Die D-Trust GmbH, ein Unternehmen der Bundesdruckerei-Gruppe, stellte am 13. Januar 2025 einen Datenschutzvorfall fest. Der Angriff betraf das Antragsportal für Signatur- und Siegelkarten. Laut einem Schreiben des Chaos Computer Clubs (CCC) wird die Verantwortung für den Angriff einem „anonymen Sicherheitsforscher“ zugeschrieben.
Der Sicherheitsforscher erklärte, Anfang Januar Daten aus dem Antragsbearbeitungssystem in mehreren Sitzungen ausgelesen zu haben. In dem Schreiben wird versichert, dass die entwendeten Daten anschließend gelöscht worden seien, sodass kein weiterer Schaden für die Betroffenen entstanden sei.
Fortschritte bei der Aufklärung
Die D-Trust arbeitet eng mit den zuständigen Sicherheitsbehörden und externen IT-Sicherheitsexperten zusammen, um den Vorfall umfassend aufzuklären. Die bisherigen Analysen ergaben, dass ausschließlich das Portal https://portal.d-trust.net/ betroffen ist. Andere Systeme und Portale der D-Trust wurden nicht kompromittiert.
Eine gezielte Manipulation einer Schnittstelle des betroffenen Portals ermöglichte den Zugriff auf Daten wie Vor- und Nachnamen, E-Mail-Adressen, Geburtsdaten und in einigen Fällen auch Adress- und Ausweisdaten. Es gibt keine Hinweise darauf, dass diese Daten manipuliert oder verändert wurden. Die Sicherheit und Funktion der ausgegebenen Signatur- und Siegelkarten sowie der Elektronischen Heilberufsausweise (eHBA) und Institutionsausweise (SMC-B) ist laut D-Trust nicht beeinträchtigt. Auch Zugangsdaten wie Passwörter oder Zahlungsinformationen blieben geschützt.
Ergriffene Maßnahmen
Nach Entdeckung des Angriffs wurden sofortige Maßnahmen ergriffen, um die Sicherheitslücken zu schließen und die Daten im betroffenen Portal zu schützen. Die zuständigen Aufsichtsbehörden sowie die betroffenen Personen wurden informiert. Zudem hat die D-Trust Strafanzeige gegen Unbekannt erstattet.
Hintergrund des Angriffs
Am 16. Januar 2025 hatte D-Trust erste Informationen zum Angriff veröffentlicht. Seitdem wird intensiv an der Analyse und Bearbeitung des Vorfalls gearbeitet. Trotz der unbefugten Datenzugriffe können die ausgegebenen Signatur- und Siegelkarten weiterhin uneingeschränkt genutzt werden.
