BFAV warnt vor Datenlecks bei Krankenkassen

Am 2. Juni meldete der AOK-Bundesverband eine Sicherheitslücke bei einer Anwendung, die zum Datenaustausch etwa mit Leistungserbringern genutzt wird. Der Bayerische Facharztverband (BFAV) zeigt sich verwundert und stellt die Sicherheit der Telematikinfrastruktur infrage.

Seit dem Abend des 2. Juni, so der BFAV, ist der Datenverkehr zwischen mehreren AOKen und den daran angeschlossenen Leistungserbringern zum wiederholten Male durch einen Hacker Angriff in diesem Fall auf den IT Dienstleister MOVEit blockiert. Aktuell betroffen sind neben dem AOK-Bundesverband die AOKen Baden-Württemberg, Bayern Bremen Hessen Rheinland-Pfalz/Saarland Sachsen-Anhalt und PLUS 80.

Am späten Nachmittag meldete der AOK-Bundesverband, dass mehrere AOKen von einer Sicherheitslücke in einer Software zur Datenübertragung betroffen sind, die bei zahlreichen Firmen im In- und Ausland zum Einsatz komme. Dadurch werde möglicherweise ein nicht autorisierten Zugriff auf die Anwendung „MOVEit Transfer“ geschaffen, die von den AOKen zum Datenaustausch mit Firmen, Leistungserbringern und der Bundesagentur für Arbeit genutzt werde.

Derzeit werde noch geprüft, ob die Sicherheitslücke einen Zugriff auf die Sozialdaten von Versicherten ermöglicht hat. Die entsprechende Prüfung sei aktuell noch nicht abgeschlossen, man werde aber „zeitnah informieren, sobald neue Erkenntnisse vorliegen“ heißt es in einer Mitteilung des AOK-Bundesverbandes. Dieser versichert, dass nach dem Vorfall, die für einen solchen Fall vorgesehen Maßnahmen zur Sicherung der Daten „umgehend eingeleitet“ worden seien, externe Datenverbindungen sind zur Sicherheit getrennt worden. An der Wiederherstellung der Systeme werde „intensiv gearbeitet“. Zudem wurde das Bundesamt für Sicherheit in der Informationstechnik informiert worden, so der AOK-Bundesverband in seiner Mitteilung vom 2. Juni.

Der BFAV zeigt sich verwundert: Gernot Petzold, Augenarzt in Kulmbach und gleichzeitig IT-Spezialist im Vorstand des BFAV fragt sich, „wie es möglich ist, dass wiederholte Cyberangriffe auf professionelle IT-Dienstleister im Gesundheitswesen ‒ wie aktuell MOVEit ‒ mit einer angeblich hervorragenden Sicherheitsstruktur die Kommunikationsstrukturen derart lahmlegen können. Dabei hat die Gematik in der Vergangenheit den Arztpraxen die Sicherheitssysteme als unknackbar angepriesen,“ zeigt sich Petzold enttäuscht. „Wenn Cyberangriffe auf professionelle IT-Dienstleister bereits derart erfolgreich sind, wie einfach muss es dann sein, eine Arztpraxis zu hacken?“ Technisch sei das System der Telematikinfrastruktur längst überholt, veraltet und in der Praxis nur unter hohen Zeit- und Geldaufwand umsetzbar. Der Datenschutz der hochsensiblen Gesundheitsdaten der Patienten ist dabei offensichtlich nicht gewährleistet. Petzold resümiert deshalb: „Sicher sind derzeit nur die Patientendaten bei den Ärzten, die sich genau aus diesen Gründen nicht an die Telematikinfrastruktur haben anschließen lassen.“ (ja)