Datenpanne Cyberangriff auf Dienstleister der Barmer

Im Zuge der kritischen Sicherheitslücke innerhalb der MOVEit Software wurde nach der AOK nun ein Dienstleister der Barmer kompromittiert. Betroffen waren nach Aussagen der Verantwortlichen ausschließlich Versicherte, die am Bonusprogramm der Krankenkasse teilgenommen haben.

In vielen Bereichen gibt es Softwarelösungen, die sich als Standard etabliert haben und deren Verwendung – sei es mangels an Alternativen oder aufgrund der Gewohnheit – zumeist selten bis kaum hinterfragt wird. Im Büroalltag haben sich beispielsweise Softwarelösungen von Microsoft zum Branchenstandard entwickelt. Bei deutschen Krankenkassen und deren Partnerfirmen wurde jahrelang die Softwarelösung „MOVEit Transfer“ von Progress eingesetzt, um Datentransfers im In- und Ausland zu realisieren und dabei die Vorgaben der DSGVO einzuhalten. Gerade beim Umgang mit sensiblen personenbezogenen Daten ist dabei das absolute Vertrauen in die Infrastruktur unabdingbar.

BSI machte auf Lücke aufmerksam

Obwohl bereits Ende Mai von Progress selbst eine Sicherheitswarnung bezüglich eines sogenannten Zero-Day-Exploits in der MOVEit Software veröffentlicht wurde, dauerte es noch einige Tage, bis das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle Anwender der beliebten Softwarelösung darauf hinweisen konnte. Obwohl die Lücke damit hinlänglich bekannt war, konnten nicht alle Dienstleister eine diesbezügliche Lösung in Echtzeit realisieren.

Einige Tage später konnten Kriminelle immer noch die Sicherheitslücke ausnutzen und eine bislang unbekannte Anzahl an Datensätzen erbeuten. Leidtragender war in diesem Fall die Krankenkasse Barmer, die mit 8,7 Millionen Versicherten die zweitgrößte deutsche gesetzliche Krankenkasse (GKV) ist. Genauer gesagt wurde der Dienstleister Majorel Wilhelmshaven, der im Namen der Barmer das Bonusprogramm der Krankenkasse verwaltet, attackiert.

Bei den erbeuteten Datensätzen waren unter anderem die Vor- und Zunamen, die Bankverbindungen sowie die Adressen von Versicherten enthalten. Beim Bonusprogramm der Barmer werden für jeweils 100 gesammelte Punkte zehn Euro an den Versicherten ausbezahlt. Durch eine regelmäßige Teilnahme an Vorsorgeuntersuchungen, wie etwa professionellen Zahnreinigungen sowie Sport- und Freizeitprogrammen kann sich der Versicherte eine Rückerstattung von bis zu 1.000 Punkten oder äquivalent 100 Euro pro Jahr sichern.

Aufgrund der ausbezahlten Höhe der Bonusprämie, die auch in der Datenbank von Majorel hinterlegt war, können theoretisch Rückschlüsse auf den Gesundheitszustand der jeweiligen versicherten Person gezogen werden.

Wie die Barmer reagiert hat

Als Drahtzieher hinter der Attacke auf das Bonusprogramm wird laut Aussagen der Barmer ein internationales Netzwerk an Cyberkriminellen vermutet, die gezielt Unternehmen angreifen, die die Softwarelösung MOVEit von Progress nutzen.

Alle Versicherten, deren Datensätze in die Hände dieses Netzwerks gefallen sind, wurden bereits von der Barmer postalisch davon in Kenntnis gesetzt. Trotz der Datenpanne seitens Majorel sieht die Barmer bei ihrem Dienstleister gegenwärtig keine Anzeichen für Fehlverhalten und will das Bonusprogramm weiterhin in unveränderter Form fortsetzen.

(ID:49581173)