Salta al contenuto
PL Consulting
IT DE
Mit einem Berater sprechen

← Alle

Die lokale Gesundheitsbehörde von Matera hat einen schwerwiegenden Cyberangriff erlitten, bei dem sensible Daten, einschließlich Gesundheitsdaten, von fast 100.000 Personen gestohlen wurden

Garante per la protezione dei dati personali · IT · 29. April 2026 · Sanktion € 8.600

Vollständigen Beschluss lesen ↗

Auf einen Blick

Die Azienda Sanitaria Locale di Matera hat einen schwerwiegenden Cyberangriff erlitten, bei dem sensible Daten, einschließlich Gesundheitsdaten, von fast 100.000 Personen gestohlen wurden. Der Garante Privacy hat das Unternehmen mit einer Geldstrafe belegt, da seine Cyberabwehr nicht ausreichte, um den Angriff rechtzeitig zu verhindern oder zu erkennen, obwohl der Angriff raffiniert war. Dieser Fall unterstreicht, dass auch öffentliche Verwaltungen ständig in Cybersicherheit investieren müssen und sich nicht allein auf alte Regeln oder mangelnde Mittel berufen können, um Mängel zu rechtfertigen.

Was zu tun ist

  • Überprüfen Sie, ob Ihre IT-Systeme gut gegen Angriffe geschützt sind (z. B. mit aktualisierten Firewalls und Antivirenprogrammen)
  • Stellen Sie sicher, dass die wichtigsten Daten getrennt und für böswillige Akteure schwerer zugänglich sind
  • Verwenden Sie Zugangssysteme, die mehr als nur ein einfaches Passwort erfordern (Zwei-Faktor-Authentifizierung)
  • Aktualisieren Sie regelmäßig alle Software und Betriebssysteme
  • Schulen Sie Ihr Personal darin, wie Cyberrisiken erkannt und gehandhabt werden können

Was zu vermeiden ist

  • Verschieben Sie keine Aktualisierungen Ihrer IT-Systeme
  • Lassen Sie sensible Daten nicht ohne angemessenen Schutz offen liegen
  • Unterschätzen Sie nicht die Risiken von Cyberangriffen, auch wenn Sie ein kleines Unternehmen sind
  • Verwenden Sie nicht nur einfache Passwörter, um auf kritische Systeme zuzugreifen

Hintergrund

Die Azienda Sanitaria Locale di Matera wurde Opfer eines Ransomware-Angriffs der Gruppe „Rhysida“, der zur Verschlüsselung der Systeme und zur Exfiltration von rund 600 GB administrativer und gesundheitsbezogener Daten von 95.362 Betroffenen führte. Der Angriff erfolgte durch die Ausnutzung kompromittierter Zugangsdaten und Schwachstellen im RIS/PACS-System. Das Unternehmen meldete die Datenpanne dem Garante und arbeitete mit ACN, der Polizia Postale und einem Incident-Response-Unternehmen zusammen. Die Untersuchungen ergaben, dass das Unternehmen über ein SIEM-System verfügte, das die Firewall-Logs nicht erfasste, eine begrenzte Netzwerksegmentierung, veraltete Betriebssysteme und keine Multifaktor-Authentifizierung für den Fernzugriff aufwies.

Die Entscheidung

Der Garante stellte fest, dass die Azienda Sanitaria Locale di Matera gegen Art. 5 Abs. 1 lit. f) (Grundsatz der Integrität und Vertraulichkeit) und Art. 32 (Sicherheit der Verarbeitung) der DSGVO verstoßen hat. Die Verstöße wurden im Zusammenhang mit der Nichtumsetzung angemessener Maßnahmen zur rechtzeitigen Erkennung der Verletzung (falsch konfiguriertes SIEM, Fehlen eines SOC, Sicherheitspersonal nur während der Bürozeiten) und zur Gewährleistung der Systemsicherheit (begrenzte Netzwerksegmentierung, veraltete Systeme, Fehlen von MFA für Fernzugriffe) festgestellt. Der Garante verhängte eine Verwaltungsstrafe von 8.600,00 Euro, die trotz des nicht vorsätzlichen Charakters der Verletzung (Angriff durch Dritte) als wirksam, verhältnismäßig und abschreckend erachtet wurde. Er ordnete die Veröffentlichung der Anordnung auf der Website des Garante und die Zahlung innerhalb von 30 Tagen an.

Ratio decidendi Die Verpflichtung des Verantwortlichen, angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen, ist dynamisch und erfordert eine kontinuierliche Risikobewertung, auch im Lichte der technologischen Entwicklung und der Cyberbedrohungen. Die bloße Einhaltung veralteter sektoraler Leitlinien (wie der AgID-Leitlinien von 2017) erschöpft diese Verpflichtung nicht, insbesondere in Hochrisikokontexten wie der Verarbeitung von Gesundheitsdaten in großem Umfang. Die Nichtimplementierung eines effektiven SIEM, einer angemessenen Netzwerksegmentierung, der Aktualisierung der Systeme und der Multifaktor-Authentifizierung machte das Unternehmen anfällig und verstieß gegen den Grundsatz der Integrität und Vertraulichkeit sowie die Sicherheitsanforderungen.

Verletzte DSGVO-Artikel

ArtikelBeschreibungRelevanz
5 par.1 lett.f
GDPR 		Grundsatz der Integrität und Vertraulichkeit personenbezogener Daten, die so verarbeitet werden müssen, dass eine angemessene Sicherheit gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung. das unternehmen hat aufgrund von systemschwachstellen und unzureichendem sicherheitsmanagement keine angemessene sicherheit personenbezogener daten gewährleistet, was zu einer datenpanne mit datenexfiltration führte.
32
GDPR 		Verpflichtung des Verantwortlichen, angemessene technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wobei der Stand der Technik, die Implementierungskosten sowie die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung zu berücksichtigen sind. das unternehmen hat keine angemessenen technischen und organisatorischen maßnahmen ergriffen, um die verletzung rechtzeitig zu erkennen (ineffizientes siem, fehlen eines soc) und die systemsicherheit zu gewährleisten (begrenzte netzwerksegmentierung, veraltete systeme, fehlen von mfa), wodurch die daten dem risiko einer kompromittierung ausgesetzt waren.

Auferlegte Maßnahmen

Zahlung einer Geldbuße; Veröffentlichung der Anordnung auf der Website des Garante

Sanktion

Der Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 der Verordnung, verursacht durch das Verhalten des Unternehmens, unterliegt der Anwendung der Verwaltungsstrafe gemäß Art. 83 Abs. 4 und 5 der Verordnung. Der Betrag wurde unter Berücksichtigung der hohen Anzahl betroffener Personen und der Kategorie der personenbezogenen Daten (Gesundheit), die besonders sensibel sind, sowie des Schweregrads des Verstoßes als „hoch“ festgelegt, trotz des nicht vorsätzlichen Charakters des Verstoßes (Angriff durch einen böswilligen Dritten). Die Sanktion wurde als wirksam, verhältnismäßig und abschreckend erachtet.

Fristen: innerhalb von 30 Tagen nach Zustellung dieser Anordnung

Praktische Auswirkungen

Diese Maßnahme unterstreicht die entscheidende Bedeutung der Einführung und Aufrechterhaltung angemessener und ständig aktualisierter Cybersicherheitsmaßnahmen, insbesondere für Organisationen, die sensible Daten in großem Umfang verarbeiten, wie die ASL. Es reicht nicht aus, sich an allgemeine oder veraltete Leitlinien zu halten; es ist vielmehr eine kontinuierliche und dynamische Risikobewertung erforderlich, die die Entwicklung von Cyberbedrohungen berücksichtigt. Das Fehlen eines effektiven SIEM, eine unzureichende Netzwerksegmentierung, veraltete Systeme und das Fehlen einer Multifaktor-Authentifizierung waren schwerwiegende Mängel. Die Zusammenarbeit mit der Behörde und die rechtzeitige Meldung der Datenpanne wurden als mildernde Umstände berücksichtigt, schlossen die Sanktion jedoch nicht aus. Insbesondere öffentliche Verwaltungen müssen Schwierigkeiten im Zusammenhang mit Haushaltsbeschränkungen und Personalmängeln im IT-Bereich überwinden, proaktiv in Cybersicherheit und Schulungen investieren und sich auf regionaler oder nationaler Ebene effektiv koordinieren.

Fragen zur Selbsteinschätzung

  • Haben wir eine aktuelle und spezifische Risikobewertung unserer Verarbeitungen für die aktuellen Bedrohungen?
  • Ist unser SIEM oder System zur Überwachung von Sicherheitsereignissen so konfiguriert, dass es Protokolle von allen relevanten Quellen sammelt?
  • Ist unser Sicherheitspersonal 24/7 verfügbar oder haben wir einen externen SOC-Dienst?
  • Ist unser Netzwerk angemessen segmentiert, um die kritischsten Daten und Systeme zu schützen?
  • Verwenden wir Multifaktor-Authentifizierung für alle Fernzugriffe und administrativen Benutzerkonten?
  • Werden unsere Betriebssysteme und Anwendungen ständig aktualisiert und von den Anbietern unterstützt?
  • Haben wir gut definierte und getestete Verfahren zur Verwaltung von Sicherheitsvorfällen?
  • Wird unser Personal regelmäßig in Cybersicherheit und Datenschutz geschult?

Verweise

EDPB-Leitlinien: Linee guida n. 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD · Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Nationales Recht: D.Lgs. 196/2003 · Legge n. 689 del 24 novembre 1981 · D.lgs. n. 150 del 1° settembre 2011 · Legge 90/2024 · D.lgs. n. 138 del 4 settembre 2024 · D.lgs. n. 65 del 18.05.2018

Verwandte Entscheidungen

[10057610] Beschluss Nr. 10057610