Wer oder was ist die D-Trust GmbH? Sie ist ein Tochterunternehmen der Bundesdruckerei. In seiner Selbstdarstellung erklärt das Unternehmen: „Die D-Trust GmbH ist ein Unternehmen der Bundesdruckerei-Gruppe… Technologisch ausgereifte Lösungen machen uns zu einem Vorreiter für sichere digitale Geschäftsprozesse und Identitäten. So stärken wir das Vertrauen in die Digitalisierung… Ob digitale Zertifikate, elektronische Signaturen oder andere IT-Lösungen – für unsere Kunden und Partner stellen wir rechtssichere und zertifizierte Vertrauensdienste her, die den höchsten Sicherheitsstandards moderner Infrastrukturen entsprechen…“
Ganz anders klingt die Information zu einem „Datenschutzvorfall“ am 13.01.2025: „Die D-Trust GmbH ist Ziel eines Angriffs auf das Antragsportal für Signatur- und Siegelkarten geworden. Der Angriff wurde am 13.1.2025 festgestellt. Dabei sind möglicherweise personenbezogene Daten von Antragstellern entwendet worden.“ Und weiter – die üblichen Beruhigungspillen, die nach jeder Datenpanne bzw. jedem Hackerangriff verteilt werden: „Nach Aufdecken des Angriffs hat die D-Trust umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen. Die entsprechenden Aufsichtsstellen wurden benachrichtigt, die Betroffenen werden individuell informiert. Es wurde Strafanzeige gegen Unbekannt gestellt. Ein spezialisiertes IT-Sicherheitsteam der D-Trust arbeitet eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären…“
Und zur Telematikinfrastruktur im Gesundheitswesen erklärt die D-Trust GmbH: „Über die Telematikinfrastruktur (TI) werden alle Akteure der gesetzlichen Krankenversicherung digital verbunden. Ärzte, Zahnärzte, Psychotherapeuten, Apotheker und Angehörige anderer Heilberufe bzw. nicht-approbierter Gesundheitsberufe können sektoren- und systemübergreifend Patientendaten sicher austauschen… Vertrauen ist alles! Um die sensiblen Patientendaten vor Missbrauch oder Manipulation zu schützen, haben nur registrierte Nutzer Zugang zur TI, die wie ein geschlossenes Netz aufgebaut ist. Die Kommunikation untereinander erfolgt verschlüsselt. Dafür ist ein elektronischer Praxisausweis oder Institutionsausweis (SMC-B) sowie ein elektronischer Heilberufsausweis (eHBA) nötig. Patienten können also sicher sein, dass ihre Daten nur von den Personen und Institutionen genutzt werden, die dafür berechtigt sind.“
Alles nicht so wild oder bedrohlich, was da passiert ist? Ärztekammern sehen das anders:
Ärztekammer Nordrhein am 17.01.2025: „Da wir derzeit nicht wissen, welche Personen betroffen sind, bitten wir um allgemeine Vorsicht und besondere Wachsamkeit gegenüber Phishing-Mails. Die Bundesärztekammer hat uns heute informiert, dass sie sich in enger Abstimmung mit der D-TRUST und weiteren relevanten Stellen (gematik) befindet, um den Vorfall aufzuklären und weitere Maßnahmen zu koordinieren.“
Ärztekammer Niedersachsen am 18.01.2025: „… sind auch Daten von Mitgliedern der Ärztekammer Niedersachsen (ÄKN) entwendet worden. D-Trust ist als Dienstleister für mehrere Landesärztekammern in Deutschland tätig, insbesondere auch für die ÄKN… ach bisherigen Erkenntnissen sind folgenden personenbezogene Daten betroffen:
- Vor- und Nachname
- E-Mail-Adresse
- Geburtsdatum
- Ggfs. Adressdaten
- Ggfs. Nummer des Ausweisdokument
Welche Mitglieder der ÄKN hiervon konkret betroffen sind, ist aktuell noch nicht bekannt…“
Die D-Trust GmbH erklärt zwar, dass die elektronischen Heilberufsausweis (eHBA), mit denen sich Ärzt*innen und Psychotherapeut*innen in den von der gematik bereitgestellten Diensten anmelden können, von dem „Sicherheitsvorfall“ nicht betroffen und die Gesundheits- und Behandlungsdaten von Patient*innen daher sicher geschützt seien. Ob das bei einem weiteren Angriff aber ebenfalls sichergestellt ist, wird die Zukunft weisen.
In einem Interview, das die taz mit dem ehemaligen Bundesdatenschutzbeauftragten Ulrich Kelber führte, erklärte dieser u. a.:
- „ Die ePA 3.0, die jetzt kommt, hat definitiv in einigen Bereichen niedrigere Standards in Sachen Sicherheit als ihr Vorgänger. Und ihr fehlen wichtige Funktionen, zum Beispiel um zu steuern, wer auf welche Inhalte zugreifen darf… Beim Vorgänger wurde zum Beispiel jede einzelne ePA noch mal separat verschlüsselt. Das fällt jetzt weg und das ist sicher eine Verschlechterung.“
- „Nehmen wir zum Beispiel die Zeitspanne, in der etwa Ärzte auf die Daten zugreifen können. Hat die Patientin einmal ihre Krankenkassenkarte bei einer Arztpraxis eingesteckt, dürfen alle Mitarbeitenden dieser Praxis 90 Tage in deren ePA lesen und schreiben. In einer Apotheke sind es immer noch drei Tage. Das ist beides zu lang. Warum soll die Apotheke, nachdem eine Kundin dort war, noch drei Tage auf die Daten zugreifen können? Und zwar nicht nur auf den Medikationsplan, sondern auch auf andere Gesundheitsdaten. In einer Apotheke können Dutzende Menschen arbeiten, in einer Versandapotheke auch mal Hunderte. Da wäre es ein Leichtes, unbefugt auf Daten zuzugreifen. Oft ohne, dass sich hinterher nachvollziehen lässt, wer das war. Denn dokumentiert wird in der ePA nur, welche Einrichtung auf die Daten zugegriffen hat und nicht, welche Person…“
- „Dazu kommt: Patienten können nicht mehr einstellen, dass ein Dokument, zum Beispiel das Ergebnis einer Blutuntersuchung, vom Hausarzt eingesehen werden kann, aber von der Zahnärztin nicht. Gerade Patienten mit sensiblen Diagnosen, zum Beispiel HIV, oder bei einem Schwangerschaftsabbruch, befürchten zu Recht Stigmatisierung. In der freiwilligen ePA ließen sich Dokumente noch arztbezogen verbergen. Nun werden solch sensiblen Daten ohne Not schlechter geschützt.“
- Und auf die Frage „Welche Folgen kann das konkret haben?“ antwortet Kelber: „Es gibt schon Fälle, in denen Menschen erpresst werden, weil medizinische Daten in falsche Hände geraten sind. Ein Fall aus Finnland: Hier sind die Daten des Anbieters, der die meisten psychotherapeutischen Behandlungen durchführt, an Unbefugte gelangt. Die Betroffenen wurden erpresst.“
Eine – unvollständige – Übersicht über Datenpannen und Datenlecks im Gesundheitswesen in Deutschland finden Sie hier.
Update 23.01.2025
In einem Update zum Datenschutzvorfall am 13.01.2025 erklärt die D-Trust GmbH am 22.01.2022:
„Die Analysen haben folgende Erkenntnisse erbracht: Der Angriff betraf ausschließlich das Portal https://portal.d-trust.net/. Es gibt keine Anzeichen für Angriffe auf andere Portale. Eine Schnittstelle des Portals wurde gezielt manipuliert. Dadurch konnten Daten aus dem Antragsbearbeitungssystem ausgelesen werden. Dies betrifft auch Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B). Es handelt sich bei den abgerufenen und möglicherweise entwendeten personenbezogenen Daten um Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und in einigen Fällen Adress- und Ausweisdaten. Die Daten wurden ausgelesen…“
Update 24.01.2025
In einer Veröffentlichung erklärt der CCC:
„Unter anderem stellt d(on’t)-trust die elektronischen Heilberufeausweise und Praxisausweise aus, die für den Zugriff auf die Telematik-Infrastruktur und damit die elektronische Patientenakte benötigt werden…
Durch eine
Kombination aus Versehen, Inkompetenz und mangelnder Sorgfalt
hat d(on’t)-trust Daten seiner Kund*innen im Internet veröffentlicht. Zu den von d(on’t)-trust veröffentlichten Daten gehören Vor- und Nachname, E-Mail-Adresse, Geburtsdatum sowie teilweise Adressdaten und Nummern des jeweiligen Ausweisdokuments.
Die vermutlich unbeabsichtigte Veröffentlichung dieser Daten ist einem Sicherheitsforscher Anfang Januar aufgefallen. Da die Ampel es versäumt hat, Sicherheitsforschung zu entkriminalisieren und die Hacker-Paragraphen abzuschaffen, hat der Sicherheitsforscher das von d(on’t)-trust verantwortete Datenleck unmittelbar anonym an den CCC gemeldet und die restlose Löschung der Daten versichert.
Der CCC erstattet aktuell im Rahmen seiner ehrenamtlichen Arbeit wöchentlich eine hohe Anzahl an Meldungen und konnte das durch d(on’t)-trust verursachte Datenleck erst prüfen, als es bereits beseitigt war… Fakt ist:
- d(on’t)-trust hat die Daten ohne angemessenen Schutz ins Internet gestellt.
- d(on’t)-trust schuldet eine Erklärung, warum überhaupt derart sensible Daten dauerhaft online bereitgehalten und über das Internet zugänglich gemacht wurden.
Fragen dazu möchte das Unternehmen natürlich gern aus dem Weg gehen… Der CCC empfiehlt dem Unternehmen D-.Trust GmbH eine 5-Punkte-Plan:
- Verantwortung: d(on’t)-trust erkennt öffentlich an, dass die unentschuldbare, peinliche und durch nichts zu rechtfertigende Sicherheitslücke allein in der Verantwortung des selbsternannten “Vorreiters für sichere digitale Identitäten” liegt.
- Entschuldigung: d(on’t)-trust veröffentlicht eine förmliche Entschuldigung gegenüber den Strafverfolgungsbehörden, Aufsichtsbehörden und dem Chaos Computer Club für die missbräuchliche Auslegung des Hacker-Paragraphen. In der Erklärung erkennt d(on’t)-trust an, dass die Daten unter Verletzung von Datenschutzvorgaben und IT-Sicherheitsanforderungen gesammelt und online bereitgestellt wurden.
- Aktuelles Jahrhundert: Statt in Cyber-Augenwischerei investiert d(on’t)-trust alle Energie in das Erreichen von Sicherheitsstandards des aktuellen Jahrhunderts.
- Hacker-Paragraphen: Die Hacker-Paragraphen kriminalisieren Sicherheitsforschung. Sie werden deshalb abgeschafft.
- Strafe: Die Bundesbeauftragte für Datenschutz und Informationsfreiheit kassiert eine saftige Summe von d(on’t)-trust.“