Datenschutz muss für die gesetzlichen Krankenkassen höchste Priorität haben. Sie verfügen nicht nur über sensible Informationen zur Gesundheit ihrer Versicherten, sondern auch über Daten zu Konten und Finanzen. Umso mehr ließ es Mitte Juni aufhorchen, als die Barmer GEK per Pressetext mitteilte, ein IT-Dienstleister sei Ziel eines Hackerangriffs geworden. Dieser unterstütze sie bei der Umsetzung ihres Bonusprogramms. Zwar habe es zu keinem Zeitpunkt einen Angriff auf die eigene IT gegeben. Aber: „Aktuell laufen Prüfungen, ob bei diesem Angriff, der am 31. Mai 2023 stattfand, auch Zugriff auf BARMER-Daten erfolgt ist“, schrieb die Krankenkasse damals.

Anzeige

Kontodaten von Barmer-Kunden abgegriffen

Dass bei dem Hackerangriff auch Daten von Kundinnen und Kunden der Barmer gestohlen wurden, kann inzwischen bestätigt werden. Wie das IT-Magazin Golem berichtet, schreibt die Barmer derzeit ihre Kundinnen und Kunden an, um sie über den Angriff zu informieren. Dabei ist den Kriminellen ein ganzes Datenpaket in die Hände gefallen. In den Briefen heißt es laut Golem, dass Vor- und Nachnamen der Versicherten, Krankenversichertennummern und darüber hinaus Bankverbindungen und Prämienbeträge abgegriffen wurden.

In dem Brief informiert die Barmer auch darüber, welche Maßnahmen sie anschließend ergriffen hat, um größeres Unheil abzuwenden. So seien „alle Verbindungen gestoppt“ worden und Sicherheitsmaßnahmen „auf allen Seiten“ eingeleitet worden. Zudem habe man die Aufsichts- und Strafverfolgungsbehörden informiert und IT-Experten damit beauftragt, um den Vorfall aufzuklären. Die Sicherheitslücke, über die sich die Hacker Zugang verschafft hatten, sei inzwischen geschlossen worden. Wie Spiegel online berichtet, handelt es sich bei dem Dienstleister um Majorel. Die Firma hat ihren Hauptsitz in Luxemburg.

Risiken für die betroffenen Barmer-Versicherten

Doch was bedeuten die abgegriffenen Daten für Kundinnen und Kunden? "Leider können wir nicht ausschließen, dass die abgeflossenen Daten im Internet verwendet werden oder Dritte sich als die betroffenen Personen ausgeben“, zitiert golem.de aus dem Schreiben der Krankenkasse. Wenig beruhigend dürfte in diesem Zusammenhang die Bitte sein, die Betroffenen mögen im Hinblick auf fragwürdige Nachrichten oder unbefugte Abbuchungen vom Bankkonto die Augen offen halten. So ist es etwa denkbar, dass die Versicherten Ziel von Pishing-Attacken werden: Kriminelle also versuchen, mittels gefälschter Mails oder Webseiten Passwörter zu ergaunern oder selbst Überweisungen anzufordern. Auch Identitätsdiebstahl dürfte mit den Daten erleichtert werden.

Bei Abbuchungen vom eigenen Konto, die nicht vom Inhaber selbst veranlasst wurden, sollen die Betroffenen Kontakt mit dem Kreditinstitut aufnehmen und gegebenenfalls die Kontonummer ändern, heißt es weiter. Laut einem Bericht des MDR sei es auch denkbar, dass sich Kriminelle Zugang zum Mailpostfach verschaffen und den eigentlichen Inhaber aussperren. So können zum Beispiel größere Amazon-Bestellungen getätigt werden. Oft würden solche Daten im Darknet gehandelt. Die Barmer entschuldigt sich für die entstandenen Unannehmlichkeiten.

Anzeige

Der Verbraucherschützer Ralf Reichertz erklärt dem MDR, dass eventuell auch Schadensersatz-Ansprüche denkbar seien. „Es gab in der Vergangenheit sehr viele Gerichtsentscheidungen, wo nach Hackerangriffen, Datenabgriffen und dem Auftauchen der Daten im Darknet von den Verbrauchern Schadensersatzansprüche gegenüber diesen Unternehmen geltend gemacht wurden“, sagt er der ostdeutschen Rundfunk-Anstalt. Hier gehe es etwa um die Frage, ob der IT-Dienstleister alle Sicherheitsvorkehrungen eingehalten habe oder fahrlässig handelte.

Anzeige