IT-Sicherheitslücke D-Trust: Datenleck betrifft auch Zahnärzte und Justiz
Hauptinhalt
31. Januar 2025, 13:38 Uhr
Von dem IT-Sicherheitsvorfall beim Dienstleister D-Trust sind noch mehr Menschen betroffen als bisher gedacht. Am Mittwoch hatte MDR SACHSEN-ANHALT berichtet, dass die Daten von 300 Ärztinnen und Ärzten betroffen sind – weitere 500 in Sachsen und 400 in Thüringen. Die Firma D-Trust stellt so genannte Signaturkarten her – Plastikkarten, mit denen sich Ärzte an einem Gerät anmelden, um zum Beispiel auf das System der elektronischen Patientenakte zuzugreifen.
- Auch die Justiz in Sachsen-Anhalt und Sachsen könnte betroffen sein.
- Das Datenleck betrifft zahlreiche Mitarbeiter diverser Branchen in ganz Deutschland.
- Eine Geldbuße gegen D-Trust ist mit Hürden verbunden.
Neben Ärzten sind auch Zahnärzte von dem Datenleck beim IT-Dienstleister D-Trust betroffen. Die Zahnärztekammer geht von einer mittleren einstelligen Anzahl in Sachsen-Anhalt aus. Wie viele Zahnärzte in Sachsen betroffen sind, das kann aktuell niemand sagen. Man prüfe das Geschehen aktuell, schreibt die Kassenzahnärztliche Vereinigung in Sachsen auf MDR-Anfrage. Sicherheitsexperten hatten nachweisen können, dass Daten von Ärzten online abrufbar waren, die Daten mit D-Trust teilten.
Thüringens Landesdatenschutzbehörde hat in den vergangenen Tagen Meldungen von der Kassenzahnärztlichen Vereinigung, der Landesärztekammer und der Thüringer Landeszahnärztekammer erhalten. Insgesamt seien mehr als 540 Personen gemeldet worden, schreibt Thüringens Datenschützer auf MDR-Anfrage. Unklar sei für den Datenschützer allerdings noch, "ob die Anzahl auf Thüringen bezogen ist oder deutschlandweit".
Justiz: Auswirkungen in Sachsen-Anhalt und Sachsen unklar
Die Karten von D-Trust werden auch in der Justiz genutzt. Weil die in Sachsen-Anhalt kaum digital arbeitet, sind wohl hier nur wenige betroffen. Sachsen-Anhalts Justizministerium schreibt, es sei nicht auszuschließen, dass die Namen einzelner Bediensteter und deren dienstliche E-Mail-Adressen betroffen seien. Sachsens Justizministerium versucht herauszufinden, ob und wie viele Bedienstete der sächsischen Justiz betroffen sind. Auf MDR-Anfrage schreibt das Ministerium, man habe bereits zweimal Auskunft bei D-Trust verlangt – ohne Erfolg.
Die Beschäftigten in Gerichten in Sachsen-Anhalt wurden in der vergangenen Woche gebeten, besonders wachsam und äußerst vorsichtig im Umgang mit E-Mails zu sein. Das geht aus einem Schreiben hervor, das dem MDR vorliegt und an alle Gerichte im Land ging. Darin heißt es: "Seien Sie äußerst vorsichtig bei E-Mails von angeblichen Banken oder Behörden, die Ihre geheimen Passwörter, PIN’s u.a. abfragen und Sie dazu auf bestimmte Webseiten verführen wollen!"
Das Schreiben ging auch an die IT-Leitstelle für den Justizvollzug und den Sozialen Dienst der Justiz. Weiter heißt es darin, die ausgegebenen Signatur- und Siegelkarten würden funktionieren und seien sicher. "Die Karten können weiter wie gewohnt genutzt werden."
Zahlreiche Branchen in ganz Deutschland betroffen
Das ist plausibel. Denn bei dem Vorfall wurde gezeigt, dass Daten aus dem System mitgelesen werden konnten, mit dem Ärzte oder Justizangestellte ihre Signatur- und Siegelkarten bei D-Trust beantragen. "Die Daten wurden ausgelesen, eine Manipulation bzw. Veränderung der Antragsdaten hat nicht stattgefunden", schreibt D-Trust auf seiner Internetseite und spricht dabei von einem Angriff. Man habe Schutzmaßnahmen ergriffen.
Nach MDR-Informationen sind mindestens 65.000 Menschen in Deutschland betroffen – darunter Ärzte, Justizangestellte, Richter, Gerichtsvollzieher, Rechtsanwälte. Der Nachrichtengentur dpa zufolge sind bundesweit 10.000 Ärztinnen und Ärzte betroffen, davon, nach MDR-Informationen, 1.200 in Sachsen, Sachsen-Anhalt und Thüringen.
Hacker wollte wohl auf Sicherheitslücken aufmerksam machen
D-Trust stellt auch Signaturkarten für Bürgerämter, Sicherheitsbehörden und für Finanz-, Handels- und Industrieunternehmen her. Alle Beteiligten kommen aber wohl mit dem Schrecken davon: Denn den Vorfall verursacht hat vermutlich ein Hacker, der auf das Sicherheitsproblem aufmerksam machen wollte.
Der Chaos Computer Club (CCC) wirft D-Trust Inkompetenz und mangelnde Sorgfalt vor. D-Trust habe die Daten ohne angemessenen Schutz dauerhaft ins Internet gestellt und so zugänglich gemacht, so der CCC, der sich als Verein von Hackern der Computersicherheit verschrieben hat. Der CCC hat offensichtlich Kontakt zu dem Verursacher des Datenlecks und versichert, dass alle Daten restlos gelöscht wurden.
D-Trust hat Anzeige erstattet. Nach wie vor fällt in Deutschland diese Art, Sicherheitslücken aufzudecken, unter den sogenannten Hackerparagrafen und gilt als strafbar. Viele IT-Sicherheitsexperten bewerten solche Vorfälle als ethisches Hacken und zivilgesellschaftliches Engagement. Unabhängig von der Strafbarkeit gilt der Vorfall eindeutig als meldepflichtig nach der Datenschutzgrundverordnung.
Geldbuße gegen D-Trust ist fraglich
Unklar ist bislang, ob die zuständige Bundesdatenschützerin eine Geldbuße verhängen will. D-Trust ist eine 100-prozentige Tochter des Bundes. Und Datenschützer können hierzulande eigentlich keine Bußgelder gegen andere Behörden verhängen – anders als in anderen Ländern, die die Datenschutzgrundverordnung der EU strenger auslegen.
Aus Sicht der Landesärztekammer Thüringen zeige der Vorfall, wie notwendig eine funktionierende Sicherheitsstruktur und der Schutz sensibler Daten seien, insbesondere im Hinblick auf die elektronische Patientenakte. Das Bundesgesundheitsministerium teilte der dpa mit, dass durch den Vorfall weder die elektronische Patientenakte noch IT-Infrastruktur gefährdet worden seien.
Dieses Thema im Programm: MDR SACHSEN-ANHALT | 29. Januar 2025 | 12:00 Uhr
