Datenleck D-Trust: Auch Zahnärzte sind betroffen

Die Situation wurde laut D-Trust, das zur Bundesdruckerei-Gruppe gehört, am 13. Januar 2025 festgestellt. Dabei seien „möglicherweise personenbezogene Daten von Antragstellern entwendet worden".

Ausgegebene Signatur- und Siegelkarten seien aber nicht kompromittiert und könnten weiter genutzt werden. “PINs, Passwörter, Zahlungsinformationen sowie andere Systeme sind nicht betroffen.“

Die Bayerische Landeszahnärztekammer riet nach Bekanntwerden des Lecks allen Mitgliedern, die einen eHBA von D-Trust besitzen oder beantragt haben, zu „besonderer Vorsicht gegenüber Phishing-Mails oder auch Anrufen, in denen persönliche Informationen abgefragt werden".

In Sachsen-Anhalt und Sachsen sind definitiv neben Ärztinnen und Ärzten auch Zahnärztinnen und Zahnärzte von dem Datenleck bei dem IT-Dienstleister betroffen, berichtet der MDR Sachsen-Anhalt. „Die Zahnärztekammer geht von einer mittleren einstelligen Anzahl in Sachsen-Anhalt aus“, heißt es. „Laut Kassenärztlicher Vereinigung Sachsen sind 361 Zahnärztinnen und Zahnärzte betroffen. Insgesamt sind in Sachsen 2.100 Zahnarztpraxen an die IT-Infrastruktur angeschlossen.“

Nach Bekanntwerden hatte D-Trust nach eigenen Angaben „umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen".

Die entsprechenden Aufsichtsstellen wurden benachrichtigt, die Betroffenen würden individuell informiert. Es wurde Strafanzeige gegen Unbekannt gestellt. Ein spezialisiertes IT-Sicherheitsteam der D-Trust arbeite nun eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären, heißt es weiter. Und: „Die D-Trust bedauert die dadurch entstehenden Umstände und steht bei Rückfragen unter kontakt@d-trust.net zur Verfügung.“

Weiter meldet das Unternehmen, am 23. Januar 2025 sei ein Schreiben des Chaos Computer Clubs (CCC) eingegangen, in dem der Verein die Verantwortung für den Angriff auf das Antragsportal einem „anonymen Sicherheitsforscher“ zuschreibe. Dieser habe nach eigenen Angaben Anfang Januar Daten aus dem Antragsbearbeitungssystem entwendet und im Nachgang gelöscht, so dass den Betroffenen kein weiterer Schaden entstehe. Laut D-Trust werden die in dem Schreiben gemachten Aussagen aktuell ausgewertet.

In den vergangenen Tagen seien bei dem Thüringer Landesbeauftragten für den Datenschutz Meldungen von der Kassenzahnärztlichen Vereinigung, der Landesärztekammer und der Thüringer Landeszahnärztekammer eingegangen, schreibt der MDR. Insgesamt seien mehr als 540 Personen gemeldet worden. Unklar sei für den Datenschützer allerdings noch, ob die Anzahl auf Thüringen bezogen ist oder auf ganz Deutschland.

Die Karten von D-Trust werden auch in der Justiz genutzt. Ob und wie viele Personen hier betroffen sind, sei jedoch offen. Sachsens Justizministerium habe bereits zweimal Auskunft bei D-Trust verlangt, schreibt der MDR, blieb aber „ohne Erfolg“.

Der CCC bewertet den Vorfall als „eine Kombination aus Versehen, Inkompetenz und mangelnder Sorgfalt“. Fakt sei, dass D-Trust – vom CCC in einer Mitteilung zum Thema „d(on’t)-trust“ genannt – von seinen Kundinnen und Kunden Daten wie Vor- und Nachname, E-Mail-Adresse, Geburtsdatum sowie teilweise Adressdaten und Nummern des jeweiligen Ausweisdokuments im Internet veröffentlicht habe.

Die vermutlich unbeabsichtigte Veröffentlichung dieser Daten sei einem Sicherheitsforscher Anfang Januar aufgefallen – der sich daraufhin an den CCC wendete. „Da die Ampel es versäumt hat, Sicherheitsforschung zu entkriminalisieren und die Hacker-Paragrafen abzuschaffen, hat der Sicherheitsforscher das von d(on’t)-trust verantwortete Datenleck unmittelbar anonym an den CCC gemeldet und die restlose Löschung der Daten versichert.“

Der CCC erstattet aktuell im Rahmen seiner ehrenamtlichen Arbeit nach eigenen Angaben „wöchentlich eine hohe Anzahl an Meldungen“ und konnte das Datenleck bei D-Trust erst prüfen, als es bereits beseitigt war.

Dass das Unternehmen Strafanzeige erstattete, von einem Angriff spricht und behauptet, dass eine Schnittstelle des Portals gezielt manipuliert wurde, halten die Experten für irreführend. „Die Reaktion zeigt anschaulich, warum der anonyme Sicherheitsforscher sich lieber an den CCC, als an das betroffene Unternehmen wandte.“