Datenschutzvorfall bei D-Trust
Abschlussbericht zum Datenschutzvorfall Die D-Trust GmbH hat den Abschlussbericht zum Datenschutzvorfall im Antragsportal für Signatur- und Siegelkarten vorgelegt.
Ursächlich für die Schwachstelle sei ein singulärer Software-Fehler gewesen, der zu einer unzureichenden Zugriffskontrolle der Anwendung geführt hätte. Im Nachgang des Datenschutzvorfalls habe D-Trust kurzfristige Maßnahmen ergriffen sowie in Abstimmung mit den zuständigen Aufsichtsbehörden und der beauftragten Konformitätsbewertungsstelle ein umfangreiches Maßnahmenpaket definiert, um sicherzustellen, dass eine derartige Schwachstelle zukünftig nicht mehr auftritt und das Sicherheitsniveau insgesamt optimiert werde. Lesen Sie mehr in dem Abschlussbericht. |
Die D-Trust GmbH ist für die KZV RLP als Auftragsverarbeiterin im Ausgabeprozess des elektronischen Praxisausweises (SMC-B) tätig. Sie ist im Zeitraum vom 01.01. bis 06.01.2025 Ziel eines Angriffs auf das Antragsportal für Signatur- und Siegelkarten geworden. Der Angriff wurde am 13.01.2025 festgestellt und der KZV RLP am 17.01.2025 gemeldet.
Nach bisherigem Stand der Auswertung handelt es sich bei den personenbezogenen Daten um
- Vor- und Nachname
- E-Mail-Adresse
- Geburtsdatum
- ggf. Adressdaten
- ggf. Nummer des Ausweisdokuments
Die betroffenen Mitglieder wurden am Freitag, den 24.01.2025, per E-Mail von D-Trust informiert. Bei Rückfragen stehen Ihnen unsere Datenschutzbeauftragten der KZV RLP unter datenschutz (at) kzvrlp.de zur Verfügung.
Nach Angaben von D-Trust sind bei dem Angriff keine Zugangsdaten wie Login-Kennungen und Passwörter sowie Zahlungsinformationen abgegriffen worden. Auch die Funktion und Sicherheit der ausgegebenen Ausweise sind demnach nicht beeinträchtigt. Sie können laut D-Trust weiterhin wie gewohnt eingesetzt werden.
Rein vorsorglich haben wir im SMC-B-Antragsportal die Möglichkeit zur Antragstellung für einen Praxisausweis bei D-Trust deaktiviert. Derzeit können SMC-B deshalb nur bei den Anbietern Medisign oder T-System beantragt werden.
Keinerlei Auswirkungen hat der Hackerangriff auf Ihre Patienten- und Abrechnungsdaten, die Sie uns übermitteln. Unser Abrechnungsportal ist eine völlig eigenständige Plattform, die ausschließlich per Abrechnungsstick mit Softzertifikat erreichbar ist.
Die KZV RLP behandelt den Datenschutzvorfall mit höchster Priorität und ist hierüber in enger Abstimmung mit D-Trust und dem Landesdatenschutzbeauftragen (LfDI). Wir haben den LfDI ausführlich über den Hackerangriff auf D-Trust und die möglichen Folgen für Mitglieder der KZV RLP informiert.
Auf der Webseite von D-Trust finden Sie unter www.d-trust.net/de/newsroom/news/information-datenschutzvorfall-13-januar-2025 weitere Informationen.
Vorsicht vor Phishing!
Infolge des Hackerangriffs auf D-Trust steigt das Risiko, dass Sie Opfer von „Phishing“ und damit Betrugsversuchen werden. Wir bitten daher alle Mitglieder um ganz besondere Vorsicht und Wachsamkeit gegenüber E-Mails und Anrufen, in denen persönliche Informationen abgefragt werden. Dies gilt generell für alle Kontaktaufnahmen, aber vor allem für die von D-Trust.
D-Trust wird Sie nie direkt kontaktieren, um Passwörter zu erfragen oder Passwortwechsel oder Identifizierungen anzustoßen. In Zweifels- oder Verdachtsfällen wenden Sie sich bitte direkt an Ihren Ansprechpartner bei D-Trust oder senden Sie eine Mail an kontakt@d-trust.net.
Wie erkennt man Phishing-Mails?
- Nicht blind dem Absender vertrauen. Nur weil eine E-Mail auf den ersten Blick von einer bekannten Person oder vertrauenswürdigen Quelle stammt, muss das nicht stimmen. Mitarbeiter sollten ganz genau die E-Mail-Adresse des Absenders prüfen.
- Lesen, aber nicht klicken. E-Mails sollten zunächst nur gelesen und stets auf Plausibilität und Vertrauenswürdigkeit geprüft werden, bevor auf Links oder Datenanhänge geklickt wird. Kritisch zu hinterfragen sind E-Mails mit vage formulierten Betreffzeilen wie „Rechnung“, „Mahnung“ oder „Dringend“.
- Auf Rechtschreibfehler achten. Angreifer sind häufig der deutschen Sprache nicht 100%ig mächtig oder bei Rechtschreibung oder Grammatik nachlässig.
- Auf die Anrede achten. Ist die Anrede individuell oder wird nur eine allgemeine Ansprache verwendet? Letzteres kann für eine Phishing-Mail sprechen.
- Verlangt der Absender der E-Mail persönliche Angaben? Verlässliche Absender erfragen in der Regel keine persönlichen Daten.
- Höchste Vorsicht ist bei Dringlichkeit geboten! Auf der Hut sein sollten Mitarbeiter, wenn in der E-Mail ein Notfall oder Dringlichkeit suggeriert wird, die ungewöhnliche Handlungen erfordern. Alles, was von üblichen Aufgaben abweicht, sollte alarmieren.
- E-Mail-Signatur überprüfen. Seriöse Mails enthalten eine E-Mail-Signatur mit Namen und Kontaktdaten des Absenders.
- Vorsicht bei Anhängen! Besondere Skepsis sollte bei Anhängen walten. Sie sollten nie unbedacht geöffnet werden, erst recht dann nicht, wenn sie nicht mit dem Absender abgesprochen wurden.
- Nicht alles glauben, was man sieht. Sobald Zweifel an der Vertrauenswürdigkeit einer E-Mail bestehen, sollte sich vor dem Öffnen persönlich beim Absender vergewissert werden, ob er eine E-Mail geschickt hat. Besser noch: Mitarbeiter sprechen den Systemadministrator/IT-Betreuer oder ihren Vorgesetzten auf zweifelhafte Mails an.
