Nach Cyber-Attacke auf D-Trust
D-Trust-Vorfall: Sicherheitsforscher bezichtigt sich des Cyber-Angriffs
Im Zuge des Cyber-Angriffs auf D-Trust habe keine Manipulation respektive Veränderung der ausgelesenen ärztlichen Antragsdaten stattgefunden, versichert das Unternehmen.
Veröffentlicht:
Mit Cyber-Attacken wollen Sicherheitsforscher auf Schwachstellen bei elektronischen Anwendungen hinweisen – so auch im Kontext der medizinischen Versorgung.
© Maksim Kabakou / stock.adobe.com
Berlin/Hamburg. In dem Fall des am 13. Januar detektierten Cyber-Angriffs auf ein Portal des Unternehmens D-Trust, das unter anderem elektronische Heilberufsausweise (eHBA) ausgibt, übernimmt nun anscheinend ein Sicherheitsforscher die Verantwortung.
Wie D-Trust am Freitag mitteilte, habe das Unternehmen am Vortag ein Schreiben des Chaos Computer Club (CCC) erreicht, in dem dieser die Verantwortung für den Angriff auf das Antragsportal für Signatur- und Siegelkarten der D-Trust einem „anonymen Sicherheitsforscher“ zuschreibe.
Besagter Sicherheitsforscher habe demnach Anfang Januar unzulässigerweise in mehreren Sitzungen Daten aus dem Antragsbearbeitungssystem entwendet.
Wie CCC-Mitglied Martin Tschirsich am Freitag auf Nachfrage der Ärzte Zeitung erläuterte, habe der Sicherheitsforscher im Antragsportal von D-Trust öffentlich exponierte Daten von Antragstellern vorgefunden.
Chaos Computer Club: Vorgang gemäß BSI-Vorgaben gemeldet
„Der Sicherheitsforscher hat verantwortlich gehandelt und den offenkundigen Sicherheitsmangel gemäß Leitlinie und Richtlinie für Sicherheitsforschende des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) dem Chaos Computer Club gemeldet mit Bitte um Einleitung eines CVD-Prozesses (Coordinated Vulnerability Disclosure)“, beschreibt Tschirsich den Vorgang.
Diese Vorgehensweise räumt das BSI Sicherheitsforschern ein, die sich nicht direkt an die Institution wenden möchten, um Hinweise auf Schwachstellen entgegenzunehmen.
Wie D-Trust weiter informiert, seien laut Aussage des Sicherheitsforschers die ausgelesenen Daten im Nachgang gelöscht worden, so dass den Betroffenen kein weiterer Schaden entstehe.
Die in dem Schreiben gemachten Aussagen würden aktuell ausgewertet. In diesem Zusammenhang arbeite D-Trust weiterhin eng mit den involvierten Sicherheitsbehörden und externen Sicherheitsexperten zusammen.
Nur ein Portal betroffen gewesen
Wie Analysen erbracht hätten, habe der Angriff ausschließlich das Portal https://portal.d-trust.net/ betroffen. Es gebe keine Anzeichen für Angriffe auf andere Portale.
Eine Schnittstelle des Portals sei demnach gezielt manipuliert worden. „Dadurch konnten Daten aus dem Antragsbearbeitungssystem ausgelesen werden. Dies betrifft auch Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B).“, informierte D-Trust bereits am Mittwoch.
Es handelt sich bei den abgerufenen und möglicherweise entwendeten personenbezogenen Daten um Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und in einigen Fällen Adress- und Ausweisdaten. Die Daten seien ausgelesen worden, eine Manipulation bzw. Veränderung der Antragsdaten habe hingegen nicht stattgefunden.
Weiterhin gelte, so D-Trust; dass Funktion und Sicherheit der ausgegebenen Signatur- und Siegelkarten sowie eHBA und SMC-B nicht beeinträchtigt seien. Zugangsdaten (Login, Passwortdaten) und Zahlungsinformationen seien nicht betroffen. (maw)
