Datenschutzvorfall im Antragsportal von D-Trust
17.01.2025, letzte Aktualisierung: 01.03.2025
Wir erhielten am 16.01.2025 (!) die folgende Nachricht, auf die wir insbesondere die Kammermitglieder hinweisen möchten, die ihren Heilberufsausweis von D-Trust verwalten lassen. Wir haben noch keine Informationen von D-Trust, welche Mitglieder von dem Vorfall betroffen sind:
„… die D-Trust GmbH ist Ziel eines Angriffs auf das Antragsportal für Signatur- und Siegelkarten geworden. Der Angriff wurde am 13.01.2025 festgestellt. Dabei sind auch möglicherweise personenbezogene Daten von 2 Antragstellern entwendet worden.
Da in diesem Zusammenhang mit Ihrer Organisation eine Auftragsverarbeitung der Daten stattfindet, weisen wir Sie darauf hin, dass Ihre Kunden in diesem Zusammenhang zu informieren sind. Teilen Sie uns bitte mit wie wir Sie unterstützen können.
Nach Aufdecken des Angriffs hat die D-Trust umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen. Es wurde Strafanzeige gegen Unbekannt gestellt. Ein spezialisiertes IT-Sicherheitsteam der D-Trust arbeitet eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären.
Nach bisherigem Stand der Auswertung handelt es sich bei den personenbezogenen Daten um Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, ggfls. Adressdaten sowie ggfls. Nummer des Ausweisdokuments.
Es wurden keine Zugänge (Login, Passwortdaten) oder auch Zahlungsinformationen abgerufen.
Die Funktion und Sicherheit der ausgegebenen eHBA und SMC-B sind nicht beeinträchtigt. Die Karten können weiter wie gewohnt genutzt werden.
Wir gehen derzeit davon aus, dass der Vorfall gezielt auf eine Störung des Geschäftsbetriebs der D-Trust GmbH ausgerichtet war. Gleichwohl ist nicht auszuschließen, dass die möglicherweise entwendeten Daten auch zu Betrugsversuchen genutzt werden.
Hier ist der Link zur Mitteilung auf der Website von D-Trust.
Wir haben D-Trust zeitnah um Auskunft über die betroffenen Mitglieder gebeten. Sobald wir diese erhalten haben, werden wir uns mit diesen Mitgliedern in Verbindung setzen.
31.01.2025
Heute haben wir Auskunft darüber erhalten, welche Mitglieder bei uns betroffen sind. Wir haben die Mitglieder umgehend schriftlich und auch persönlich informiert und beraten.
01.03.2025
Gestern erreicht uns eine erneute Meldung von D-Trust. In diesem Fall hat uns D-Trust sofort über die betroffenen Mitglieder informiert. Wir haben uns bereits mit den Mitgliedern in Verbindung gesetzt.
D-Trust schreibt: „Sehr geehrte Damen und Herren, seit Feststellen des Datenschutzvorfalls vom 3.-6. Januar 2025 im Antragsportal für Signatur- und Siegelkarten der D-Trust GmbH arbeitet ein Team von internen und externen Sicherheitsexperten an der Aufarbeitung. Im Zuge der forensischen Analysen wurde ein weiterer Betroffenenkreis ermittelt. Möglicherweise sind personenbezogene Daten von weiteren Antragstellern entwendet worden, über die wir Sie vorsorglich informieren wollen.
Es handelt es sich bei den personenbezogenen Daten um Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, ggfls. Adressdaten sowie ggfls. Nummer des Ausweisdokuments. Es wurden keine Zugänge (Login, Passwortdaten) oder auch Zahlungsinformationen abgerufen. Die Funktion und Sicherheit der ausgegebenen eHBA und SMC-B sind nicht beeinträchtigt. Die Karten können weiter wie gewohnt genutzt werden.“