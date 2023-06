Ein IT-Dienstleister der Barmer-Krankenkasse muss ein Datenleck durch eine Sicherheitslücke eingestehen, über das Kundendaten der Krankenkasse im Zugriff von Unbefugten waren. Der geleakte Datenbestand betrifft Barmer-Kunden, die am Bonusprogramm der Krankenkasse teilnehmen; der IT-Dienstleister arbeitet für dieses Programm mit der Barmer zusammen. Darüber informiert die Barmer in diesen Tagen ihre betroffenen Kunden per Brief – und kommt damit ihrer Verpflichtung durch die DSGVO nach, eine erfolgte Cyberattacke offenzulegen und vor möglichen Konsequenzen zu warnen.

Anzeige

Personenbezogene Kundendaten beim Dienstleister

Der Vorfall bei dem Dienstleister ereignete sich am 31. Mai, schreibt die Barmer in einer Mitteilung. Die Barmer selbst wurde darüber am 16. Juni informiert und gab am nächsten Tag eine Pressemitteilung heraus. Demnach ist der IT-Dienstleister mit der Umsetzung des Bonusprogramms beauftragt und arbeitete wohl mit einem dafür separat erstellen Datenbestand; derzeit prüft die Barmer noch, ob auch ein Zugriff auf ihren eigenen Datenbestand möglich war – ihre eigenen IT-Systeme seien von dem Cyberangriff jedenfalls nicht betroffen, ist sich die Barmer sicher. Auch sei die Sicherheitslücke inzwischen geschlossen.

In den Briefen an ihre Mitglieder (datiert vom 19. Juni) teilt die Barmer mit, dass folgende Informationen der Versicherten betroffen sind: Name und Vorname, Krankenversicherungsnummer, Prämienbetrag (der Erlös aus der erfolgreichen Teilnahme am Bonusprogramm) und Bankverbindung (IBAN). Der IT-Dienstleister erhält für Prüfung der Unterlagen des Bonusprogramms die personenbezogenen Daten von der Barmer, heißt es in dem Schreiben. Demnach habe die Barmer sofort nach der Unterrichtung über den Cyberangriff die Verbindung zum Dienstleister gekappt. Details zum Angriff und zur ausgenutzten Sicherheitslücke gibt es derzeit keine, die Zahl der Betroffenen nennt die Firma ebenfalls nicht. Barmer nennt in dem Schreiben den Namen des Dienstleisters nicht, doch in den Unterlagen zum Bonusprogramm heißt es, dass die Firma Majorel in Luxemburg für die Datenverarbeitung zuständig sei.

IT-Dienstleister sind im Gesundheitswesen, aber auch in anderen Bereichen lohnenswerte Ziele für Cyberkriminelle, bündeln sie doch die Daten mehrerer großer Kunden. Ein erfolgreicher Einbruch hier verheißt einen wertvollen Datenbestand oder ein flächendeckendes Lahmlegen von Diensten (womöglich im Verbund mit Erpressung von Lösegeld) – wie erst kürzlich die Attacke auf Bitmarck gezeigt hat, bei der Daten von 300.000 Versicherten erbeutet wurden: Wegen dessen Ausfall bei der Rückkehr zum Normalbetrieb waren Dienste wie die elektronische Patientenakte oder die e-Arbeitsunfähigkeitsbescheinigung für Ärzte bzw. Versicherte zeitweise nicht nutzbar.

Lesen Sie auch Digitalstrategie des Gesundheitswesens: Lauterbach setzt auf Vertrauen bei ePA

(tiw)