Bei einem ohnehin großen Schaden durch eine Ransomware-Attacke kam es bei der Firma Interserve Group Limited in Großbritannien zusätzlich zu einer hohen Geldbuße. Dem Unternehmen konnte durch die Datenschutzaufsicht nachgewiesen werden, dass sie selbst am Erfolg des Angriffs schuld waren.
Die erfolgreiche Ransomeware-Attacke auf Interserve führte dazu, dass Daten von 113.000 aktuellen und früheren Arbeitnehmern monatelang nicht mehr zugänglich waren. Hierbei waren vor allem die besonderen Kategorien der personenbezogenen Daten (Art. 9 DSGVO) im Fokus. Die Datenschutzaufsicht verhängte an das betroffene Unternehmen eine Geldbuße (gemäß Art. 83 Datenschutz-Grundverordnung (DSGVO)) in Höhe von 4.440.000 £. Das entspricht etwa 5 Millionen €.
Der Ransomware-Angriff
Der Angriff erfolgte in Form einer Phishing-Mail. Diese beinhaltete eine „dringende Zahlungsangelegenheit“ und ging in das gemeinsame Konto eines Teams ein. Die Mail wurde von hier aus an den zuständigen Mitarbeiter für etwaige Angelegenheiten weitergeleitet. Dieser öffnete die Mail, lud sich den Angang runter, entpackte sie und öffnete die in ihr erhaltene Script-Datei. Diese Script-Datei führte zur Installation einer Schadsoftware und verschaffte dem Angreifer Zugriff auf den Arbeitsplatz-Computer des Mitarbeiters.
Der Mitarbeiter verfügte über seinen Sitz im Homeoffice über eine Split-Tunnelung, welches ihm die Nutzung zu einem besonders geschützten VPN-Zugang zum System verschaffte, wie auch zum allgemeinen Internet. Der geschützte Zugang ist mit einem System zur Erkennung von Schafsoftware ausgestattet. Der Angestellte nutzte in diesem Fall jedoch das allgemeine Internet.
Als die Schadsoftware von einem Endpoint Security System erkannt wurde, veranlasste das System die Entfernung einiger Schad-Dateien. Dieser Prozess war laut System erfolgreich, doch blieben Schad-Dateien auf dem Arbeitsplatz-Computer des Angestellten zurück und der Angreifer behielt seinen Zugriff. Der Angreifer erhielt nach und nach Zugriffe auf Systeme im Bereich Human Ressource, wo es ihm gelang umfangreiche Datenbestände zu verschlüsseln.
Laut Datenschutzaufsicht wurde hier gegen die Pflicht der Wahrung der Integrität und Vertraulichkeit von personenbezogenen Daten (Art. 5 Abs. 1 Buchstabe f DSGVO) verstoßen. Hierzu zählte unter anderem die Nutzung eines nicht mehr unterstützten Microsoft-Systems, die fehlende Verwendung eines ausreichenden Endpoint Security Systems sowie die fehlende Datenschutzschulung von einem der betroffenen Mitarbeitern. Diese Punkte führten dazu, dass sich die Sicherheit der Verarbeitung nicht auf dem Stand befand, welche der Art. 32 der DSGVO vorschreibt.
Das Ergebnis
Interserve Group Limited war kooperativ und wandte sofort nach dem Vorfall erhebliche Mittel auf, um die Sicherheitsschwachstellen zu beseitigen. Die Datenschutzaufsicht verhängte dennoch durch die erheblichen Folgen, die der Vorfall für betroffene Personen nach sich zog, die Geldbuße von 4.440.000 £.