AOK Datenleck – Sicherheitslücke betrifft 19 Millionen Versicherte 

21. Dezember 2023
Mehrere Ortskrankenkassen der AOK meldeten bereits im Juni dieses Jahres eine erhebliche Sicherheitslücke in ihren IT-Systemen. Der VSVBB erklärt, wer betroffen ist und was dies für Betroffene bedeutet. 

Mehrere Allgemeine Ortskrankenkassen meldeten bereits im Juni dieses Jahrs von einer Sicherheitslücke des IT-Anbieter MOVEit Transfer betroffen zu sein. Insgesamt betrifft die Schwachstelle circa 19 Millionen Versicherte der Allgemeinen Ortskrankenkassen (AOK). Bisher geben sämtliche der Kassen jedoch an, dass die Lücke nicht von Hackern genutzt wurde und es zu keinem Datenabfluss kam. 

Softwaresicherheitslücke wirkt sich auf Unternehmen weltweit aus 

Die für die Lücke verantwortliche Software MOVEit Transfer wird von vielen Unternehmen weltweit für den Austausch von Daten genutzt. So kam es durch Nutzung der Software etwa bei British Airways sowie der BBC zu Datenabflüssen. 

Bereits im Jahr 2021 startete die Hackergruppe Cl0p unter Ausnutzung der Sicherheitslücke erste Cyberangriffe auf Nutzer der Software. Trotz dessen blieb die Lücke bestehen. Eine Schließung erfolgte erst nach den erneuten Angriffen im Mai dieses Jahres.  

Die als AOK bekannte Krankenversicherung besteht tatsächlich aus elf selbstständigen Allgemeinen Ortskrankenkassen, von welchen jede zumeist für eines oder mehrere Bundesländer zuständig ist. Von dem Datenleck betroffen waren die AOKs Baden-Württemberg, Bayern, Bremen/Bremerhaven, Hessen, Niedersachsen, Rheinland-Pfalz/Saarland, Sachsen-Anhalt und AOK Plus in Sachsen und Thüringen sowie der Bundesverband. 

Prüfungen ergeben keinen Hinweis auf Datenabfluss 

Die betroffenen Versicherer beauftragten nach Bekanntwerden der Sicherheitslücke den Dienstleister TÜVIT mit der Überprüfung eines möglichen Datendiebstahls. Diese hat ergeben, dass keinerlei Daten gestohlen wurden. 

Sprecher der AOK erklärten hierzu: “Im Rahmen einer forensischen Untersuchung hat der von der AOK-Gemeinschaft beauftragte Dienstleister TÜVIT die digitalen Spuren analysiert, die die Angreifer beim Zugriff auf die Datenaustausch-Software MOVEit Transfer hinterlassen haben. Dabei konnten bisher keine Hinweise darauf gefunden werden, dass über die Sicherheitslücke in der Software der Schutz von Sozialdaten verletzt worden wäre”. 

Gesundheitsdaten gelten als bei weitem sensibelste Daten 

Ein Abfluss von Gesundheitsdaten wäre als eine datenschutzrechtliche Katastrophe sowohl für die Versicherer als auch die Versicherten anzusehen. Diese gelten nämlich gemeinhin als die empfindlichsten verfügbaren Daten.  

Hacker können Betroffene mit diesen erpressen (etwa durch Drohung der Verbreitung am Arbeitsplatz oder im sozialen Umfeld) oder die in der Regel auch erbeuteten Sozialdaten (etwa Name, Adresse und Sozialversicherungsnummer) für Identitätsdiebstähle nutzen. 

Aus diesem Grund sprechen Gerichte Betroffenen bei Diebstahl von Gesundheitsdaten nicht selten hohe Schadensersatzsummen von bis zu 5.000 EUR zu. Diese können sich sogar noch erhöhen, wenn die Daten tatsächlich für Erpressung oder ähnliches eingesetzt wurden. Schuldner des Schadensersatzes sind die Unternehmen, denen die Daten abhandengekommen sind. 

Zunächst kein Tätigwerden von Versicherten notwendig 

Da die Prüfungen der TÜVIT nun bereits etwas zurückliegen und sich bisher noch keine weiteren Anhaltspunkte für einen tatsächlichen Abfluss ergeben haben, können Versicherte der jeweiligen AOK zunächst aufatmen. Ein Tätigwerden auf eigene Initiative ist zunächst nicht notwendig. 

Sollten zudem Anhaltspunkte für einen Diebstahl bekannt werden, ist die Versicherung verpflichtet, dies dem Versicherten mitzuteilen. Die Aufforderungen einiger Verbraucherkanzleien, sich nun sofort zu dem Thema beraten zu lassen, erscheinen daher übereilt. 

Zusammenfassung 

Die immense Sicherheitslücke bei den Ortskrankenkassen der AOK zeigt, dass auch sensibelste Daten häufig nur völlig unzureichend geschützt werden.  

Zwar kam es hier bisher scheinbar zu keinem tatsächlichen Diebstahl, bei einem solchen wären die Folgen jedoch kaum absehbar. Zu hoffen bleibt daher nur, dass Gesundheitsdienstleister sich den Fall der AOK zur Warnung nehmen und die eigenen Systeme künftig engmaschiger überprüfen.