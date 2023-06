Berlin Mehrere Allgemeine Ortskrankenkassen (AOK) sind nach Verbandsangaben von einer Sicherheitslücke in einer Software für Datenübertragungen betroffen.

Es werde geprüft, ob dies einen Zugriff auf Sozialdaten von Versicherten ermöglicht habe, teilte der AOK-Bundesverband am Freitag mit. Bei Sozialdaten handelt es sich um personenbezogene Daten über den Versicherten wie die Anschrift, das Geburtsdatum, die Rentenversicherungs- und Steueridentifikationsnummer.

Betroffen seien die AOKs Baden-Württemberg, Bayern, Bremen/Bremerhaven, Hessen, Niedersachsen, Rheinland-Pfalz/Saarland, Sachsen-Anhalt und AOK Plus in Sachsen und Thüringen sowie der Bundesverband. Die Krankenkassen haben insgesamt rund 19 Millionen Versicherte.

Die Lücke ermögliche nicht autorisierte Zugriffe auf eine Anwendung, die zum Datenaustausch mit Firmen, Leistungserbringern und der Bundesagentur für Arbeit genutzt werde. Nach dem Erkennen der Schwachstelle in der Software am Donnerstag seien umgehend vorgesehene Maßnahmen zur Sicherung von Daten eingeleitet worden.

Zudem sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert worden. Die Behörde schreibt in einer Mitteilung von Freitag, es beobachte „die aktive Ausnutzung der Schwachstelle mit bestätigtem Datenabfluss.“

Der IT-Sicherheitsforscher Martin Tschirsich warnt deswegen davor, dass der Schaden noch größer sein könnte. Neben der AOK, dem BSI, dem betroffenen IT-Unternehmen Moveit informierte auch der IT-Blog TrustedSec über den Vorfall. Demnach, so Tschirsich, hätten Angreifer Daten nicht nur einsehen, kopieren und löschen können. Sie hätten sich auch in die betroffene Software einloggen und noch tiefer in das System eindringen können, sagte er dem Handelsblatt.

Cyberangriff auf Krankenkassen im Januar

„Gesundheitsdaten sind höchst schützenswert“, sagte der FDP-Digitalexperte Maximilian Funke-Kaiser dem Handelsblatt. „Um die Gefahr eines Datenlecks zu minimieren, benötigen wir deshalb regelmäßigere Risikobewertungen.“ Die Software müsse von Grund auf mit Mindeststandards sicher programmiert werden. „Dieser Ansatz ist auch im Koalitionsvertrag verankert.“

Der frühere Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, bezeichnete Sicherheitslücken im Bereich Gesundheits- und Sozialdaten als „besonders gravierend“. Denn die betroffenen Daten seien besonders aussagekräftig, sagte Brink dem Handelsblatt. Sie würden intime Informationen über den Gesundheitsstatus und die soziale Lage betroffener Personen preisgeben.

„Deswegen genießen solche Daten auch einen besonderen Schutz und erfordern maximale Sicherheit“, betonte Brink. „In den falschen Händen können solche Informationen den Arbeitsplatz gefährden, Anlass für üble Nachrede und Diskriminierung bis hin zu Erpressungen geben.“

Krankenkassen gerieten zuletzt zunehmend ins Visier von Hackern. Durch einen Cyberangriff flossen Anfang des Jahres Daten von Kassenpatienten ab. Ein Cyberkrimineller hatte Mitte Januar Daten des Gesundheits-IT-Dienstleisters Bitmarck erbeutet und im Darknet veröffentlicht. Bitmarck entwickelt und betreibt IT-Anwendungen für rund 80 gesetzliche Krankenkassen, die insgesamt 25 Millionen Menschen versichern.

Dem Handelsblatt teilte Bitmarck damals mit: „Es handelt sich um allgemeine Angaben wie Vornamen und Nachnamen sowie Versichertennummern.“ Adressdaten seien nicht enthalten. Über die Zahl der betroffenen Versicherten machte Bitmarck keine Angaben.

Ende April wurde Bitmarck jedoch erneut Opfer eines Cyberangriffs. Bis heute sind noch nicht alle Systeme der angeschlossenen Krankenkassen wieder vollständig hergestellt. Zu einem weiteren Diebstahl von Versichertendaten soll es jedoch nicht gekommen sein.

