Berlin/Essen. Der IT-Dienstleister vieler deutscher Krankenkassen wurde am Donnerstag von Hackern angegriffen. Was Versicherte jetzt wissen müssen.

Die Nachricht kommt zur Unzeit, etwa ein dreiviertel Jahr ehe Bundesgesundheitsminister Karl Lauterbach (SPD) die elektronische Patientenakte (ePA) bundesweit für alle Bürger verbindlich machen will. Noch bei einem Termin am Dienstag hatte er die Vorzüge der flächendeckenden Digitalisierung im Gesundheitssysten gepriesen. Zwei Tage später sieht man mögliche Auswirkungen.

Bundesgesundheitsminister Karl Lauterbach ist von der Digitalisierung überzeugt. Foto: Reto Klar / FUNKE Foto Services
Bundesgesundheitsminister Karl Lauterbach ist von der Digitalisierung überzeugt. Foto: Reto Klar / FUNKE Foto Services © Reto Klar

Was ist passiert?

Der Krankenkassen-Dienstleister Bitmarck aus Essen ist von einer Cyber-Attacke betroffen. Es war möglicherweise ein Hacker-Angriff. Bundesweit sorgte der Angriff bei Krankenkassen, Versicherten und Ärzten für Probleme. Bei einigen Krankenkassen funktionierte die elektronische Patientenakte nur eingeschränkt, bei anderen liefen nicht einmal die Telefone. Auch der Internetauftritt von Bitmarck war betroffen. Das Unternehmen musste deshalb eine temporäre Website einrichten, um über den Angriff zu informieren. Die Frühwarnsysteme des Unternehmens hätten Angriffe gemeldet. Daraufhin habe man „einzelne Server“ vom Netz genommen, heißt es auf der Internetseite. „Nach jetzigem Stand sind keine Daten von Kunden oder Versicherten betroffen. Ebenso wenig gab es nach derzeitigen Erkenntnissen einen Abfluss von anderen Daten“, schreibt das Unternehmen weiter.

Ein Sprecher des Bundesdatenschutzbeauftragten bestätigte in der „Taz“, dass es in dieser Woche eine Datenpannenmeldung von Bitmarck gegeben habe. Es besteht eine Meldepflicht, wenn Unternehmen davon ausgehen, dass personenbezogene Daten abgeflossen sind oder anders als datenschutzrechtlich vorgesehen verarbeitet wurden.

Welche Krankenkassen betroffen?

Die Agentur Gematik, die für den Bund die Gesundheitsdigitalisierung verantwortet, spricht von Einschränkungen bei der Nutzung der elektronischen Patientenakte für Versicherte der Allianz, Signal Iduna, Handels­krankenkasse HKK, DAK, KKH, Mobil BKK, svlfg, BKK und IKK. Allerdings ist das Essener Unternehmen als IT-Dienstleister für mehr als 80 der insgesamt 96 gesetzlichen Krankenkassen in Deutschland tätig. Die Auswirkun­gen können also weitreichender sein.

Dazu passt: Elektronische Patientenakte – Bitte kein gläserner Patient!

Was sind die Auswirkungen?

Für die Krankenkassen bedeutet der Angriff, dass es zu „technischen Störungen und zu Einschränkungen im Tagesgeschäft“ kommen könne. Konsequenzen hat das aber auch für Ärzte und Krankenversicherte. Darüber hinaus könne es zu einem verzögerten Versand und Empfang von sicheren medizinischen E-Mails kommen, wenn die Adressaten bei der Bitmarck Service GmbH registriert sind. Elektronische Arbeitsunfähigkeitsbescheinigung oder Arztbrief können zum Teil nicht zugestellt werden. Auch die Telefonanlagen einiger Kassen sind betroffen. So schrieb etwa die SBK auf ihrer Website, dass die Krankenkasse nicht erreichbar sei.

Erst 2022 war das Unternehmen Bitmarck Holding für hervorragende IT-Dienstleistungen ausgezeichnet worden.
Erst 2022 war das Unternehmen Bitmarck Holding für hervorragende IT-Dienstleistungen ausgezeichnet worden. © FUNKE Foto Services | André Hirtz

Was ist Bitmarck?

Bitmarck ist ein in Essen ansässiges Unternehmen, das technische Infrastruktur und Softwarelösungen bereitstellt. Nach Unternehmensangaben arbeiten rund 80 Krankenkassen mit rund 30.000 Mitarbeitenden und 25 Millionen Versicherten mit Systemen der Firma. Bitmarck ist auch an der technischen Entwicklung und Einführung der elektronischen Patientenakte beteiligt, die als Prestigeobjekt von Gesundheitsminister Lauterbach gilt. Dementsprechend bissig fielen die Reaktionen von Sicherheitsexperten aus.

Empfohlener externer Inhalt
An dieser Stelle befindet sich ein externer Inhalt von X, der von unserer Redaktion empfohlen wird. Er ergänzt den Artikel und kann mit einem Klick angezeigt und wieder ausgeblendet werden.
Externer Inhalt
Ich bin damit einverstanden, dass mir dieser externe Inhalt angezeigt wird. Es können dabei personenbezogene Daten an den Anbieter des Inhalts und Drittdienste übermittelt werden. Mehr dazu in unserer Datenschutzerklärung

Auch interessant: Lauterbach über ChatGPT – Ersetzt KI bald den Arzt?

Was tut das Unternehmen?

Auf der Notfall-Internetseite der Firma heißt es: „Wir haben erfahrene IT-Forensiker mit einer umfassenden Analyse beauftragt. Als Vorsichtsmaßnahme haben wir deshalb unsere Systeme vollständig abgeschaltet.“

Schon im Januar 2023 hatte Bitmarck einen unbefugten Zugriff auf die eigene IT-Infrastruktur festgestellt. Dabei hatten Kriminelle sensible Daten mehrerer Krankenkassen erbeutet und im Darknet veröffentlicht. Nach Recherchen des Computermagazins C’t wurde damals ein 130 Megabyte großer Datensatz abgegriffen und illegal veröffentlicht. Enthalten waren die persönlichen Daten von rund 330.000 Versicherten, darunter Namen, Geburtsdaten, Versichertennummern und Passwörter.

Was kann ich als Versicherter tun?

Die Kommunikation mit Ärzten und Krankenkassen kann man nicht beeinflussen, aber über Dienste wie „Have I been Pawned“ oder „HPI Identity Leak Checker“ lässt sich überprüfen, ob man gehackt wurde und die eigenen Daten schon im Netz kursieren.

Lesen Sie auch: Wo ab Mai Engpässe bei Medikamente in Deutschland drohen