Nach Cyberangriff: Millionen Versicherte können Krankenkassen-Apps nicht nutzen

Inhaltsverzeichnis

Ende April ist der Krankenkassen-IT-Dienstleister Bitmarck Opfer eines Cyberangriffs wurde. Seitdem kommt es bei Millionen Krankenversicherten seit Wochen zu Störungen. So können Versicherte beispielsweise Service-Apps ihrer Krankenkassen wie die der Audi BKK, der Bahn BKK, der Debeka BKK, der HKK und zahlreichen weiteren Apps nicht mehr nutzen. Das geht aus Rezensionen im Play Store hervor. Ein "Ende der Störungen" ist bisher weiterhin nicht in Sicht, wie Bitmarck schreibt.

Die Dienste sollen Schritt für Schritt wieder starten und das nicht bei allen Krankenkassen gleichzeitig. Ein großer Teil der betroffenen Krankenkassen ist zudem nur über extra eingerichtete oder private E-Mail-Adressen zu erreichen. Erhebliche Probleme bei internen Prozessen, etwa Analysetools im Controlling, gebe es ebenfalls.

Krankenkassen warnen vor Phishing-Attacken

Laut bisherigen Analysen haben die Daten durch international aktive Cyberkriminelle, die laut Bitmarck "professionell und mit hoher krimineller Energie" unterwegs sind, weder gestohlen noch verschlüsselt werden können. Kundendaten sind den Krankenkassen und Bitmarck zufolge nicht betroffen. Bei vielen Krankenkassen ist in den Störungsmeldungen ein Hinweis zum Schutz vor Phishing-Versuchen enthalten.

Bild 1 von 32

Betroffene Krankenkassen (32 Bilder)

Zahlungen gehen wieder raus

Bei einigen Krankenkassen gehen seit Ende letzter Woche wieder Zahlungen für Pflegegeld und Ähnliches raus. Der Zugriff auf digital gespeicherte Dokumente sei vielen Krankenkassen zufolge bisher noch eingeschränkt, wodurch sich wohl noch Serviceeinschränkungen ergeben. Zu Verzögerungen könne es ebenfalls kommen, da Service-Apps und Online-Formulare derzeit nicht verfügbar sind.

Notbetrieb für mehr als 40 Krankenkassen eingerichtet

Bei einem Teil der Krankenkassen kommt aktuell lediglich eine Ansage mit einem Hinweis auf technische Störungen, andere sind nicht für Kunden erreichbar – einen Notbetrieb gebe es dort nicht. Manche Krankenkassen gaben an, seit vergangenem Freitag wieder eingeschränkt arbeitsfähig und für Versicherte über Telefon, einen Chat, die Homepage, per Post und per Telefax sowie persönlich in den Geschäftsstellen erreichbar zu sein. Mehr als 40 Krankenkassen sind im Notbetrieb.

HEISE INVESTIGATIV

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Andere Krankenkassen, auch aus den Reihen der Betriebskrankenkassen, sind weniger betroffen. Bei ihnen sind nicht die Versichertenverwaltung und Telefonie, sondern lediglich die elektronische Krankschreibung (eAU) und die elektronische Patientenakte (ePA) vom Abschalten der Systeme betroffen, wie auch aus einer aktualisierten Meldung der für die Digitalisierung des Gesundheitswesens zuständigen Gematik hervorgeht. Laut Bitmarck und weiteren Verantwortlichen funktioniert die Verarbeitung der eAU zwar wieder, allerdings gibt es noch Störungen bei fast der Hälfte der elektronischen Patientenakten aus dem "Bitmarck-Verbund" – 44.000 von 94.000. Bei einigen Krankenkassen gibt es bei der ePA noch Probleme mit dem Identitäts- und Zugriffsmanagement.

Wichtige "Krankenkassen-interne Services wie das Übermitteln von Statistikdaten und Clearingdaten, das Kommunikationssystem TRAVIC-Link zur Übertragung von Daten der Leistungserbringer, Meldedaten oder Sozialversicherungsdaten, der Fachdienst KIM sowie zentrale Prozesse zur Sachbearbeitung" stünden wieder zur Verfügung, schreibt Bitmarck dazu. Somit funktionieren bei einigen Krankenkassen die Kerngeschäftsprozesse wie der Zahlungsverkehr wieder. Ende April sei es noch zu Einschränkungen beim Versand von Dokumenten wie der eAU und dem elektronischen Arztbrief gekommen, der über den Kommunikationsdienst im Medizinwesen (KIM) erfolgt.

Krankenkassen wie die DAK waren durchgehend erreichbar und konnten lediglich für ein paar Tage keine Krankschreibungen verarbeiten. Mit den Maßnahmen habe Bitmarck jedoch größeren Schaden abwenden können. Während einige Krankenkassen kaum von den Maßnahmen betroffen sind, seien Bitmarck zufolge vor allem Krankenkassen im südlichen Raum von Einschränkungen im Tagesgeschäft betroffen.

Bitmarck arbeitet derzeit zusammen mit dem LKA und Sicherheitsexperten wie dem BSI und IT-Forensikern an der Aufarbeitung des Vorfalls. Aufgrund der Sicherheitsmaßnahmen wurden verschiedene Systeme vom Netz genommen, beispielsweise ein Münchner Rechenzentrum.

Wohl kein Zusammenhang mit Adesso

Einen Zusammenhang mit dem Angriff auf den ebenfalls für Bundesbehörden und im Gesundheitswesen auch für Bitmarck tätigen IT-Dienstleister Adesso schloss Bitmarck aus. Das geht aus einer aktualisierter Informationsseite des Unternehmens zum Cyberangriff hervor. Nach eigenen Angaben war Adesso bereits im Mai 2022 Opfer eines Cyberangriffs und steht derzeit auch in der Kritik, dabei möglicherweise ausgespäht worden zu sein. Darüber informiert hat das Unternehmen allerdings erst ein halbes Jahr später.

BMG will Verbindlichkeit aktueller Standards prüfen

Das Bundesgesundheitsministerium will prüfen, "ob auch auf gesetzlicher Basis die Verbindlichkeit entsprechender Standards erhöht werden muss", wie es auf eine Anfrage gegenüber heise online geantwortet hat. Bereits jetzt seien "gesetzliche Kranken- und Pflegeversicherer [...] durch den Branchenspezifischen Sicherheitsstandard (B3S) angehalten, verschiedene Maßnahmen im Bereich der IT-Sicherheit und des IT-Notfallmanagements zu treffen. Dies schließt insbesondere auch Maßnahmen ein, um kritische Dienstleistungen auch im Fall von Störungen aufrechterhalten zu können".

Hinweis: Diese Meldung wird bei neuen Erkenntnissen aktualisiert.

(mack)