Die schwedische Datenschutzbehörde Integritetsskyddsmyndigheten (IMY) hat eine Untersuchung eingeleitet, nachdem bei einer großen Datenschutzverletzung personenbezogene Daten von rund 1,5 Millionen Personen offengelegt wurden.
Der Vorfall geht auf den August zurück, als der IT-Anbieter Miljödata von einem groß angelegten Ransomware-Angriff betroffen war. Der Anbieter bedient kommunale und regionale Kunden in ganz Schweden, darunter Gebiete wie Gotland, Halland, Kalmar, Varberg, Umeå, Luleå, Kiruna, Mönsterås, Karlstad und Skellefteå. Berichten zufolge betraf der Verstoß mehr als 200 Gemeinden und Regionen.
Hackern ist es gelungen, auf große Mengen an persönlichen Daten im Dark Web zuzugreifen und diese zu veröffentlichen. Zu den kompromittierten Daten gehören Namen, ärztliche Atteste, Rehabilitationspläne, Aufzeichnungen über Arbeitsunfälle und andere sensible Gesundheitsdaten. IMY sagte, das volle Ausmaß des Verstoßes sei noch nicht geklärt, betonte aber die Schwere des Vorfalls.
Schwedens Minister für Zivilschutz, Carl-Oskar Bohlin, äußerte sich öffentlich zur Lage. In einer Erklärung, die auf X gepostet wurde, wies er darauf hin, dass die Regierung solche Cyberangriffe und IT-Vorfälle sehr ernst nehme, und räumte die Besorgnis und Unsicherheit ein, mit der die Opfer konfrontiert sein könnten.
Das IMY hat detaillierte Ermittlungen gegen Miljödata und mehrere betroffene Organisationen eingeleitet, darunter die Stadt Göteborg, die Gemeinde Älmhult und die Region Västmanland. Die Regulierungsbehörde deutete an, dass sie ihre Überprüfung auf andere Unternehmen ausweiten könnte. Jenny Bård, Leiterin der Abteilung für Kameraüberwachung am IMY, sagte, der Verstoß “wirft eine Reihe von Fragen darüber auf, wie die Sicherheit aussieht und welche Arten von persönlichen Daten in den Systemen gespeichert wurden”.
Zu diesem Zeitpunkt hat IMY noch keinen Zeitplan für den Abschluss der Untersuchung genannt, und Miljödata hat noch nicht öffentlich bekannt gegeben, wie es den Ransomware-Akteuren gelungen ist, in seine Systeme einzudringen.
Der Fall unterstreicht das Risiko, das von IT-Drittanbietern ausgeht. Ein einziger Lieferantenverstoß hat Auswirkungen auf eine große Anzahl öffentlicher Einrichtungen und die Gesundheitsdaten eines erheblichen Teils der schwedischen Bevölkerung. Beobachter sagen, dass dies zu einer weiteren Überprüfung der Art und Weise führen könnte, wie Organisationen des öffentlichen Sektors ihre Dienstleister auswählen und überwachen. Da Gesundheits- und Berufsdaten hochsensibel sind, können betroffene Personen sowohl Datenschutzrisiken als auch potenzieller Diskriminierung ausgesetzt sein, wenn die Informationen missbraucht werden.
Zu den unmittelbaren Herausforderungen für die betroffenen Kommunen gehören die Identifizierung der betroffenen Personen, ihre Benachrichtigung gemäß dem schwedischen Datenschutzgesetz und die Umsetzung von Abhilfemaßnahmen und Überwachungen, um Missbrauch zu verhindern. Kommunale Behörden, die die offengelegten Daten speichern oder verarbeiten, können ebenfalls mit Reputationsschäden und behördlichen Sanktionen rechnen.
In ganz Europa achten die Aufsichtsbehörden genau auf solche Vorfälle. Schwedens Untersuchung spiegelt die allgemeine Besorgnis wider, dass Ransomware-Angriffe auf Dienstanbieter zu groß angelegten Vorfällen mit personenbezogenen Daten führen können. In diesem Fall könnten bereits mehr als eineinhalb Millionen Menschen Daten öffentlich zugänglich gemacht haben, was die Dringlichkeit der Reaktion der Regulierungsbehörde erhöht.
Während die Untersuchungen fortgesetzt werden, argumentiert IMY, dass Lehren gezogen und Schwachstellen behoben werden müssen, damit ähnliche Ereignisse in Zukunft weniger wahrscheinlich sind. Der Schwerpunkt der Regulierungsbehörde liegt auf der Identifizierung potenzieller Mängel, wie z. B. unzureichende Zugangskontrollen, eine schwache Lieferantenaufsicht oder Verzögerungen bei der Erkennung des Einbruchs, die es ermöglichten, dass sich der Verstoß so weit ausbreitete.
Betroffene Personen sollten ihre persönlichen Konten und die relevante Kommunikation überwachen. Da es sich um gesundheitsbezogene Daten handelt, möchten sie möglicherweise nach Anzeichen für ungewöhnliche Kontakte, unerwartete Kommunikation im Gesundheitswesen oder mit Versicherungen sowie Identitätsdiebstahl suchen. Öffentliche Einrichtungen und Einzelpersonen können gleichermaßen von der Stärkung der Multifaktor-Authentifizierung, der Überprüfung der Zugriffsrichtlinien von Anbietern und der Durchführung von Sicherheitsaudits bei ausgelagerten Lieferantenvereinbarungen profitieren.