Datenschutzvorfall bei d-trust: 22 hessische Mitglieder betroffen
Die Bundesdruckerei (d-trust), Vertrauensdienstleister des elektronischen Heilberufeausweises (eHBA), wurde Mitte Januar Opfer eines Cyberangriffs. Dabei wurde auf rund 34.000 Datensätze zugegriffen. Für die Psychotherapeutenschaft spielt d-trust eine eher untergeordnete Rolle, da sie erst spät als Dienstleister zugelassen wurde. In Hessen sind die Datensätze von insgesamt 22 Mitgliedern der PTK Hessen betroffen. Konkrete Namen liegen aktuell noch nicht vor. Der Fall wurde durch die Kammer bereits beim Landesdatenschutzbeauftragten zur Anzeige gebracht.
Auszug aus der offiziellen Meldung von D-Trust:
24. Januar 2025
Der Chaos Computer Clubs schreibe die Verantwortung für den Angriff auf das Antragsportal für Signatur- und Siegelkarten der D-Trust einem “anonymen Sicherheitsforscher” (sic!) zu. Laut Aussage des „Sicherheitsforschers“ seien die ausgelesenen Daten im Nachgang gelöscht worden, so dass den Betroffenen kein weiterer Schaden entstehe.
22. Januar 2025
„Der Angriff betraf ausschließlich das Portal https://portal.d-trust.net/. Es gibt keine Anzeichen für Angriffe auf andere Portale. Eine Schnittstelle des Portals wurde gezielt manipuliert. Dadurch konnten Daten aus dem Antragsbearbeitungssystem ausgelesen werden. Dies betrifft auch Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B).
Es handelt sich bei den abgerufenen und möglicherweise entwendeten personenbezogenen Daten um Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und in einigen Fällen Adress- und Ausweisdaten. Die Daten wurden ausgelesen, eine Manipulation bzw. Veränderung der Antragsdaten hat nicht stattgefunden.
Weiterhin gilt: Die Funktion und Sicherheit der ausgegebenen Signatur- und Siegelkarten sowie eHBA und SMC-B sind nicht beeinträchtigt. Zugangsdaten (Login, Passwortdaten) und Zahlungsinformationen sind nicht betroffen.“
Wir halten Sie zu dem Thema auf dem Laufenden!