UK ICO verhängt Geldstrafe in Höhe von 3,07 Millionen Pfund gegen Advanced wegen Mängeln bei der Datensicherheit nach einem Ransomware-Angriff
- Autor: Zoe-Marie Jaeger, DP-Dock GmbH
- Letzte Aktualisierung: April 2025
- Kategorie: Rechtsdurchsetzung
Die britische Datenschutzbehörde ICO (Information Commissioner's Office) hat gegen Advanced, einen führenden IT-Dienstleister, eine Geldstrafe in Höhe von 3,07 Millionen Pfund verhängt, weil das Unternehmen nach einem großen Ransomware-Angriff im Jahr 2022 sensible Daten nicht geschützt hatte. Durch den Angriff wurden kritische Systeme des NHS (des staatlich finanzierten Gesundheitssystems in England) und anderer Organisationen des öffentlichen Sektors kompromittiert, wodurch vertrauliche Patienten- und Geschäftsdaten offengelegt wurden.
Die Untersuchung des ICO ergab, dass Advanced es versäumt hatte, angemessene Cybersicherheitsmaßnahmen in Bezug auf unzureichende Zugangskontrollen und das Versäumnis, Schwachstellen ordnungsgemäß zu flicken, umzusetzen, wodurch das System Cyberbedrohungen ausgesetzt war. Der Angriff führte zu einer Unterbrechung der NHS-Dienste und beeinträchtigte wichtige Abläufe wie Patientenüberweisungen und Notfallversorgungssysteme.
Letztes Jahr im August sollte gegen Advanced eine Geldstrafe in Höhe von 6,09 Millionen Pfund verhängt werden. Da der IT-Dienstleister jedoch proaktiv mit den Behörden zusammenarbeitete, einigten sich beide Parteien auf einen freiwilligen Vergleich in Höhe von 3,07 Mio. GBP.
John Edwards, der britische Informationsbeauftragte, betonte, dass Unternehmen, die mit sensiblen Daten umgehen, die höchsten Sicherheitsstandards einhalten müssen, um solche Verstöße zu verhindern. „Angesichts der Zunahme von Cyber-Vorfällen in allen Sektoren ist meine heutige Entscheidung eine deutliche Mahnung, dass Organisationen ohne robuste Sicherheitsmaßnahmen Gefahr laufen, das nächste Ziel zu werden“, sagte er.
Nichtsdestotrotz zeigt diese Entscheidung auch, wie wichtig es ist, mit den Aufsichts- und Behörden zusammenzuarbeiten, um geeignete Maßnahmen zu ergreifen, die das Risiko für die Betroffenen mindern und letztendlich die anfänglichen Geldbußen reduzieren. Für Unternehmen außerhalb der EU oder des Vereinigten Königreichs ist es wichtig, einen GDPR-Beauftragten zu finden, der eine gute Kommunikation zwischen allen Parteien ermöglicht. Software-Anbieter nach Ransomware-Angriff im Jahr 2022 zu 3 Millionen Pfund Geldstrafe verurteilt | ICO
