Die Datenschutz-Aufsichtsbehörde in Großbritannien (Information Commissioner’s Office – ICO) hat am 26.03.2025 gegen ein britisches Unternehmen ein Bußgeld i. H. v. mehr als 3 Mio. britische Pfund (= 3,5 Mio. €) verhängt. Das Unternehmen bietet IT-Dienstleistungen für verschiedene Branchen an, darunter das Gesundheitswesen, Rechtsdienstleistungen und das Bildungswesen. 

Nach den Ermittlungen des ICO nutzten Hacker eine bekannte Sicherheitslücke, um sich Zugang zu den Systemen von AHC zu verschaffen. Dabei wurden personenbezogene Daten von 82.946 Personen exfiltriert, darunter medizinische Aufzeichnungen, Krankengeschichten, Patientenakten- und Versicherungsnummern. Diese Daten gelten nach Art. 9 DSGVO (wie auch im britischen Datenschutzpendant) als besonders schutzwürdig. 

Die ausgenutzte Schwachstelle, die als ZeroLogon bekannt ist, ermöglicht es Angreifern, die Authentifizierung zu umgehen und Administratorrechte zu erlangen. Microsoft und das National Institute of Standards and Technology (NIST) stuften die Lücke bereits 2020 als erhebliches Sicherheitsrisiko ein und stellten entsprechende Patches zur Verfügung. Das ICO stellte fest, dass AHC trotz frühzeitiger Warnungen keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hatte, um das Risiko zu minimieren. Insbesondere habe es an einem effektiven Schwachstellenmanagement und einer konsequenten Umsetzung von Sicherheitsupdates gefehlt. Die Behörde sieht darin einen Verstoß gegen Art. 32 Abs. 1 UK GDPR, der der entsprechenden Regelung in Art. 32 DSGVO entspricht. 

Obwohl AHC das Risiko gekannt habe, sei nicht sichergestellt worden, dass der entsprechende Patch ordnungsgemäß in der eigenen IT-Umgebung implementiert worden sei. Eine forensische Untersuchung bestätigte, dass Angreifer über die ZeroLogon-Schwachstelle Administratorrechte erlangen konnten. Laut ICO hätte AHC die bekannte Schwachstelle durch regelmäßige Scans und ein effektives Patch-Management schließen können. Das Bußgeld wurde auf Grundlage von Art. 82 und Art. 83 Abs. 2 lit. d UK GDPR gegen die Muttergesellschaft von AHC verhängt, deren Jahresumsatz bei der Bußgeldberechnung zugrunde gelegt wurde.

Quelle: Newsletter der Stiftung Datenschutz