Aktuelles
ÄKV-BV-Sonder-Newsletter
Aus aktuellem Anlass informieren wir die Ärztlichen Kreis- und Bezirksverbände (ÄKV/ÄBV) über den jüngsten Cyberangriff auf die Bundesdruckerei (D-Trust), die unter anderem den elektronischen Arztausweis herausgibt. Wir bitten die ÄKV und ÄBV, diese Information an die Ärztinnen und Ärzte in ihren jeweiligen Zuständigkeitsbereichen weiterzuleiten.
Information für die Ärztinnen und Ärzte in Bayern: Cyberangriff auf D-Trust
Am 13. Januar 2025 gab es einen Cyberangriff auf die D-Trust GmbH (gehört zur Bundesdruckerei Gruppe), die unter anderem auch den elektronischen Arztausweis herausgibt. Ziel des Angriffs war das Antragsportal für Signatur- und Siegelkarten. Dabei sind personenbezogene Daten von Antragsstellenden abgerufen und möglicherweise entwendet worden. Nach Aufdecken des Angriffs hat die D-Trust GmbH umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen. Es wurde Strafanzeige gegen Unbekannt gestellt. Ein spezialisiertes IT-Sicherheitsteam der D-Trust GmbH arbeitet eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären. Auf der Webseite von D-Trust finden Sie unter https://www.d-trust.net/de/newsroom/news/information-datenschutzvorfall-13-januar-2025 nähere Informationen und Kontaktmöglichkeiten.
Wichtig:
Die Funktion und Sicherheit der elektronischen Arztausweise ist von dem Cyberangriff nicht beeinträchtigt! Ausgegebene Signatur- und Siegelkarten wurden nicht kompromittiert und können weiter genutzt werden. PINs, Passwörter, Zahlungsinformationen sowie andere Systeme sind nicht betroffen. Hat ein Mitglied im D-Trust im Antragsportal vor dem 13. Januar 2025 einen Antrag gestellt, könnten die Daten – wie oben geschildert – gehackt worden sein. Sollte eine Ärztin/ ein Arzt in Bayern betroffen sein, erhält diese/dieser von der BLÄK in schriftlicher Form (E-Mail und/oder Brief) eine Benachrichtigung.
Wichtig: Wir bitten aber um allgemeine Vorsicht und besondere Wachsamkeit gegenüber Phishing-Mails!
Vorgehen der BLÄK
Die BLÄK hat erste Informationen zum Sachverhalt am 18. Januar 2025 online veröffentlicht und befindet sich in enger Abstimmung mit der Bundesärztekammer und den Landesärztekammern. Ebenfalls wurde unter Wahrung der 72-Stunden-Regel der Landesdatenschutzbeauftragte in Bayern informiert. Es besteht ein Auftragsdatenverarbeitungsvertrag zwischen der BLÄK und der D-Trust GmbH, aus dem sich die Pflicht ergibt, dass wir alle Mitglieder informieren, deren Daten von dem Vorfall betroffen wurden.
Fragen & Antworten (Q&A) zum Cyberangriff auf D-Trust
1. Welche Ausweisdaten sind genau betroffen?
Es sind keine Kopien von Ausweisen oder Bilddateien/Fotos entwendet worden. Personenbezogene Daten aus den D-Trust vorliegenden Identifizierungen enthalten nie eine CAN (sechsstellige Zugangsnummer auf der Rückseite) und auch keine auf den Ausweisen vorhandenen biometrischen Daten (z. B. Foto, Größe, Augenfarbe). Daten der Identifizierung beziehen sich immer auf Namen, Geburtsdaten und/oder Meldeadressen.
2. Ist eine Sperrung der möglicherweise betroffenen Ausweisdokumente notwendig?
Eine Sperrung Ihres Ausweisdokuments ist nicht erforderlich. Die möglicherweise entwendeten Daten können nicht zur Nutzung der Online-Ausweisfunktionen genutzt werden. Eine Identifizierung anhand der Daten kann ohne Vorliegen des physischen Ausweises nicht erfolgen. Daher ist ein neuer Ausweis nicht erforderlich, kann aber in bestimmten Fällen angeraten sein. Bitte informieren Sie sich auf der Seite des BSI (Bundesamt für Sicherheit in der Informationstechnik/ www.bsi.bund.de ), die beratende Informationen bereithält.
3. Ist eine präventive Information an Finanzinstitute etc. ratsam?
Bei Datendiebstahl empfiehlt sich eine Meldung bei der Polizei vorzunehmen spätestens, wenn Sie die betrügerische Verwendung Ihrer Daten feststellen. Als Privatperson können betroffene Nutzende eine Anzeige erstatten. Bitte informieren Sie sich auch auf der Seite des BSI (www.bsi.bund.de) zum Thema Identitätsdiebstahl. D-Trust selbst hat unverzüglich eine Anzeige beim Landeskriminalamt Berlin erstattet.
4. Ist eine Änderung der Login-Daten (E-Mail oder Passwort) für das D-Trust Portal erforderlich?
Nein. Die Logins sind nicht von der Entwendung der Daten betroffen. Es besteht jederzeit für Sie die Möglichkeit, über die Passwort-Vergessen-Funktionalität ein neues Passwort für Ihren Zugang zu generieren. Zusätzlich finden Sie nach dem Login im Portal unter den Eigenschaften die Möglichkeit, einen zweiten Faktor für den Login zu hinterlegen. Aus Sicherheitsgründen ist dies zu empfehlen.
5. Müssen Zertifikatsprodukte gesperrt werden, nachdem hier Daten entwendet wurden?
Nein. Eine Sperrung Ihres Zertifikatsprodukts ist nicht erforderlich. Bei der Entwendung der Daten wurden keine Zertifikatsprodukte kompromittiert. Ein Antrag auf ein neues Zertifikatsprodukt ist immer mit Ihrer persönlichen Identifikation verbunden. Änderungen (z.B. bei Angabe einer abweichenden Lieferadresse) erfordern immer eine erneute Identifizierung. Diese kann nicht nur auf Basis von Daten erfolgen, sondern bedingt immer den physischen Besitz ihres Ausweisdokuments.
6. Was ist die Empfehlung zum Schutz vor Phishing-Attacken?
D-Trust rät grundsätzlich dazu bei Anfragen per E-Mail oder Telefon vorsichtig zu agieren. Täter versuchen dabei, an persönliche Informationen zu gelangen. Die D-Trust wird Sie nie direkt kontaktieren, um Passwörter zu erfragen oder Passwortwechsel oder Re-Identifizierungen anzusprechen. Bitte seien Sie in den kommenden Monaten besonders wachsam bzw. sensibilisieren Sie Ihre Nutzenden entsprechend. In Zweifels- oder Verdachtsfällen wenden Sie sich bitte immer direkt an Ihren Ansprechpartner bei der D-Trust oder an kontakt@d-trust.net
7. Wie können betroffene Personen sich gegen Identitätsdiebstahl schützen?
Der Identitätsdiebstahl kann viele Facetten haben. Im Zusammenhang mit „Phishing“ sollten Sie immer aufmerksam sein, wenn Sie Anfragen per E-Mail oder Telefon erhalten. Bitte seien Sie in den kommenden Monaten besonders wachsam bzw. sensibilisieren Sie Ihre Nutzer entsprechend. Informationen zum Thema finden Sie unter anderem auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik (Webseite des BSI unter „Methoden der Cyber-Kriminalität“).
In Zweifels- oder Verdachtsfällen wenden Sie sich bitte immer direkt an Ihren Ansprechpartner bei der D-Trust oder an