Ein Datenleck bei einem IT-Dienstleister der Barmer Krankenkasse hat dazu geführt, dass vertrauliche Kundendaten in die Hände Unbefugter gelangt sind. Betroffen waren Kunden, die am Bonusprogramm der Krankenkasse teilgenommen hatten, das in Partnerschaft mit dem betroffenen IT-Dienstleister betrieben wird.
Die Barmer Krankenkasse hat damit begonnen, die betroffenen Kundinnen und Kunden schriftlich über den Datenschutzvorfall zu informieren, um ihren Verpflichtungen aus der Datenschutz-Grundverordnung (DSGVO) nachzukommen. Der Vorfall ereignete sich am 31. Mai und wurde der Krankenkasse am 16. Juni gemeldet. Am darauffolgenden Tag informierte die Barmer in einer Pressemitteilung die Öffentlichkeit.
Derzeit prüft die Barmer, ob durch das Leck auch auf den eigenen Datenbestand zugegriffen werden konnte. Die eigenen IT-Systeme der Krankenkasse sind nach derzeitigem Kenntnisstand jedoch nicht betroffen und die Sicherheitslücke wurde inzwischen geschlossen.
Bei den abgeflossenen Daten handelt es sich um Name, Vorname, Krankenversicherungsnummer, Prämienhöhe und Bankverbindung (IBAN) der betroffenen Kundinnen und Kunden. Die Barmer hat sofort nach Bekanntwerden des Vorfalls die Verbindung zu dem betroffenen IT-Dienstleister gekappt.
Weitere Details über den Angriff und die ausgenutzte Sicherheitslücke sowie die genaue Anzahl der Betroffenen liegen derzeit noch nicht vor.
Der Vorfall macht deutlich, dass IT-Dienstleister im Gesundheitswesen und in anderen Branchen attraktive Ziele für Cyberkriminelle sind. Hier lagern große Mengen an Kundendaten, deren Diebstahl bei einem erfolgreichen Angriff weitreichende Folgen haben kann.
