Highlights des Vorfalls:
- 12.000 personenbezogene Datensätze betroffen
- Medizinische Befunde und Gutachten kompromittiert
- Zentrale IT-Strukturen des Dienstleisters angegriffen
- Ermittlungen durch Datenschutzaufsicht eingeleitet
Details:
Ziel des Angriffs war ein externer Anbieter medizinischer Dienstleistungen für Behörden in Hamburg. Die Angreifer verschafften sich Zugriff auf Datenbanken, in denen Informationen aus Gutachten, medizinischen Befunden und verwaltungstechnischen Abläufen gespeichert waren. Betroffen sind unter anderem auch Klienten des Hamburger Jobcenters, für die Arbeitsunfähigkeitsprüfungen oder Reha-Einschätzungen erstellt wurden.
Nach Bekanntwerden des Angriffs wurden die Behörden sowie die Datenschutzaufsicht informiert. Die betroffenen Personen wurden schriftlich benachrichtigt. Es besteht nun die Gefahr von Erpressungsversuchen oder Missbrauch besonders schützenswerter Gesundheitsdaten.
Unser Fazit:
Eine stärkere Zugriffskontrolle und Datenverschlüsselung hätten möglicherweise verhindert, dass Angreifer sensible Gesundheitsdaten im Klartext entwenden. Auch eine gezielte Segmentierung medizinischer Informationen hätte die Folgen begrenzen können. Der Vorfall hätte so vermutlich weniger dramatische Auswirkungen gehabt.
