Die italienische Datenschutzbehörde untersuchte eine Universitätsklinik, nachdem diese einen Cyberangriff auf seine Informationssysteme gemeldet hatte. Unbekannte Täter hatten mit der Ransomware „Ragnar Locker“ auf gemeinsam genutzte Daten auf den Dateiservern zugegriffen. Kritische Gesundheitsanwendungen und zentrale Dienste im Krankenhaus blieben jedoch unberührt.
Die Untersuchung ergab, dass die Meldung an die Aufsichtsbehörde nicht innerhalb der vorgeschriebenen 72-Stunden-Frist erfolgte. Zudem stellte die Behörde fest, dass die Server des der Universitätsklinik nicht ausreichend gesichert waren. Daher wurde die Klinik angewiesen, innerhalb von 90 Tagen eine umfassende Sicherheitsprüfung durchzuführen, Schwachstellen zu beheben und ein effektives Vulnerability-Management einzuführen.
Sanktionsadressat
Universitaria SS. Antonio e Biagio e Cesare Arrigo
Bußgeld
25.000 EUR
Verletzte Rechtsnorm
Art. 5 Abs. 1 lit. f DSGVO
Art. 32 Abs. 1 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
Quellen und Links:
Datenschutzbehörde: Italien – Garante per la protezione dei dati personali
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10086523
Informationen zu Trusted Information Security Assessment Exchange (TISAX)
https://tisax.tec4net.com
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com