D-Trust: Daten von mindestens 10.000 Ärzten ausgelesen

Berlin – Bei einem Datenschutzvorfall bei einem Dienstleister des Bundes sind offenbar personenbezogene Daten von mehr als 10.000 Ärzten ausgelesen worden. Diese Zahl nannte heute die Deutsche Presseagentur.

Das zur Bundesdruckerei-Gruppe gehörende Unternehmen D-Trust teilte dem Deutschen Ärzteblatt am Abend mit, die genannten Zahlen habe die Unternehmenskommunikation der D-Trust nicht bekannt gegeben. Bezüglich der Anzahl der betroffenen Ärzte handele es sich um „eine Vermutung, die nicht auf den Aussagen der D-Trust beruht“.

Vor dem Hintergrund der laufenden Ermittlungen könne man „zum jetzigen Zeitpunkt keine weiteren Informatio­nen zum Datenschutzvorfall im Antragsportal der D-Trust veröffentlichen“, hieß es von D-Trust auf Anfrage. Es seien aber alle Betroffenen des Datenschutzvorfalls „zeitnah persönlich informiert“ worden.

Das Unternehmen wies zudem darauf hin, es handele sich bei den abgerufenen und möglicherweise entwendeten personenbezogenen Daten um Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und in einigen Fällen Adress- und Ausweisdaten. „Die Daten wurden ausgelesen, eine Manipulation beziehungsweise Veränderung der Antrags­daten hat nicht stattgefunden.“

Der Vorfall ereignete sich nach Angaben des Dienstleisters bereits am 13. Januar. Der Chaos Computer Club (CCC) teilte zuletzt mit, dass ein Sicherheitsforscher ohne kriminelle Absicht die Sicherheitslücke gemeldet habe. Die Daten seien restlos gelöscht worden.

Der CCC hatte von D-Trust eingefordert, die Sicherheitslücke öffentlich anzuerkennen. Diese sei durch nichts zu rechtfertigen. Sie verlangten auch, dass das Unternehmen anerkennt, dass die Daten unter Verletzung von Datenschutzvorgaben und IT-Sicherheitsanforderungen gesammelt und online bereitgestellt worden seien. Darüber hinaus verlangte es eine Strafe, die vom Bundesbeauftrag­ten für Datenschutz und Informationsfreiheit ausgesprochen werden sollte.

Das Unternehmen D-Trust stellt unter anderem den elektronischen Praxisausweis her, mit dem sich unter anderem Praxen oder Krankenhäuser für den Zugriff auf Daten im Gesundheitswesen autorisieren.

Der Vorfall zeige einmal mehr, wie wichtig Daten­sicherheit und Datenschutz im Gesundheitswesen seien, teilte die Ärztekammer Nordrhein mit.

Allein dort seien 2.000 Mitglieder der Ärztekammer von dem Angriff betroffen. Wie zahlreiche Landes­ärztekammern mitteilten, sind in den Bundeslän­dern zwischen 300 und 2.100 Ärztinnen und Ärzte betroffen.

Aus Sicht der Landesärztekammer Thüringen mache der Vorfall die Notwendigkeit einer funktionie­ren­den Sicher­heitsstruktur sowie des Schutzes sensib­ler Daten, insbesondere im Hinblick auf die elektro­nische Patientenakte (ePA), deutlich.

Diese wird seit Mitte Januar in einigen Testregionen in Deutschland eingeführt und erprobt, bevor sie bundesweit zum Einsatz kommen soll.

Sie soll ein digitaler Speicher etwa für Befunde, Laborwerte und Angaben zu Medikamenten sein und Patienten ein Leben lang begleiten.

Man kann die ePA über Apps der Krankenkassen selbst am Smartphone ansehen. Das Bundesgesundheitsminis­terium (BMG) teilte mit, dass durch den Angriff weder die elektronische Patientenakte noch IT-Infrastruktur gefährdet worden seien.

Korrektur: In einer ersten Version war die Rede davon, dass das zur Bundesdruckerei-Gruppe gehörende Unter­nehmen D-Trust die Informationen bekannt gegeben hat. Das ist nicht der Fall. Die Meldung wurde am 31. Januar aktualisiert.

dpa/may