Datenschutzvorfall bei der D-Trust GmbH: Reaktion der Psychotherapeutenkammer NRW

29.01.2025 - Die Psychotherapeutenkammer Nordrhein-Westfalen hat betroffene Mitglieder über einen Datenschutzvorfall bei der D-Trust GmbH informiert. Der Angriff betrifft sensible Daten von Antragstellern des elektronischen Psychotherapeutenausweises (ePtA/eHBA).

Die D-Trust GmbH, ein führender Anbieter von Signatur- und Siegelkarten, meldete einen gezielten Angriff auf ihr Antragsportal. Der Vorfall ereignete sich zwischen dem 1. und 6. Januar 2025 und wurde am 13. Januar entdeckt. Dabei konnten personenbezogene Daten aus dem Antragsbearbeitungssystem ausgelesen werden, darunter auch Daten von Mitgliedern der Psychotherapeutenkammer NRW, die den elektronischen Heilberufsausweis beantragt oder bereits erhalten haben.

Welche Daten sind betroffen?

Die entwendeten Daten umfassen persönliche Informationen wie Name, Geburtsdatum, Meldeadresse, Telefonnummer, berufliche Angaben sowie Details zu Praxisname und -adresse. Zusätzlich könnten auch Informationen aus den Identifizierungsdokumenten, wie Personalausweisnummer und Gültigkeitsdaten, betroffen sein. Eine Manipulation der Daten wurde nicht festgestellt, und Zugänge sowie Zahlungsinformationen blieben unangetastet.

Maßnahmen der D-Trust GmbH

Nach Entdeckung des Angriffs wurden umfangreiche Sofortmaßnahmen eingeleitet:

• Die Schwachstelle im Antragsportal wurde behoben.
• Sicherheitslogs wurden gesichert und Strafanzeige gegen Unbekannt erstattet.
• Ein IT-Sicherheitsteam arbeitet eng mit Behörden und externen Experten zusammen, um die Angriffsursache aufzuklären.
• Eine weitere Zusammenarbeit mit der Datenschutzaufsichtsbehörde und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde initiiert.

Der Chaos Computer Club meldet sich zu Wort

Ein Schreiben des Chaos Computer Clubs (CCC) deutet darauf hin, dass ein „anonymer Sicherheitsforscher“ für den Angriff verantwortlich ist. Dieser gab an, die entwendeten Daten nachträglich gelöscht zu haben, um Schaden zu verhindern. Diese Angaben werden derzeit überprüft.

Laut dem CCC (Chaos-Computer-Club) soll ein White-Hat-Hacker die Sicherheitslücke aufgedeckt haben.

Empfehlungen für Betroffene

Die D-Trust GmbH rät betroffenen Personen, wachsam gegenüber Phishing-Versuchen zu sein. Zudem wird eine Meldung bei der Polizei empfohlen, sollten betrügerische Aktivitäten festgestellt werden. Eine Sperrung des elektronischen Heilberufsausweises sei nicht erforderlich, da die entwendeten Daten ohne das physische Dokument nicht missbräuchlich genutzt werden können.

Reaktion der Psychotherapeutenkammer NRW

Die Psychotherapeutenkammer bedauert den Vorfall und hat ihrerseits die zuständige Datenschutzbehörde informiert. Betroffene Mitglieder werden gebeten, bei Fragen die D-Trust GmbH oder die Kammer unter den angegebenen Kontaktdaten zu kontaktieren.

Ausblick

Der Vorfall zeigt, wie wichtig robuste Sicherheitsvorkehrungen sind, insbesondere bei der Verarbeitung sensibler Gesundheits- und Berufsdaten. Die D-Trust GmbH hat zugesagt, die Sicherheitsmaßnahmen weiter zu verbessern, um zukünftige Angriffe zu verhindern.

Quelle: PTK NRW