Datensicherheit

Datenschutzvorfall bei D-Trust

Bei dem Datenschutzvorfall der D-Trust GmbH, einem Unternehmen der Bundesdruckerei und Auftragsverarbeiterin der KZV Nordrhein im Ausgabeprozess des elektronischen Praxis- bzw. Institutionsausweises (SMC-B), sind auch personenbezogene Daten von Mitgliedern der KZV Nordrhein entwendet worden. Die betroffenen Vertragszahnärzte und Vertragszahnärztinnen sind durch die KZV Nordrhein informiert worden.
Von Vertragswesen (Anne Schwarz)
Erstellt am 28. Januar 2025
Ein Sicherheitsschloss inmitten elektronischer Datenströme. © emil – stock.adobe.com

Keine Manipulation der Antragsdaten

Nach bisherigem Stand der Auswertung durch die D-Trust GmbH handelt es sich bei den abgerufenen und möglicherweise entwendeten personenbezogenen Daten um 

  • Vor- und Nachname, 

  • E-Mail-Adresse, 

  • Geburtsdatum, 

  • gegebenenfalls Adressdaten sowie 

  • gegebenenfalls Nummer des Ausweisdokuments.

Die Daten wurden ausgelesen, eine Manipulation bzw. Veränderung der Antragsdaten hat nach Angaben von D-Trust nicht stattgefunden. Nach Auskunft von D-Trust sind zudem keine Zugänge (Login, Passwortdaten) oder Zahlungsinformationen abgerufen worden. 

Die Funktion und Sicherheit der ausgegebenen SMC-B-Karten sind hiernach nicht beeinträchtigt. Die Karten können laut D-Trust weiter wie gewohnt genutzt werden. 

Die KZV Nordrhein behandelt den Datenschutzvorfall mit höchster Priorität. Wir befinden uns in enger Abstimmung mit D-Trust und der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, der die KZV Nordrhein den Vorfall am 20.01.2025 gemeldet hat.

Informationen der D-Trust GmbH

Die D-Trust GmbH informiert zum Vorfall auf ihrer Website.
   

Infos zum D-Trust-Datenschutzvorfall

Hintergrundinformationen der gematik

Die D-Trust GmbH hat am 13. Januar 2025 einen Datenschutzvorfall in ihrem Antragsportal für Signatur- und Siegelkarten festgestellt. Die gematik wurde dazu informiert. Laut aktueller Meldung der D-Trust hat das Unternehmen ein Schreiben des Chaos Computer Clubs (CCC) erhalten, in dem der Angriff einem „anonymen Sicherheitsforscher“ [sic!] zugeschrieben wird. Aus dem Schreiben geht hervor, dass die abgegriffenen Daten gelöscht worden seien. D-Trust wertet das Schreiben derzeit aus.

Nach aktuellem Kenntnisstand sind durch den Datenschutzvorfall keine negativen Auswirkungen auf die Sicherheit der Telematikinfrastruktur und somit auf die elektronische Patientenakte für alle oder weitere Anwendungen gegeben. Die Funktion und Sicherheit der ausgegebenen Signatur- und Siegelkarten sowie eHBA und SMC-B-Karten sind nicht beeinträchtigt. 

Der Anbieter D-Trust ist selbst für die Sicherheit der Antragsportale zuständig. Grundsätzlich ist die TI durch ein mehrstufiges Sicherheitskonzept geschützt, das eng mit den obersten Sicherheits- und Datenschutzbehörden abgestimmt und umgesetzt wird.

Von: gematik