Angriff auf den NHS: Unternehmen müssen sich jetzt die richtigen Fragen stellen!

Die Welt sieht derzeit auf den NHS-Cyber-Angriff und sucht Antworten auf zahlreiche Fragen: über Ransomware, das Alter der IT-Systeme, ob die NHS die richtige Anti-Virus- und Intrusion Detection-Technologie hatte oder ob es ausreichende Back-ups gab, um Daten wiederherstellen, ohne Lösegeldforderungen zu bezahlen. Die wirklichen Fragen aber sind noch zu stellen.

Der NHS, wie jedes andere Unternehmen, unterliegt den britischen und europäischen Datenschutzgesetzen und muss sich an diese halten. Großbritannien hat eine Datenschutzbehörde, die so genannte ICO (Information Commissioner’s Office), die spezifische Leitlinien für das Gesetz herausgibt und befugt ist, diese Gesetze durchzusetzen. Speziell bietet der ICO einen Leitfaden zum Datenschutzgesetz. Unter Informationssicherheit (Grundsatz 7) heißt es dort:

Entsprechende technische und organisatorische Maßnahmen sind gegen unbefugte oder rechtswidrige Verarbeitung personenbezogener Daten und gegen versehentlichen Verlust oder Zerstörung oder Beschädigung personenbezogener Daten zu treffen.

Der NHS hat es versäumt, das britische Datenschutzgesetz einzuhalten und in Bezug auf die Informationssicherheitsrichtlinien Grundsatz 7 eindeutig versagt. Welche Maßnahmen wird die ICO jetzt ergreifen?

Globale Unternehmen und die NHS gleichermaßen führen Cloud-basierte Architekturen ein. NHS-Mitarbeiter nutzen mobile, Smartphone- und verteilte Cloud-Architekturen sowie Cloud-Anwendungen. Diese moderne Cloud-basierte Architektur stellt eine erhebliche Herausforderung dar, wenn personenbezogene Daten (PII) und sensible PII-Daten unter dem aktuellen britischen Datenschutzgesetz geschützt werden sollen.

Datenschutzregelungen werden schärfer

Das Vereinigte Königreich vollzieht gerade einen dringend benötigten neuen Fokus auf den Schutz von PII und sensiblen Daten. Dies wird angetrieben durch eine bereits vor dem Brexit verabschiedete EU-Datenschutzgrundverordnung (GDPR), die bis zum 25. Mai 2018 Gesetz wird. Sogar nach dem Brexit bedeuten die erhöhten Standards des Datenschutzes unter GDPR, dass es in Großbritannien vollständig für den Schutz der britischen Bürgerdaten umgesetzt werden wird. Die britische ICO hat dies bereits bestätigt.

Die Instruktionen und Richtlinien für die GDPR wurden vor mehr als einem Jahr herausgegeben und Organisationen erhielten zwei Jahre, um die neuen Anforderungen bis zum 25. Mai 2018 umzusetzen. Dies bedeutet, dass Organisationen, die im GDPR als „Verantwortliche“ (im Englischen genauer als Data Controller) definiert sind, mittlerweile mitten in der Umsetzung sein müssen, um den Stichtag einzuhalten. War der NHS bereits soweit damit, GDPR-Anforderungen zu erfüllen? War er“ mit weniger als 12 Monaten zur Umsetzung der Richtlinien bereits mitten im Projekt? Hätte dieser Angriff verhindert werden können, wäre das Unternehmen bereits soweit gewesen?

Bevor wir uns zu sehr auf die IT-Teams des NHS fokussieren: Wo waren die Risk-, Compliance- und Legal-Teams des NHS, die alle für die Einhaltung der britischen Datenschutzgesetze verantwortlich sind? Wie wird der ICO nun auf den NHS reagieren, wenn dieser dem Gesetz nicht nachkommt?

Die Probleme mit dem NHS sollten als Erinnerung an jede Organisation dienen, wie bedeutend Datenschutzgesetze heute sind und wie schnell die GDPR-Gesetze nahen. Jeder CEO und Aufsichtsrat sollte sein Compliance-, Risk-, Legal- und IT-Team daraufhin hinterfragen, wie sicher sie sind. Sind ihre Organisationen in Gefahr, morgen durch Cyber-Attacken in die Schlagzeilen zu geraten? Und scheitert die Organisation dadurch daran, personenbezogene und sensible Daten von Kunden zu schützen?

Die NCC-Gruppe hat die jüngsten ICO-Geldbußen für in Großbritannien ansässige Unternehmen überprüft, die sich nicht an die britischen Datenschutzgesetze gehalten und Kundendaten verloren haben. Es hat daraufhin die Regeln für GDPR-Geldstrafen angewandt und kam zu dem Schluss, dass etwa die gut dokumentierte Strafe für Talk Talk von 880.500 Pfund auf 59 Millionen Pfund gestiegen wäre! Wir müssen also fragen: „Wie hoch wird die Strafe für die NHS und wie hoch wäre sie unter GDPR?“

Der Punkt ist, dass es kein Zufall ist, dass diese Cyber-Angriffe eher mit Unternehmen zusammenhängen, die nicht ausbauen und die neuesten Ansätze zum Schutz der Kunden und ihrer eigenen vertraulichen und sensiblen Daten anschaffen. In der heutigen Ära mit verteilten und Cloud-basierten Architekturen sowie einer weit verteilten Belegschaft, die Smartphones und IoT verwendet, ist es niemals einfach, sich gegen solche Angriffe mit traditionellen IT-Sicherheitsansätzen zu schützen. Datenschutz ist kein statisches Ziel, es bewegt sich immer weiter. Um Cyber-Angreifern erfolgreich abzuwehren, müssen Sie neue Strategien entwickeln und neuen Ansätzen folgen. Der Fokus muss sich von der traditionellen IT-Sicherheit hin zur Konzentration auf Informations- und Datensicherheit bewegen. Mit anderen Worten: Der Fokus liegt auf dem Schutz der Daten selbst – wo immer diese auch sind. Dies macht sensible Daten unbrauchbar im Falle von Cyber-Attacken, die die Daten kompromittieren.

Unter den neuen, deutlich härteren GDPR-Richtlinien wird dieser Fokus als Pseudonymisierung und Anonymisierung von personenbezogenen und sensiblen Daten bezeichnet.  was es nutzlos macht, wenn es in die falschen Hände geriet. Das GDPR erkennt damit an, dass komplexere Cloud-basierte Architekturen das Leben für Cyber-Kriminelle leichter machen, so neue Ansätze zum Schutz vertraulicher und sensibler Daten zunehmend anspruchsvoller werden.

eperi ist ein führender Cloud-Data-Protection-Anbieter (CDP), der passende Lösungen für GDPR-Anforderungen herstellt. eperi hat die größte Herausforderung gelöst, die Verschlüsselungslösungen der ersten Generation nicht ansprechen können: Die geschützten Daten in der Organisation (oder beim Verantwortlichen) nutzbar zu machen, ohne die Stärke der Verschlüsselung zu beeinträchtigen. Die Organisation behält die volle Kontrolle über ihre eigenen Daten, eine wesentliche Voraussetzung für GDPR. Dies bedeutet, dass auch wenn Daten kompromittiert werden, diese völlig unlesbar für Cyber-Kriminelle sind.

Der jüngste Cyber-Angriff auf den NHS sollte als weiterer Beweis dafür dienen, dass keine Organisation immun gegen Cyber-Angreifer ist. Es ist wichtig, dass alle Branchen daraus ihre Lehren ziehen und beurteilen, wo sie am anfälligsten sind. Beginnen sollten sie dabei mit den Daten.