Schlechte Cybersicherheitspraktiken können eine persönliche strafrechtliche Haftung für CEOs bedeuten

"Was meinen Sie damit, dass ich wegen mangelnder Cybersicherheit ins Gefängnis kommen kann?" ... ist das, was dem ehemaligen Geschäftsführer einer psychotherapeutischen Klinik in Finnland wahrscheinlich durch den Kopf ging. Infolge mangelhafter Cybersicherheitspraktiken und der daraus resultierenden Verletzung, des Diebstahls und der öffentlichen Verbreitung von Aufzeichnungen vertraulicher Patientensitzungen hat ein finnisches Gericht in diesem Fall genau dies beschlossen. Es ist wirklich keine gute Strategie, die Risiken zu ignorieren, und diese ganze Geschichte zeigt genau, warum.

Moment, war hier nicht das Unternehmen das Opfer?

Was auf den ersten Blick wie eine "Schuldzuweisung an das Opfer für das Verbrechen" aussehen könnte, weist einige Nuancen auf, die zu diesem Ergebnis geführt haben und die daraus resultierende Haftstrafe vertretbarer machen.

Ja, oberflächlich betrachtet mag es so aussehen, als sei das Unternehmen Opfer eines Cyberangriffs geworden. Die Entscheidung des Gerichts, den Ex-CEO zur Rechenschaft zu ziehen, geht jedoch über diese einfache Sichtweise hinaus. Die Details dieses Falles offenbaren mehrere Schlüsselfaktoren, die zu den Anklagen und der schließlich zur Bewährung ausgesetzten Haftstrafe beigetragen haben.

In erster Linie hat das Unternehmen es versäumt, die GDPR-Anforderungen bezüglich der Pseudonymisierung und Verschlüsselung von Patientendaten einzuhalten. Durch dieses Versäumnis waren die sensiblen Informationen von Zehntausenden von Patienten anfällig für Diebstahl und unbefugten Zugriff. Die Datenbank des Therapiezentrums speicherte die persönlichen Informationen und Sitzungsnotizen der Patienten im Klartext und ohne jegliche Form einer angemessenen Verschlüsselung. Folglich konnte der Angreifer die Notizen und Krankenakten einzelner Therapeuten leicht mit den persönlichen Daten der Patienten abgleichen.

Darüber hinaus stellte das Gericht fest, dass die Handlungen des ehemaligen Geschäftsführers aufgrund des Ausmaßes der Datenverletzung und der Sensibilität der betroffenen Informationen besonders verwerflich waren. Das Gericht war der Ansicht, dass die Schwere der Straftat eine unbedingte Gefängnisstrafe rechtfertigte. In Anbetracht des sauberen Strafregisters des Ex-CEO Strafregisters und anderer Umständeeinigte sich das Gericht schließlich auf eine Bewährungsstrafe.

Darüber hinaus ergab die Untersuchung, dass der CEO und die IT-Manager von den Sicherheitsproblemen, der Datenpanne und den anschließenden Erpressungsforderungen wussten. Anstatt den Vorfall den Behörden zu melden, ordnete der CEO an, alle Beweise im Zusammenhang mit den Verstößen und Erpressungsversuchen zu unterdrücken. Diese Untätigkeit und der Versuch, die Vorfälle zu vertuschen waren wesentliche Faktoren für die Entscheidung des Gerichts, den ehemaligen CEO zur Verantwortung zu ziehen. Auch wenn die Verurteilung des Vorstandsvorsitzenden am wichtigsten war, war er nicht die einzige Person, gegen die in dieser Situation wegen Fahrlässigkeit ermittelt wurde, und Auch andere hochrangige Führungskräfte des Unternehmens wurden auch andere hochrangige Führungskräfte des Unternehmens wurden wegen ihres Handelns bzw. ihrer Untätigkeit bei der Gewährleistung angemessener Sicherheitsmaßnahmen untersucht.

Auswirkungen des Hacks

Der Hack des Psychotherapiezentrums Vastaamo war eine massive Datenpanne mit weitreichenden Folgen sowohl für die Opfer als auch für das Unternehmen. Den Angreifern gelang es, hochsensible Informationen von Zehntausenden von Patienten zu stehlen, darunter Patientenakten, Notizen zu Therapiesitzungen, Tagebücher, Diagnosen und Kontaktinformationen. Erschwerend kam hinzu, dass einige dieser Dateien im Dark Web veröffentlicht wurden, wodurch die persönlichsten und vertraulichsten Informationen der Opfer der Öffentlichkeit preisgegeben wurden.

Die Auswirkungen auf die Opfer waren verheerend. Da ihre sensiblen Daten kompromittiert wurden, drohte vielen Patienten eine Beeinträchtigung ihrer psychischen Gesundheit, ihrer persönlichen Beziehungen und ihres Berufslebens. Um den Schaden zu begrenzen, forderten die Angreifer Lösegeld sowohl von dem Unternehmen als auch von einzelnen Patienten und Mitarbeitern. Sie drohten damit, weitere Informationen weiterzugeben, wenn ihre Forderungen nicht erfüllt würden. Das Unternehmen und die betroffenen Personen weigerten sich jedoch, die Lösegelder zu zahlen.

Neben den persönlichen Folgen für die Opfer hatte die Datenpanne auch schwerwiegende Auswirkungen für Vastaamo als Unternehmen. Die öffentliche Enthüllung der sensiblen Informationen und das Versäumnis des Unternehmens, die Daten zu sichern und zu schützen, führten zu einem Vertrauensverlust in die Organisation. Vastaamo, das mehr als 30 000 Patienten behandelt hatte und als Subunternehmer für mehrere große öffentliche Krankenhausbezirke tätig war, meldete im Februar 2021, nur wenige Monate nach Bekanntwerden der Datenpanne, Konkurs an.

Der Hacker und seine Aktivitäten

Der Hacker hinter dem Vastaamo-Datenbruch zeigten bei ihren Aktivitäten ein hohes Maß an Raffinesse. Es gelang ihnen, in die Systeme des Unternehmens einzudringen und sensible Daten von Zehntausenden von Patienten zu stehlen. Im Laufe der Ermittlungen stellte sich heraus, dass der Hacker Vastaamo im November 2018 und im März 2019 in zwei getrennten Fällen angegriffen hatte. Aufgrund des zeitlichen Abstands zwischen den Verstößen und den Erpressungsversuchen ist es jedoch möglich, dass es sich bei den Tätern nicht um dieselben Personen handelt.

Nach den Sicherheitsverletzungen griffen die Hacker zu Erpressungsmethoden und forderten Lösegeld von dem Unternehmen und einzelnen Patienten und Mitarbeitern. Sie drohten mit der Weitergabe weiterer sensibler Informationen, falls ihre Forderungen nicht erfüllt würden. Der Angreifer veröffentlichte dann einige der gestohlenen Dateien im Dark Web.

Im Laufe der Ermittlungen stellten die Behörden fest, dass die Hauptuntersuchungslinie außerhalb Europas verlief. Es gab auch eine Auslieferung von Frankreich nach Finnland, die in direktem Zusammenhang mit diesem Vorfall zu stehen scheint.

Persönliche Haftung

Der ehemalige Geschäftsführer von Vastaamo, Ville Tapio, wurde persönlich haftbar gemacht, weil er die Anforderungen der Datenschutz-Grundverordnung hinsichtlich der Pseudonymisierung und Verschlüsselung von Patientendaten nicht erfüllt hatte. Dieses Versäumnis beim Datenschutz machte die sensiblen Informationen angreifbar und trug direkt zu der Datenpanne bei. Tapios Handlungen (oder deren Fehlen) spielten eine wichtige Rolle bei der Entscheidung des Gerichts, ihn für das Datenschutzvergehen zur Verantwortung zu ziehen. Berichten zufolge waren ihm die Lücken in der Cybersicherheit des Unternehmens bereits zwei Jahre vor den Vorfällen bekannt, und er hatte es versäumt, auf die Schließung dieser Lücken hinzuwirken, so dass die Sicherheit vertraulicher Informationen über die Kunden des Unternehmens nicht gewährleistet war.

Tapio wurde im Herbst 2020 nach der Enthüllung der Datenpanne von seinem Posten als CEO enthoben. Seine Entlassung aus der Führung des Unternehmens zeigte den Ernst der Lage und die Auswirkungen seiner mangelhaften Cybersicherheitspraktiken. Tapio wurde anschließend wegen Datenschutzverstößen angeklagt und vor Gericht gestellt.

Während der Verhandlung bezeichnete das Gericht Tapios Handlungen als besonders verwerflich aufgrund des Ausmaßes des Verstoßes und des sensiblen Charakters der betroffenen Informationen. Das Gericht war der Ansicht, dass die Schwere der Straftat eine unbedingte Freiheitsstrafe rechtfertigen würde. Nach einer Gesamtbetrachtung der Angelegenheit und unter Berücksichtigung von Tapios einwandfreiem Strafregister beschloss das Gericht jedoch, stattdessen eine dreimonatige Bewährungsstrafe zu verhängen.

Auch wenn Tapio eine tatsächliche Gefängnisstrafe vermieden hat, ist es wichtig zu wissen, dass er nicht freigesprochen wurde. Die Bewährungsstrafe ist immer noch eine strafrechtliche Sanktion und hat erhebliche Auswirkungen auf seinen persönlichen und beruflichen Ruf. Die Verurteilung kann seine Chancen auf eine künftige Anstellung, insbesondere in Vertrauens- oder Autoritätspositionen, beeinträchtigen und könnte lang anhaltende Folgen für sein Privatleben haben.

Es könnte auch anderswo passieren

Für Fachleute im Bereich Cybersicherheit, CISOs und IT-Experten ist dieser Fall eine deutliche Erinnerung daran, dass schlechte Cybersicherheitspraktiken schwerwiegende Folgen haben können, einschließlich strafrechtlicher Anklagen und möglicher Gefängnisstrafen. Es ist von entscheidender Bedeutung, robuste Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, die gesetzlichen Vorschriften einzuhalten und alle auftretenden Vorfälle umgehend zu melden und zu beheben. Wenn Sie die Risiken ignorieren und keine angemessenen Maßnahmen ergreifen, kann dies nicht nur zu einer erheblichen Schädigung des Rufs und der finanziellen Lage Ihres Unternehmens führen, sondern auch persönliche rechtliche Konsequenzen nach sich ziehen. Warten Sie also nicht, bis es zu spät ist - investieren Sie jetzt in die Cybersicherheit Ihres Unternehmens und schützen Sie Ihre Kunden, Ihr Unternehmen und sich selbst.

Zusammenfassung

Artikel Name

Schlechte Cybersicherheitspraktiken können eine persönliche strafrechtliche Haftung bedeuten

Beschreibung

Es ist keine gute Strategie, die Risiken zu ignorieren, und diese ganze Geschichte zeigt genau, warum das so ist, nämlich wegen schlechter Cybersicherheitspraktiken. Lesen Sie hier, warum

Autor

Joao Correia

Name des Herausgebers

TuxCare

Logo des Herausgebers