Tietosuojavaltuutetun toimisto verhängt 608.000 Euro Bußgeld gegen Psykoterapiakeskus Vastaamo

Finnland: Das vorliegende Bußgeld steht mit einer Datenpanne im Zusammenhang, welche die seit Februar 2021 insolvente, psychotherapeutische Einrichtung im September 2020 der finnischen Datenschutzbehörde gemeldet hatte. Ein unbefugter Dritter hatte sich Zugang zur Datenbank für Patientendaten von Psykoterapiakeskus Vastaamo verschafft, Daten abgeschöpft sowie gelöscht und eine Lösegeldforderung in Höhe von 40 Bitcoins auf dem Server hinterlassen. Die Forderung entsprach zu diesem Zeitpunkt etwa 450.000 Euro. Wie aus einer im Oktober 2020 abgeschlossenen technischen Untersuchung hervorging, hatte der Cyber-Angreifer bei mindestens zwei Gelegenheiten im Dezember 2018 und im März 2019 auf die Datenbank zugegriffen. Aufgrund einer unzureichenden Protokollierung konnte allerdings weder das genaue Datum der Panne noch die vom Angreifer verwendeten Netzwerkadressen identifiziert werden.
Als wahrscheinlichstes Einfallstor wird ein ungeschützter MySQL-Port der Datenbank angenommen, bei dem das root-Benutzerkonto nicht mit einem Passwort versehen war. Weil der betroffene Server zwischen dem 26. November 2017 und dem 13. März 2019 ohne Firewall-Schutz über das Internet zugänglich war, konnte sich der Angreifer mit jeder beliebigen IP-Adresse mit dem root-Benutzer an der Datenbank anmelden. Vor diesem Hintergrund stellte die Behörde einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit aufseiten der Einrichtung fest. Der Bußgeldempfänger hatte es insbesondere versäumt, personenbezogene Daten durch angemessene Maßnahmen vor unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder Beschädigung zu schützen. 
Die Datenschutzbehörde war im Rahmen ihrer Untersuchung ferner zu der Auffassung gelangt, dass der Bußgeldempfänger bereits im März 2019 gewusst haben muss, dass Patientendaten durch einen Cyber-Angriff kompromittiert worden sein könnten. Dennoch hatte Psykoterapiakeskus Vastaamo sowohl die Datenschutzbehörde als auch die betroffenen Patienten erst mit signifikanter Verzögerung von dem Vorfall informiert. Dies geschah, obwohl die Panne aufgrund des hohen Risikos für die Betroffenen unverzüglich hätte melden werden müssen. Die Behörde wertete die verspätete Meldung als vorsätzlich.
Bei der Festsetzung der Bußgeldhöhe wurden u.a. die Sensibilität der kompromittierten Daten sowie die Mängel in der technischen Dokumentation bei Psykoterapiakeskus Vastaamo erschwerend berücksichtigt. Mildernd hingegen wirkte sich aus, dass die Einrichtung sich darum bemüht hatte, den Schaden für betroffene Patienten möglichst gering zu halten.
Nachtrag vom 03.11.2022:
Der 25-jährige Finne Julius “Zeekill” Kivimäki, der bei Europol als einer der meist gesuchten Flüchtigen gilt, wurde in Abwesenheit von einem finnischen Gericht Ende Oktober 2022 zu eine Haftstrafe verurteilt.
Neben der Erpressung der Klinik wurde er auch für die Erpressung von betroffenen Patienten für schuldig befunden. Als das Psychotherapie Center nicht auf die Lösegeldforderung einging, fing der Hacker an, diese  um 200 Euro zu  erpressen. Er verlangte 500 Euro, wenn nicht innerhalb von 24 Stunden gezahlt wurde.
Nachtrag vom 05.02.2023:
Die französische Polizei hat Kivimäki festgenommen.
Nachtrag vom 19. Oktober 2023:
Der festgenommene Kivimäki wurde am 18. Oktober 2023 von der Staatsanwaltschaft in Finnland angeklagt. Dem Täter werden Erpressung in ca. 21.000 Fällen und die Verbreitung von privaten Informationen in 9.589 Fällen vorgeworfen. Die Staatsanwaltschaft fordert eine Haftstrafe in Höhe von sieben Jahren.
Die Gerichtsverrhandlung soll zwischen dem 13. November 2023 und dem Februar 2024 stattfinden.
Nachtrag vom 31. Januar:
Laut Medienberichten ist es den finnischen Ermittlern für die Ermittlung des Verdächtigen gelungen, Monero-Transaktionen zu verfolgen. Monero-Transaktionen gelten als nicht nachvollziehbar. .

Verwandter Beitrag  Datatilsynet verhängt 147.778 Euro Bußgeld gegen Arp-Hansen Hotel Group

Veröffentlicht am: 16-12-2021

Quelle von dsgvo-portal.de