Ende April gab es einen Cyberangriff auf den IT-Dienstleister Bitmarck, der f├╝r viele Krankenkassen t├Ątig ist. Als Folge dessen kam es bei diesen zu wichtigen Systemausf├Ąllen, die weitreichende Folgen hatten. Anfang Mai waren laut dem ├ärzteblatt mehr als 40 Krankenkassen im Notbetrieb. Zwar wurden nach offiziellen Aussagen des IT-Dienstleisters keine Daten von Krankenversicherten abgegriffen, allerdings waren Millionen Patienten durch die Funktionsausf├Ąlle in den Krankenkassen dennoch betroffen.

Das Ausma├č des Schadens war dabei unterschiedlich hoch. W├Ąhrend einige Krankenkassen tage- oder wochenlang nahezu arbeitsunf├Ąhig waren oder z.T. aktuell immer noch sind, hatte z.B. die DAK keine Funktionsausf├Ąlle und konnte nur f├╝r einige Tage keine Krankschreibungen verarbeiten. Bis heute haben einige der Krankenkassen mit massiven St├Ârungen zu k├Ąmpfen. Neben vielen weiteren Einschr├Ąnkungen, waren unter anderem die nachfolgenden Punkte stark betroffen:

  • Ausfall wichtiger Kernfunktionen: Durch den Cyberangriff konnten wichtige Kernprozesse wie z.B. die Auszahlungen von Pflegegeldern wochenlang nicht durchgef├╝hrt werden. Dar├╝ber hinaus gab es erhebliche Probleme beim Kommunikationssystem, bei der Daten├╝bermittlung, bei den Analysetools sowie im Controlling. Auch viele Serviceapps (u.a. Audi BKK, Bahn BKK, Debeka BKK, HKK) und Online-Formulare waren wochenlang nicht nutzbar und laufen aktuell nach und nach wieder an.
  • Verf├╝gbarkeit der Daten: Zudem war der Zugriff auf digital gespeicherte Dokumente bei vielen Krankenkassen stark eingeschr├Ąnkt. Mitte Mai gab es noch St├Ârungen bei der H├Ąlfte der elektronischen Patientenakten (ca. bei 44.000 von 94.000 der bei Bitmarck befindlichen Patientenakten). Auch die elektronische Krankschreibung (eAU) war wochenlang nicht verf├╝gbar.
  • Erreichbarkeit: Viele Krankenkassen waren zudem gar nicht oder ausschlie├člich ├╝ber speziell eingerichtete E-Mail-Adressen erreichbar.

  • Was passiert nun?

    Bitmarck arbeitet derzeit zusammen mit dem LKA (Landeskriminalamt) und Sicherheitsexperten wie dem BSI (Bundes-Amt f├╝r Sicherheit in der Informations-Technik) und IT-Forensikern an der Aufarbeitung des Vorfalls. Aufgrund der Sicherheitsma├čnahmen wurden verschiedene Systeme vom Netz genommen, z.B. ein Rechenzentrum in M├╝nchen. Bitmarck gab an, dass die Dienste Schritt f├╝r Schritt (und nicht bei allen Krankenkassen gleichzeitig) wieder starten sollen.

    Abschlie├čend bleibt aus Datenschutzsicht zu sagen, dass der aktuelle Fall wieder einmal bewiesen hat, wie hoch das Risiko bei der stetig voranschreitenden Digitalisierung des Gesundheitssektors ist. Faktisch hat das Hacking eines einzelnen IT-Unternehmens bundesweit fast zu einem Totalausfall des Krankenkassen-Systems gef├╝hrt. Man darf jetzt gerne einmal gedanklich weiter spinnen, was passieren k├Ânnte, wenn (wie nach aktuellen Pl├Ąnen der EU angestrebt) Gesundheitsdaten im gro├čen Stil in einer Art Superdatenbank zusammengef├╝hrt und zentral gehalten werden w├╝rden. Auch hier w├╝rde ein einziger Cyberangriff bundes- oder EU-weiten Schaden anrichten. Ob es tats├Ąchlich Experten gibt, die ein solches Risiko auf ein Minimum reduzieren k├Ânnten, sei an dieser Stelle einmal offen gelassen.

    Quellenangaben:

    – Artikel „eHealth: 300.000 Versichertenzug├Ąnge von Bitmarck-Leak betroffen“, abgerufen am 15.05.2023 unter https://www.heise.de/news/Nach-Bitmarck-Leak-Versichertendaten-aber-keine-Gesundheitsdaten-betroffen-7481102.html

    – Artikel „Nach Cyberangriff: Millionen Versicherte k├Ânnen Krankenkassen-Apps nicht nutzen“, abgerufen am 15.05.2023 unter https://www.heise.de/news/Nach-Bitmarck-Cyberangriff-Arbeitsablaeufe-vieler-Krankenkassen-massiv-gestoert-8990411.html