Daten von Barmer-Versicherten gestohlen

Barmer-Schriftzug an einem Bürogebäude in Stuttgart
Der Angriff soll über eine Sicherheitslücke in der Software MOVEit erfolgt sein – über die international auch weitere Unternehmen und Behörden angegriffen wurden. (Quelle: IMAGO / Arnulf Hettrich)

Angreifer konnten bei einem externen Dienstleister der Barmer-Krankenkasse personenbezogene Daten erbeuten. Das betroffene Unternehmen unterstützt die Kasse bei der Umsetzung ihres Bonusprogramms.

Wie die Nachrichtenseite Golem.de berichtet, hat die Barmer-Krankenkasse Versicherte über den erfolgten IT-Angriff schriftlich informiert. Eine Sprecherin der Krankasse bestätigte den Vorfall auf Anfrage von Posteo. Konkret sind demnach vollständige Namen, Krankenversicherungsnummern, IBAN-Nummern und die Höhe der beantragten Bonus-Prämie abgeflossen. Die Sprecherin betonte, Gesundheitsdaten seien nicht betroffen und in den Systemen des Dienstleisters auch nicht gespeichert gewesen.

Wie viele Personen von dem Datendiebstahl betroffen sind, ist bisher unklar. Die Krankenkasse teilte Posteo mit, das gesamte Ausmaß sei noch nicht abschließend ermittelt worden. Es könne jedoch gesagt werden, “dass die Anzahl der Datensätze bezogen auf die Zahl der am Bonusprogramm teilnehmenden Versicherten einen Bruchteil ausmacht”. Betroffen seien ausschließlich Personen, “bei denen in einem zeitlich eng eingegrenzten Zeitraum Bonusleistungen zur Auszahlung anstanden”. Alle Betroffenen seien zudem bereits einzeln informiert worden.

Die Daten wurden im Rahmen eines IT-Angriffes auf einen Dienstleister entwendet, der mit der Prüfung von Unterlagen beauftragt ist. Auf die IT-Systeme der Krankenkasse habe es hingegen keinen unbefugten Zugriff gegeben.

Warnung vor Missbrauch der Daten

Die gestohlenen Daten könnten beispielsweise für Betrugsversuche genutzt werden. Laut Golem.de warnt die Barmer in dem Schreiben daher: “Leider können wir nicht ausschließen, dass die abgeflossenen Daten im Internet verwendet werden oder Dritte sich als die betroffenen Personen ausgeben.” Betroffene sollten daher in Hinblick auf fragwürdige Nachrichten und Abbuchungen von ihren Bankkonten besonders aufmerksam sein.

Ralf Reichertz, Rechtsreferent der Verbraucherzentrale Thüringen, empfahl gegenüber dem MDR ebenfalls, die Kontoauszüge im Blick zu haben – und bei unberechtigten Abbuchungen die Bank zu informieren.

In einer knappen Pressemitteilung hatte die Krankenkasse bereits am 17. Juni über den Angriff informiert. Darin hieß es lediglich, der Angriff auf den Dienstleister habe bereits am 31. Mai stattgefunden. Die ausgenutzte Sicherheitslücke sei von dem betroffenen Unternehmen geschlossen worden. Außerdem seien “relevante Behörden” informiert worden.

Über das Bonusprogramm der Barmer können Versicherte Punkte sammeln, wenn sie etwa in einem Sportverein Mitglied sind oder an Gesundheitskursen teilnehmen. Die gesammelten Punkte lassen sich dann gegen Prämien eintauschen.

Angriffe über MOVEit-Sicherheitslücke

Die Sprecherin der Krankenkasse erklärte gegenüber Posteo, der Angriff sei von einem “kriminellen Netzwerk” ausgegangen – es sei eine mittlerweile geschlossene Sicherheitslücke in der Software MOVEit ausgenutzt worden. Dabei handelt es sich um eine Datenübertragungssoftware, bei der seit Ende Mai mehrere Sicherheitslücken bekannt sind, für die der Hersteller inzwischen Updates veröffentlicht hat. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Anfang Juni eine Sicherheitswarnung herausgegeben und darin erklärt, es bestehe “unmittelbarer Handlungsbedarf” – die vom Hersteller bereitgestellten Updates sollten “unverzüglich” installiert werden. Der Angriff auf die Systeme des Barmer-Dienstleisters erfolgte nach Angaben der Krankenkasse bereits zwei Tage vor der BSI-Warnung.

Kriminelle hatten diese Lücken in jüngster Zeit vermehrt ausgenutzt, um Daten bei verschiedenen Einrichtungen zu stehlen. So wurden beispielsweise Millionen Führerscheindaten von Einwohnern der US-Bundesstaaten Louisiana und Oregon entwendet.

Auch beim deutschen Vergleichsportal Verivox hatten Angreifer die MOVEit-Lücken ausgenutzt und personenbezogene Daten wie Namen, Adressen und E-Mail-Adressen von Nutzerinnen und Nutzern erbeutet – in einigen Fällen waren auch Kontoverbindungen abhanden gekommen.

Mehrere Landesverbände sowie der Bundesverband der AOK waren ebenfalls von der Sicherheitslücke betroffen. Mitte Juni hatte der AOK-Bundesverband mitgeteilt, eine forensische Analyse habe bisher keine Hinweise auf einen Abfluss von Versichertendaten geliefert.

Medienberichten zufolge sollen diese Angriffe zum Teil von einer russischsprachigen Gruppe namens “Cl0p” (auch “Clop”) ausgeführt worden sein. Laut der Washington Post gehen Beobachter davon aus, dass die Gruppe es hauptsächlich auf die Erpressung von Unternehmen abgesehen hat. Hinweise, dass sie im Auftrag der russischen Regierung handelt, gebe es nicht. (js)