D-Trust: Hinter "Angriff" auf Antragsportal steckte wohl White-Hat-Hacker
Nach Meldungen ĂĽber den Angriff auf ein Antragsportal von D-Trust meldet sich der CCC. Demnach hat ein White-Hat-Hacker auf eine API zugegriffen.
(Bild: PopTika/Shutterstock.com)
Nachdem D-Trust, ein unter anderem für sichere Identitäten relevanter Anbieter, vergangene Woche über einen Angriff auf sein Antragsportal für Signatur- und Siegelkarten berichtet hatte, meldet sich Linus Neumann, Sprecher des Chaos Computer Clubs (CCC) in einer E-Mail bei dem Unternehmen. Er informiert darüber, dass ein anonymer Sicherheitsforscher über eine offene API auf die Daten zugegriffen hat. "Entsprechend wurde auch kein Zugriffsschutz umgangen", so Neumann, der zudem vier Zeiträume auflistet, in denen die Zugriffe erfolgten.
Aufgrund der rechtlichen Grauzone des "Hacker-Paragraphen" und der von D-Trust erstatteten Strafanzeige habe er sich jedoch nicht an D-Trust, sondern unverzüglich an den CCC gewandt. Die Daten seien restlos gelöscht worden. Der CCC hofft, dass D-Trust seine Energie darauf verwendet, sein Sicherheitsniveau auf die "gängigen Standards dieses Jahrhunderts anzuheben".
D-Trust selbst hat auf das Schreiben von Donnerstagabend ebenfalls reagiert. Das Unternehmen arbeite demnach weiterhin "eng mit den involvierten Sicherheitsbehörden und externen Sicherheitsexperten zusammen, um die Aussagen aus dem Schreiben auszuwerten". Aussagen darüber, ob über die von Neumann gelisteten Daten hinaus Zugriffe auf die API erfolgten, trifft das Unternehmen nicht.
Offene API
Am 13. Januar wurden Daten einer Schnittstelle des Portals "portal.d-trust.net" ausgelesen. Auch "Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B)" waren betroffen. Diese speziellen Ausweise benötigen Ärzte, um Zugriff zur Telematikinfrastruktur – die für den Austausch von Daten im Gesundheitswesen gedacht ist – zu erhalten und Dokumente zu signieren. Wiederholt betont das Unternehmen, dass "Funktion und Sicherheit der ausgegebenen Signatur- und Siegelkarten sowie eHBA und SMC-B [...] Zugangsdaten (Login, Passwortdaten) und Zahlungsinformationen" nicht beeinträchtigt oder betroffen seien.
Videos by heise
Nachdem der Vorfall bekannt wurde, hatte unter anderem die Ärztekammer Nordrhein zur Wachsamkeit insbesondere gegenüber Phishing-Mails gewarnt, wie das Ärzteblatt berichtete. Auch die Bundesärztekammer sei wegen des Vorfalls mit D-Trust im Austausch. Die Interessengemeinschaft Medizin hatte nach dem Bekanntwerden des Vorfalls einen Stopp der elektronischen Patientenakte gefordert.
Keine Manipulation der Daten
Möglicherweise wurden "Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und in einigen Fällen Adress- und Ausweisdaten" abgegriffen. Zudem heißt es, dass die Daten lediglich ausgelesen wurden, eine Manipulation der Daten habe nicht stattgefunden. Nach Angaben von D-Trust kooperiert das Unternehmen "eng mit den zuständigen Aufsichtsbehörden. Auch die Strafermittlungsbehörden sind infolge der Strafanzeige der D-Trust GmbH involviert", so D-Trust am 22. Januar.
(mack)
