abs. 1 DSGVO muss eine Datenpanne binnen 72 Stunden nach der Kenntnis der Datenschutzverletzung an die zuständige Datenschutzbehörde gemeldet werden.

Cyberversicherung
Quelle: HDI INGLetter

Vorsicht vor DSGVO-Fallsticken!

Die Vorschrift enthält dabei einige für den Laien unbekannte Fallstricke. So wird eine dokumentierte Risikobewertung gefordert, die als Grundlage für die Entscheidung dient, ob die Datenpanne der Datenschutzbehörde zu melden ist. Auch kann es notwendig werden, dass z. B. Patienten, Kunden oder Mitarbeiter über die Datenpanne informiert werden müssen. Für die meisten Menschen auch unbekannt sind dann die Meldewege, die Meldeinhalte usw. Des Weiteren hat die Datenschutzbehörde, egal ob der Vorfall gesetzlich gemeldet werden muss oder nicht, Erwartungen bezüglich sofort zu treffender Maßnahmen. In jedem Fall wird im Meldefall der Datenpanne geprüft, ob vorgelagerte Pflichten erfüllt worden sind. Eine dieser vorgelagerten Pflichten ist beispielsweise eine dokumentierte Angemessenheitsbewertung der sogenannten technischen und organisatorischen Maßnahmen (Art. 32 DSGVO). Prekär ist, dass man bei schuldhaften Verzögerungen der Meldepflichten oder fehlerhaften Meldungen die DSGVO-Bußgelder befürchten muss. Auch gegenüber einem Kunden oder der eigenen Mitarbeiter kann man unter Umständen schadensersatzpflichtig werden, wenn dessen personenbezogene Daten von einer Datenpanne betroffen sind.

Netzwerk an Experten benötigt.

Der Unternehmer benötigt daher unverzüglich nach der Kenntnis ein Netzwerk an Experten, die ihn zeitnah beraten und bei der richtigen Entscheidungsfindung helfen. Neben einem externen Datenschutzbeauftragten oder einem Rechtsanwalt mit Schwerpunkt Datenschutz wird in der Regel auch ein Kommunikationsexperte zum Umgang mit der Presse, den Betroffenen (z. B. Patienten, Mitarbeiter) und der Datenschutzbehörde benötigt.

Wo findet der Unternehmer die Experten im Ernstfall? Reicht hier der Blick in die Gelben Seiten?

Steuerung und Vermittlung von Experten durch die HDI.

Wir als HDI Versicherung AG können auch in dieser schwierigen Lage den dringend benötigten Support mit der Cyberversicherung liefern. Bei dieser Versicherung sind nicht nur Eigen- und Drittschäden als Folge eines Cyberangriffs, z. B. in Form einer Betriebsunterbrechung versichert, sondern auch die Folgen einer Datenschutzverletzung oder Datenvertraulichkeitsverletzung.

Auch ein Cyberangriff kann zu einer Datenschutzverletzung führen, wenn z. B. ein Hacker Gesundheitsdaten ausspäht oder sogar entwendet und im Darknet verkauft. Wie das Beispiel des Celler Arztes zeigt, kann auch eine technische Sicherheitslücke zu einem Datenschutzproblem werden.

Welche Vorteile bietet die Cyberversicherung?

Support:

Über unsere Cyberversicherung mit integrierter Schadenhotline können wir sofort einen der folgenden Dienstleister vermitteln:

  • einen Forensiker (zur Unterstützung des IT-Dienstleisters);
  • einen Rechtsanwalt mit Schwerpunkt Datenschutz (zur Prüfung, ob eine Datenschutzpanne vorliegt, gesetzliche Meldepflichten zu beachten sind, wie und mit welchen Inhalten zu melden ist),
  • und eine PR-Agentur (als Kommunikationsmanager)

Schadenersatzansprüche:

Wir übernehmen darüber hinaus auch die berechtigten Schadenersatzansprüche von Dritten, die aus einem Hackerangriff, einem Datenverlust oder einer Datenschutzverletzung resultieren können.

Wir übernehmen:

  • Ansprüche wegen Urheber- und Namensrechtsverletzungen bei unberechtigter Veröffentlichung elektronischer Medieninhalte;
  • Forderungen zur Zahlung von Vertragsstrafen durch E-Payment-Service-Provider;
  • die Kosten der Verteidigung in Datenschutzverfahren;
  • Vertragsstrafen wegen Datenvertraulichkeitsverletzungen;
  • immaterielle Schäden und Personenschäden aufgrund von Persönlichkeitsverletzungen;
  • vertragliche Freistellungsverpflichtungen gegenüber Auftragsdaten verarbeitern;
  • und vertragliche Schadenersatzansprüche.

Durch die zeitnahe und vollumfängliche Unterstützung mit allen Experten können wir unsere Kunden nicht nur monetär unterstützen, sondern insbesondere den zeitnahen, dringend benötigten Support bieten.

HDI INGLetter Juni 2020

 

Anzeige

Panasonic Wärmepumpen: BAFA-Förderung für ein breites Leistungsspektrum

Panasonic, einer der größten Wärmepumpenhersteller weltweit, kann ab sofort die Förderfähigkeit seines aktuellen Sortiments gemäß den Vorgaben der...

Weiterlesen

Schörghuber erweitert sein Schnellschuss-Programm

Noch mehr Vielfalt auf die Schnelle: Ab sofort sind neben einer Stahlsanierungseckzarge das verdeckt liegende Türband Pivota DX 60, das...

Weiterlesen

Visystem® zeigt neue Version von Vigram® auf der bautec

Präzise Baustellendokumentationen mit dem Smartphone: Die Smartphone-App für Bauleiter sowie Maschinenführer und Poliere gilt als kleines und...

Weiterlesen

Dämmwerk 2020: Schallschutz im Hochbau

Die Berechnungsmöglichkeiten nach DIN 4109:2016 / 2018 wurden mit den Änderungen zu Teil 34 und 35 (Dezember 2019) weiter komplettiert.

Weiterlesen

Lichtbauelement für die farbige Fassadengestaltung

Tageslicht, Wärmeschutz und eine breite Farbauswahl: Das Lichtbauelement „PC 2550-10“ bietet Planern viel Freiraum bei der Gebäudegestaltung.

Weiterlesen

Bemessungssoftware für Schöck Isolink® Betonfassaden

Das Bemessungstool von Schöck Bauteile wurde um verschiedene Funktionen erweitert und bietet Planern damit Vorteile bei der Bemessung des „Schöck...

Weiterlesen

Schallschutzmängel. Baurechtliche und -technische Themensammlung

Die beiden BGH-Entscheidungen, die bei geschuldetem üblichem Komfort ein über die Anforderungen der DIN 4109:1989 hinausgehendes Schallschutzniveau...

Weiterlesen

JELD-WEN Innentüren im ersten infektionspräventiven Patientenzimmer

Das Patientenzimmer ist per se einer der Orte, an denen sich Infektionen verbreiten. Das Forschungsprojekt KARMIN (Krankenhaus-ARchitektur, Mikrobiom...

Weiterlesen

DEHNbox – Optimaler Schutz bei voller Datenperformance

Die DEHNbox TC B 180 wurde speziell für die neuesten Anforderungen an Blitz- und Überspannungsschutzkomponenten für Telekommunikationsanwendungen...

Weiterlesen