Inhaltsabschnitt

Hackerangriff D-Trust

Wir möchten Sie heute darüber informieren, dass bei unserem Dienstleister der
 
DT-Trust GmbH
Kommandantenstraße 15
10969 Berlin
 
einem Tochterunternehmen der Bundesdruckerei, im Folgenden „D-Trust“, zu einem datenschutzrechtlichen Vorfall gekommen ist. Am 16.01.2025 wurden wir von D-Trust darüber informiert, dass diese Opfer eines Hackerangriffs geworden ist.

Der Vorfall betrifft das Antragsportal für Signatur- und Siegelkarten, welches von D-Trust betrieben wird. Die hessischen Heilberufskammern haben vom Gesetzgeber die Aufgabe übertragen bekommen, ihren Mitgliedern (elektronische) Heilberufsausweise auszugeben. Für die Berufsgruppe der Apotheker erfolgt die Ausgabe der elektronischen Heilberufsausweise (HBA) und Security Module Card Typ B (SMC-B) durch die Landesapothekerkammer Hessen. Zur Erfüllung dieser Aufgabe bedienen sich alle Apothekerkammern der Länder Anbietern, die den von der gematik GmbH vorgegebene Anforderungen an den Prozess zur Ausstellung der Karten genügen. Zu diesen Anbietern gehört die D-Trust als Tochter der Bundesdruckerei.

Mit dem sorgfältig gewählten Anbieter wurde eine Dienstleistungsvereinbarung sowie eine für solche Konstellationen notwendige Auftragsverarbeitungsvereinbarung geschlossen. In der Auftragsverarbeitungsvereinbarung garantiert D-Trust über ergriffene technische und organisatorische Maßnahmen einen angemessenen Datenschutz und ein Informationssicherheitsniveau. D-Trust verarbeitet Ihre Daten zur Kartenverwaltung aber auch in eigener Verantwortung, weswegen wir davon ausgehen, dass Sie in diesem Zusammenhang gesondert seitens des Anbieters informiert werden, sofern Sie D-Trust als Kartenaussteller gewählt haben.


 
Was ist vorgefallen:

Am 01.01.2025 wurde D-Trust angegriffen. Der Angriff selbst war am 06.01.2025 abgeschlossen und gezielt auf den Geschäftsbetrieb von D-Trust ausgerichtet. Er könnte mit dem Start des Tests der elektronischen Patientenakte in Zusammenhang stehen. Bei dem Hack wurden aber ggf. auch Daten unserer Mitglieder beeinträchtigt. Daher ist nicht ausgeschlossen, dass erbeutete Daten ggf. auch gegen Betroffene verwendet werden. Der Vorfall wurde am 13.01.2025 von D-Trust entdeckt. Am16.01.2025 hat D-Trust uns daher darüber informiert, dass personenbezogene Daten, welche ihr im Rahmen der Auftragsverarbeitung zur Erstellung der Karten übermittelt wurden, möglicherweise entwendet worden sind. Hierbei handelt es sich um personenbezogene Daten zu den Antragstellern und beinhalten Vorname, Nachname, E-Mail-Adresse, Geburtsdatum, ggf. Adressdaten sowie ggf. Nummer des Ausweisdokuments. Explizit nicht entwendet wurden Daten wie Kopien von Ausweisen oder Bilddateien/Fotos. Bitte beachten Sie auch, dass nach Auskunft der D-Trust keine Zugänge (Login, Passwortdaten) und keine Zahlungsinformationen abgerufen wurden.

Aktuell besteht kein unmittelbares Risiko für die Telematikinfrastruktur, die Kartenherausgeber oder die Nutzenden der Karten. Eine Sperrung von Ausweisdokumenten ist nicht erforderlich. Seien Sie bitte dennoch wachsam. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält zu diesem Thema auf seiner Webseite www.bsi.de allgemeine weiterführende Informationen bereit.

Die möglicherweise entwendeten Daten können nicht zur Nutzung der Online-Ausweisfunktionen genutzt werden. Eine Anzahl der Betroffenen liegt uns bisher noch nicht vor.

Welche Daten könnten heruntergeladen worden sein: 

  • Name, Vorname
  • E-Mail-Adresse
  • Geburtsdatum
  • Ggf. Adresse
  • Ggf. Nummer des Ausweisdokuments

Was wir nun unternommen haben:

Wir haben am 17.01.2025 eine Verdachtsmeldung beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) abgegeben, ein Aktenzeichen liegt uns noch nicht vor.

Weiterhin stehen wir in Kontakt zu D-Trust und werden weitere Informationen, welche wir von D-Trust erhalten, an den HBDI sowie an die Betroffenen weitergeben. Wir und D-Trust nehmen diesen Vorfall sehr ernst und bereiten Maßnahmen vor, um die unmittelbaren Risiken zu minimieren.

Wir haben darüber hinaus Kontakt zu anderen betroffenen Apothekerkammern aufgenommen sowie zu unserer auf Datenschutz spezialisierten Rechtsanwaltskanzlei.

D-Trust hat uns darüber informiert, folgende Maßnahmen eingeleitet zu haben:

Sofortmaßnahmen, Gegenmaßnahmen: Benutzeraccount des Angreifers wurde gesperrt, Abschaltung des D-Trust Portal, Weiterführung der Vorfallanalyse und Bildung eines Incident Response Teams, Entwicklung, Test und Aktivierung Hotfix zur Behebung der Schwachstelle, Daten- und Ausmaßanalyse, Automatische Überprüfung aller Neu-Anmeldungen, Speicherung der verfügbaren Logs zur Beweissicherung.

Weitere Maßnahmen: Relevante Aufsichtsstellen und Konformitätsbewertungsstellen wurden informiert. Neben interner Aufklärung erfolgte die Beauftragung von IT-Forensikern, die den Vorfall analysieren und einen weiterführenden Plan für zusätzliche Schutzmaßnahmen unter Einbeziehung der Strafverfolgungsbehörden erarbeiten. Die betroffenen VM-Systeme (virtuelle Maschinen) sind gesichert und werden neben den Log-Daten dem Dienstleister zur Analyse zur Verfügung gestellt.

Es wurde durch die D-Trust Strafanzeige gegen Unbekannt gestellt.

Da die D-Trust auch Daten in Eigenverantwortung verarbeitet, hat diese den Vorfall am 16.01.2025 an die Berliner Beauftragte für Datenschutz gemeldet. Ein Aktenzeichen liegt auch hier nicht vor.


Ihre Rechte:

Als Betroffene haben Sie bestimmte Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten. Diese umfassen:
  

  • Das Recht auf Auskunft: Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden; wenn ja, haben Sie ein Recht auf Auskunft über diese Daten und auf weitere Informationen, wie z.B. die Verarbeitungszwecke, die betroffenen Kategorien von Daten und die Empfänger der Daten.
  • Das Recht auf Berichtigung: Sollten Ihre personenbezogenen Daten unrichtig oder unvollständig sein, haben Sie das Recht, deren Berichtigung oder Vervollständigung zu verlangen.
  • Das Recht auf Löschung: Unter bestimmten Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten verlangen, beispielsweise wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder die Verarbeitung unrechtmäßig ist.
  • Das Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen. Dies bedeutet, dass die Daten zwar gespeichert, aber nicht weiterverarbeitet werden dürfen.
  • Das Recht auf Datenübertragbarkeit: Unter bestimmten Bedingungen haben Sie das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln.
  • Das Recht auf Widerspruch: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen.

 
Wie geht es weiter:

Wir verstehen, dass dies besorgniserregend sein kann, und möchten Ihnen versichern, dass der Schutz Ihrer Daten für uns höchste Priorität hat. Wir arbeiten hierfür eng mit D-Trust zusammen.

Wir werden Sie über den Fortgang in der Sache informieren.

Falls Sie Fragen haben, Ihre Rechte ausüben möchten oder weitere Informationen wünschen, stehen wir und D-Trust Ihnen gerne zur Verfügung. Als Datenschutzbeauftrage der D-Trust ist Frau Uta Roßberg bestellt. Sie ist erreichbar über die E-Mail-Adresse [email protected] .