Persönliche Antragsdaten für eHBA ausgelesen |
 |  | Cornelia Dölger |
 |
22.01.2025 11:00 Uhr |
Eine Schnittstelle des Portals wurde gezielt manipuliert. / © Adobe Stock/Song_about_summer
Zwei Tage vor dem Start der Testphase für die elektronische Patientenakte (EPA) war D-Trust, ein Tochterunternehmen der Bundesdruckerei, das unter anderem elektronische Heilberufsausweise ausgibt, vorige Woche Ziel eines Hackerangriffs geworden – denkbar ungünstig, denn der lang erwartete Rollout in den Modellregionen war ohnehin von Sicherheitsbedenken geprägt.
Er startete dennoch pünktlich. Bundesgesundheitsminister Karl Lauterbach (SPD) hatte vorab versichert, dass alles für eine datensichere »EPA für alle« unternommen werde; eine »100-prozentige« Sicherheit für jede einzelne Digitalakte könne es aber naturgemäß nicht geben.
Ob der Minister zum Zeitpunkt des Teststarts von der Attacke auf D-Trust wusste, ist weiterhin unklar; das Ministerium hält sich dazu bedeckt. D-Trust ergriff nach Bekanntwerden der Attacke am 13. Januar Sofortmaßnahmen für den Schutz der Daten im Portal. Die entsprechenden Aufsichtsstellen seien benachrichtigt, die Betroffenen individuell informiert worden, hieß es. Es wurde demnach auch Strafanzeige gegen Unbekannt gestellt.
Heute ließ D-Trust wissen, dass die laufende Analyse des »Datenschutzvorfalls« bislang ergeben habe, dass tatsächlich – wie bereits befürchtet – persönliche Daten von Antragstellern von elektronischen Heilberufsausweisen ausgelesen wurden.
Eine Schnittstelle des Portals wurde demnach gezielt manipuliert. Dadurch hätten Daten aus dem Antragsbearbeitungssystem ausgelesen werden können, dies betreffe auch Antragsdaten für elektronische Heilberufsausweise (eHBA) und Praxis- beziehungsweise Institutionsausweise (SMC-B).
Es handele sich bei den abgerufenen und möglicherweise entwendeten personenbezogenen Daten um Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und in einigen Fällen Adress- und Ausweisdaten. Die Daten wurden demnach ausgelesen, eine Manipulation beziehungsweise Veränderung der Antragsdaten habe nicht stattgefunden. Einzig das Portal https://portal.d-trust.net/ sei betroffen gewesen, Hinweise für Attacken auf andere Portale gebe es nicht.
Wie schon zuvor betonte D-Trust, dass die Funktion und Sicherheit der bereits ausgegebenen Signatur- und Siegelkarten sowie eHBA und SMC-B nicht beeinträchtigt sei. Auch Zugangsdaten (Login, Passwortdaten) und Zahlungsinformationen seien nicht betroffen.
