Britische Datenschutzbehörde verhängt Geldstrafe gegen NHS-Anbieter Advanced wegen Sicherheitsmängeln vor dem LockBit-Ransomware-Angriff

Die britischen Datenschutzbehörden haben gegen den NHS-Anbieter Advanced eine vorläufige Geldstrafe von über 6 Millionen Pfund verhängt, nachdem sie festgestellt hatten, dass das Unternehmen die Informationen Tausender von Menschen nicht ausreichend geschützt hatte, die später bei einem Ransomware-Angriff gestohlen wurden.

In einer Erklärung teilte das Büro des britischen Datenschutzbeauftragten mit, dass es die Geldbuße verhängt habe, nachdem es festgestellt hatte, dass die Cyberkriminellen hinter dem Ransomware-Angriff im August 2022 „zunächst über ein Kundenkonto, das nicht über eine Multi-Faktor-Authentifizierung verfügte, auf eine Reihe von Gesundheits- und Pflegesystemen von Advanced zugegriffen haben“.

Der Cyberangriff auf Advanced führte zu weitreichenden Störungen der NHS-Dienste im gesamten Vereinigten Königreich. Er führte zu Ausfällen der NHS-Hotline 111 für Nicht-Notfälle und zwang Krankenhäuser und Arztpraxen, wochenlang auf Stift und Papier zurückzugreifen. Ärzte der betroffenen NHS-Trusts berichteten, dass sie konnte nicht auf Patientenakten zugreifen.

Mandiant, die Incident-Response-Firma, die bei der Untersuchung des Hacks half, sagte, bei dem Angriff sei Malware verwendet worden, die von der LockBit-Ransomware-Bande verwendet wurde. Allerdings hat LockBit auf seiner Dark-Web-Leak-Site nie öffentlich die Verantwortung für den Cyberangriff übernommen. Das kann ein Hinweis darauf sein, dass ein gehacktes Unternehmen möglicherweise ein Lösegeld bezahlt hat. Advanced lehnte es zuvor ab, zu sagen, ob es eines bezahlt hat.

Bis Oktober 2022, so Advanced in seinem Bericht nach dem Vorfall dass die Cyberkriminellen „unter Verwendung legitimer Anmeldeinformationen Dritter“ in das Netzwerk von Advanced eingebrochen seien, was darauf schließen lässt, dass für das Konto keine Multi-Faktor-Authentifizierung vorhanden war.

Nun scheint das ICO dies zu bestätigen.

Das ICO teilte mit, dass es vorläufig eine Geldstrafe in Höhe von 6,09 Millionen Pfund (7,75 Millionen Dollar) verhängt habe, nachdem die Aufsichtsbehörde erklärt hatte, Advanced habe vorläufig „gegen das Datenschutzgesetz verstoßen, indem es vor dem Angriff keine angemessenen Sicherheitsmaßnahmen zum Schutz der von ihm verarbeiteten personenbezogenen Daten ergriffen habe“.

Die Aufsichtsbehörde bestätigte außerdem, dass durch den Cyberangriff Informationen über fast 83.000 Personen im Vereinigten Königreich gestohlen wurden, darunter Telefonnummern und Krankenakten sowie Details darüber, „wie man in die Wohnungen von 890 Menschen gelangt, die zu Hause Pflege erhielten“, so das ICO.

Die Geldbuße sei vorläufig, sagte die Aufsichtsbehörde, was bedeute, dass sich die Strafe ändern könne. ICO-Kommissar John Edwards sagte, die Aufsichtsbehörde habe die Entscheidung, diesen Fall öffentlich zu machen, unter anderem getroffen, um „ähnliche Vorfälle in Zukunft zu vermeiden“.

„Ich fordere alle Organisationen, insbesondere diejenigen, die mit sensiblen Gesundheitsdaten umgehen, dringend auf, externe Verbindungen mit einer Multi-Faktor-Authentifizierung zu sichern“, sagte Edwards.

Sprecher von Advanced antworteten vor der Veröffentlichung nicht auf eine Bitte um Stellungnahme.

tch-1-tech