Der Zivilstand, die Sozialversicherungsnummer und Informationen über die Krankenversicherung wurden gestohlen, wie am Mittwoch bekannt wurde. Bank- oder medizinische Informationen sollen hingegen nicht zu den gestohlenen Daten gehören.
Jeder zweite in Frankreich Versicherte ist betroffen. Mehr als 33 Millionen Sozialversicherte bei den Anbietern Viamedis und Almerys waren Ende Januar von einem Hackerangriff betroffen. Die Nationale Kommission für Informatik und Freiheiten (Cnil) gab auf ihrer Website bekannt, dass sie am Mittwoch, den 7. Februar eine Untersuchung eingeleitet hat. Die Cnil spricht von einer Operation von „großem Ausmaß“. Sie wurde von den beiden betroffenen Unternehmen über den Hackerangriff informiert. Viamedis und Almerys haben die Aufgabe, die Drittzahlerregelung der Gesundheitskomplementäre zu verwalten.
Ein Verstoß von außergewöhnlichem Ausmaß
Der Angriff erfolgte über den Diebstahl von Benutzerkennungen und Passwörtern von Angehörigen der Gesundheitsberufe. Viamedis hatte am 1. Februar Alarm geschlagen und die anderen auf Drittzahler spezialisierten Unternehmen gewarnt. Viamedis versicherte, dass man die Verwaltungsplattform nach der Entdeckung des Cyber-Anfriffs sofort abgeschaltet habe, was die Versicherten jedoch nicht daran hindere, weiterhin die Drittzahlerregelung in Anspruch zu nehmen. Viamedis Generaldirektor Christophe Candé erklärte, es habe sich nicht um einen Ransomware-Angriff gehandelt (eine Malware oder ein Virus, die/der den Zugang blockiert, solange kein Geld als Gegenleistung gezahlt wurde).
Einige Tage später gab Almerys bekannt, dass men ebenfalls einen Einbruch in das System festgestellt hatte. Almerys stellte klar, dass das zentrale Informationssystem nicht angegriffen worden war. Nur sein „Portal für Angehörige der Gesundheitsberufe“ sei betroffen und sofort geschlossen worden, erklärte das Unternehmen. Die anderen großen Plattformen für Drittzahler scheinen nicht betroffen zu sein.
„Bei den betroffenen Daten handelt es sich für die Versicherten und ihre Familien um den Zivilstand, das Geburtsdatum und die Sozialversicherungsnummer, den Namen des Krankenversicherers sowie die Garantien des abgeschlossenen Vertrags“, schreibt die Cnil in ihrer Pressemitteilung. „Daten wie Bankinformationen, genaue medizinische Daten, Gesundheitsrückerstattungen, postalische Angaben, Telefonnummern oder auch E-Mails sind von dem Detendiebstahl nicht betroffen“, ergänzt die Kommission. „Es ist das erste Mal, dass es einen Angriff in diesem Ausmaß gibt“, versicherte Yann Padova, ein auf den Schutz digitaler Daten spezialisierter Anwalt und ehemaliger Generalsekretär der Cnil, am Donnerstag auf dem Sender Franceinfo. Seiner Meinung nach handelt es sich um „die größte Sicherheitslücke in Frankreich“.
Schwer zu erkennen, welche Versicherten von dem Angriff betroffen sind.
In ihrer Stellungnahme erklärte die Cnil, sie könne nicht feststellen, ob eine Person betroffen sei oder nicht, da Viamedis und Almerys nur als Vermittler zwischen den Angehörigen der Gesundheitsberufe und den Zusatzversicherungen fungierten. Die Behörde forderte die Zusatzversicherungen, die auf diese beiden Gruppen zurückgreifen, auf, alle ihre betroffenen Versicherten „individuell und direkt“ zu informieren, und kündigte an, dass sie dafür sorgen werde, dass dies „so schnell wie möglich“ geschehe.
Nach Ansicht von Cybersicherheitsexperten, haben die gestohlenen Daten an sich keinen großen Wert. „Es müsste auch mindestens eine E-Mail und eine Telefonnummer dabei sein“, damit sie es ermöglichen, größeren Schaden anzurichten. Tamim Couvillers, Analyst bei der Cybersicherheitsfirma Vade, warnt jedoch, dass die Daten „schnell mit anderen Dateien abgeglichen“ und für zukünftige Cyberangriffe verwendet werden können. „Die Sozialversicherungsnummer eines Opfers zu haben, kann einer Phishing-E-Mail Glaubwürdigkeit verleihen“.
Viamedis reichte bei der Staatsanwaltschaft eine Anzeige ein. „Angesichts des Ausmaßes der Verletzung“ wird die Cnil „sehr schnell Untersuchungen durchführen“, insbesondere „um festzustellen, ob die Sicherheitsmaßnahmen, die vor dem Vorfall und als Reaktion darauf umgesetzt wurden, im Hinblick auf die Verpflichtungen der allgemeinen Datenschutzverordnung angemessen waren“, erklärte Viamedis Präsidentin Marie-Laure Denis.
Abonniere einfach den Newsletter unserer Chefredaktion!
