Keine Manipulation der Antragsdaten
Nach bisherigem Stand der Auswertung durch die D-Trust GmbH handelt es sich bei den abgerufenen und möglicherweise entwendeten personenbezogenen Daten um
Vor- und Nachname,
E-Mail-Adresse,
Geburtsdatum,
gegebenenfalls Adressdaten sowie
gegebenenfalls Nummer des Ausweisdokuments.
Die Daten wurden ausgelesen, eine Manipulation bzw. Veränderung der Antragsdaten hat nach Angaben von D-Trust nicht stattgefunden. Nach Auskunft von D-Trust sind zudem keine Zugänge (Login, Passwortdaten) oder Zahlungsinformationen abgerufen worden.
Die Funktion und Sicherheit der ausgegebenen SMC-B-Karten sind hiernach nicht beeinträchtigt. Die Karten können laut D-Trust weiter wie gewohnt genutzt werden.
Die KZV Nordrhein behandelt den Datenschutzvorfall mit höchster Priorität. Wir befinden uns in enger Abstimmung mit D-Trust und der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, der die KZV Nordrhein den Vorfall am 20.01.2025 gemeldet hat.
Informationen der D-Trust GmbH
Die D-Trust GmbH informiert zum Vorfall auf ihrer Website.
Hintergrundinformationen der gematik
Die D-Trust GmbH hat am 13. Januar 2025 einen Datenschutzvorfall in ihrem Antragsportal für Signatur- und Siegelkarten festgestellt. Die gematik wurde dazu informiert. Laut aktueller Meldung der D-Trust hat das Unternehmen ein Schreiben des Chaos Computer Clubs (CCC) erhalten, in dem der Angriff einem „anonymen Sicherheitsforscher“ [sic!] zugeschrieben wird. Aus dem Schreiben geht hervor, dass die abgegriffenen Daten gelöscht worden seien. D-Trust wertet das Schreiben derzeit aus.
Nach aktuellem Kenntnisstand sind durch den Datenschutzvorfall keine negativen Auswirkungen auf die Sicherheit der Telematikinfrastruktur und somit auf die elektronische Patientenakte für alle oder weitere Anwendungen gegeben. Die Funktion und Sicherheit der ausgegebenen Signatur- und Siegelkarten sowie eHBA und SMC-B-Karten sind nicht beeinträchtigt.
Der Anbieter D-Trust ist selbst für die Sicherheit der Antragsportale zuständig. Grundsätzlich ist die TI durch ein mehrstufiges Sicherheitskonzept geschützt, das eng mit den obersten Sicherheits- und Datenschutzbehörden abgestimmt und umgesetzt wird.
Von: gematik