Ransomware-Angriff: Mangelhafte Datensicherung führt zu Totalverlust
Der aktuelle Tätigkeitsbericht 2025 der Landesbeauftragten für den Datenschutz Brandenburg (LDA) dokumentiert einen abgeschlossenen Fall (S. 47), der die Grenzen rein formaler Backup-Konzepte verdeutlicht: Eine Arztpraxis meldete der Aufsichtsbehörde nach Art. 33 DS-GVO eine Datenschutzverletzung infolge eines Ransomware-Angriffs. Betroffen waren rund 75 Gigabyte medizinischer und administrativer Daten von über 8.000 Patientinnen und Patienten. Ein Datenabfluss konnte durch einen hinzugezogenen IT-Dienstleister zwar ausgeschlossen werden, die Verschlüsselung führte jedoch zu einem vollständigen und irreversiblen Datenverlust.
Ursache: Fehlerhafte Umsetzung der 3-2-1-Backup-Regel
Im Rahmen der Anhörung stellte die LDA fest, dass die Praxis zwar grundsätzlich nach der dem Stand der Technik entsprechenden 3-2-1-Regel sichern wollte – drei Kopien auf mindestens zwei unterschiedlichen Speichermedien, davon eine räumlich getrennt aufbewahrt. In der praktischen Umsetzung waren jedoch sämtliche als Sicherungsmedien genutzten Festplatten dauerhaft parallel am produktiven IT-System angeschlossen. Dadurch konnte die Schadsoftware auch auf die Backup-Datenträger zugreifen und diese mitverschlüsseln. Eine unverschlüsselte, isolierte Kopie zur Wiederherstellung existierte im Ergebnis nicht.
Bewertung durch die Aufsichtsbehörde
Die LDA wertete dies als Verstoß gegen Art. 32 Abs. 1 lit. b und c DS-GVO: Weder die Verfügbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten noch eine zeitnahe Wiederherstellbarkeit nach dem Vorfall waren gewährleistet. Die Behörde sprach gegenüber der Praxis eine Verwarnung gemäß Art. 58 Abs. 2 lit. b DS-GVO aus und erteilte konkrete Hinweise zur Verbesserung der Datensicherungsmaßnahmen.
Praxisrelevanz
Der Fall macht deutlich: Allein die organisatorische Festlegung eines Backup-Konzepts genügt nicht den Anforderungen des Art. 32 DS-GVO – entscheidend ist dessen tatsächliche, technisch korrekte Umsetzung. Eine physisch oder logisch getrennte, vom Produktivsystem isolierte Sicherungskopie ist essenziell, um auch bei Ransomware-Angriffen eine Wiederherstellung der Daten zu gewährleisten.
(Foto: emwe studio – stock.adobe.com)
Das könnte Sie auch interessieren
-
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren -
Datenschutz, Informationssicherheit und KI als integriertes Prüffeld der Internen Revision
Der DIIR-Arbeitskreis „Datenschutz & Data Governance“ hat seinen bewährten Leitfaden zur Internen Revision und Datenschutz sowie die begleitende Checkliste zur Prüfung der Datenschutzorganisation grundlegend überarbeitet und als Version 3.0 veröffentlicht. Beide Dokumente reagieren auf die erheblich veränderten regulatorischen und technologischen Rahmenbedingungen der letzten Jahre. Erweiterter Themenrahmen: KI und Informationssicherheit neu integriert Datenschutz ist längst kein
Mehr erfahren -
Social Media: LfDI aktualisiert Handlungsrahmen
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat seinen Handlungsrahmen für die Nutzung von Social Media durch öffentliche Stellen in aktualisierter Fassung veröffentlicht. Das Dokument trägt der gewachsenen Realität Rechnung, dass Plattformen wie Facebook, TikTok oder X längst zu regulären Kommunikationskanälen von Behörden geworden sind — und schafft dafür klare datenschutzrechtliche Leitplanken.
Mehr erfahren
