Die britischen Datenschutzbehörden haben gegen den NHS-Anbieter Advanced eine vorläufige Geldstrafe von über 6 Millionen Pfund verhängt, nachdem sie festgestellt hatten, dass das Unternehmen die Informationen Tausender von Menschen nicht ausreichend geschützt hatte, die später bei einem Ransomware-Angriff gestohlen wurden.
In einer Erklärung teilte das britische Information Commissioner’s Office (ICO) mit, dass es die Geldbuße verhängt habe, nachdem es festgestellt hatte, dass die Cyberkriminellen hinter dem Ransomware-Angriff im August 2022 „zunächst über ein Kundenkonto, das nicht über eine Multi-Faktor-Authentifizierung verfügte, auf eine Reihe von Gesundheits- und Pflegesystemen von Advanced zugegriffen haben“.
Der Cyberangriff auf Advanced führte zu weitreichenden Störungen der NHS-Dienste im gesamten Vereinigten Königreich. Er führte zu Ausfällen der NHS-Hotline 111 für nicht-notfallmäßige Anrufe und zwang Krankenhäuser und Arztpraxen wochenlang dazu, auf Stift und Papier zurückzugreifen. Ärzte der betroffenen NHS-Trusts berichteten, dass sie keinen Zugriff auf Patientenakten hatten.
Mandiant, die Incident-Response-Firma, die bei der Untersuchung des Hacks half, sagte, bei dem Angriff sei Malware verwendet worden, die von der LockBit-Ransomware-Bande verwendet wurde. Allerdings hat LockBit auf seiner Dark-Web-Leak-Site nie öffentlich die Verantwortung für den Cyberangriff übernommen. Das kann ein Hinweis darauf sein, dass ein gehacktes Unternehmen möglicherweise ein Lösegeld bezahlt hat. Advanced lehnte es zuvor ab, zu sagen, ob es eines bezahlt hat.
Im Oktober 2022 gab Advanced in seinem Nachvorfallbericht an, dass die Cyberkriminellen „unter Verwendung legitimer Anmeldeinformationen Dritter“ in das Netzwerk von Advanced eingebrochen seien, was bedeutet, dass für das Konto keine Multi-Faktor-Authentifizierung vorhanden war.
Nun scheint das ICO dies zu bestätigen.
Das ICO teilte mit, dass es vorläufig eine Geldstrafe in Höhe von 6,09 Millionen Pfund (7,75 Millionen Dollar) verhängt habe, nachdem die Aufsichtsbehörde erklärt hatte, Advanced habe vorläufig „gegen das Datenschutzgesetz verstoßen, indem es vor dem Angriff keine angemessenen Sicherheitsmaßnahmen zum Schutz der von ihm verarbeiteten personenbezogenen Daten ergriffen habe“.
Die Aufsichtsbehörde bestätigte außerdem, dass durch den Cyberangriff die Daten von fast 83.000 Menschen im Vereinigten Königreich gestohlen wurden, darunter Telefonnummern und Krankenakten sowie Details darüber, „wie man in die Wohnungen von 890 Menschen gelangt, die zu Hause Pflege erhielten“, so das ICO.
Die Geldbuße sei vorläufig, sagte die Aufsichtsbehörde, was bedeute, dass sich die Strafe ändern könne. ICO-Kommissar John Edwards sagte, die Aufsichtsbehörde habe die Entscheidung, diesen Fall öffentlich zu machen, unter anderem getroffen, um „ähnliche Vorfälle in Zukunft zu vermeiden“.
„Ich fordere alle Organisationen, insbesondere diejenigen, die mit sensiblen Gesundheitsdaten umgehen, dringend auf, externe Verbindungen mit einer Multi-Faktor-Authentifizierung zu sichern“, sagte Edwards.
Sprecher von Advanced antworteten vor der Veröffentlichung nicht auf eine Bitte um Stellungnahme.
