Updates: Datenschutzvorfall 13. Januar 2025
Berlin, 24.01.2025 – Am 23.1.2025 hat die D-Trust ein Schreiben des Chaos Computer Clubs erreicht, in dem der Verein die Verantwortung für den Angriff auf das Antragsportal für Signatur- und Siegelkarten der D-Trust einem “anonymen Sicherheitsforscher” (sic!) zuschreibt. Dieser hat demnach Anfang Januar unzulässigerweise in mehreren Sitzungen Daten aus dem Antragsbearbeitungssystem entwendet (siehe unten).
Laut Aussage des „Sicherheitsforschers“ seien die ausgelesenen Daten im Nachgang gelöscht worden, so dass den Betroffenen kein weiterer Schaden entstehe. Die in dem Schreiben gemachten Aussagen werden aktuell ausgewertet. In diesem Zusammenhang arbeitet die D-Trust weiterhin eng mit den involvierten Sicherheitsbehörden und externen Sicherheitsexperten zusammen.
Berlin, 22.01.2025 - Das IT-Sicherheitsteam der D-Trust GmbH arbeitet intensiv an der Aufarbeitung des Angriffs auf das Antragsportal für Signatur- und Siegelkarten. Dabei kooperiert die D-Trust eng mit den zuständigen Aufsichtsbehörden. Auch die Strafermittlungsbehörden sind infolge der Strafanzeige der D-Trust GmbH involviert.
Die Analysen haben folgende Erkenntnisse erbracht: Der Angriff betraf ausschließlich das Portal https://portal.d-trust.net/. Es gibt keine Anzeichen für Angriffe auf andere Portale. Eine Schnittstelle des Portals wurde gezielt manipuliert. Dadurch konnten Daten aus dem Antragsbearbeitungssystem ausgelesen werden. Dies betrifft auch Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B).
Es handelt sich bei den abgerufenen und möglicherweise entwendeten personenbezogenen Daten um Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und in einigen Fällen Adress- und Ausweisdaten. Die Daten wurden ausgelesen, eine Manipulation bzw. Veränderung der Antragsdaten hat nicht stattgefunden.
Weiterhin gilt: Die Funktion und Sicherheit der ausgegebenen Signatur- und Siegelkarten sowie eHBA und SMC-B sind nicht beeinträchtigt. Zugangsdaten (Login, Passwortdaten) und Zahlungsinformationen sind nicht betroffen.
+ + +
Berlin, 16.01.2025 - Die D-Trust GmbH ist Ziel eines Angriffs auf das Antragsportal für Signatur- und Siegelkarten geworden. Der Angriff wurde am 13.1.2025 festgestellt. Dabei sind möglicherweise personenbezogene Daten von Antragstellern entwendet worden. Ausgegebene Signatur- und Siegelkarten wurden nicht kompromittiert und können weiter genutzt werden. PINs, Passwörter, Zahlungsinformationen sowie andere Systeme sind nicht betroffen.
Nach Aufdecken des Angriffs hat die D-Trust umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen. Die entsprechenden Aufsichtsstellen wurden benachrichtigt, die Betroffenen werden individuell informiert. Es wurde Strafanzeige gegen Unbekannt gestellt. Ein spezialisiertes IT-Sicherheitsteam der D-Trust arbeitet eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären. Die D-Trust bedauert die dadurch entstehenden Umstände und steht bei Rückfragen unter kontakt@d-trust.net zur Verfügung.