Datenschutz & Sicherheit

Niedersachsen: Datenabfluss bei Wirtschaftsprüferverein im Gesundheitswesen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Bei einem Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) sind nach Angaben der Polizeidirektion Hannover Daten aus dem System der Prüfstelle abgeflossen. Arwini verarbeitet Gesundheits- und Abrechnungsdaten gesetzlich Versicherter in Niedersachsen und prüft im Auftrag der gesetzlichen Krankenkassen und der Kassenärztlichen Vereinigung Niedersachsen (KVN) die Wirtschaftlichkeit ärztlicher Verordnungen. Hinter der Attacke steckt die Ransomware-Gruppe „Kairos“, wie die Polizei heise online bestätigte.

Weiterlesen nach der Anzeige

Zuerst hatte die „Hannoversche Allgemeine Zeitung“ (HAZ) über den Vorfall berichtet.

Bis zu 75.000 Datensätze betroffen

Arwini hatte erklärt, dass im schlimmsten Fall bis zu 75.000 Datensätze betroffen sein könnten. Auf Anfrage von heise online antwortete der externe Datenschutzbeauftragte des Unternehmens, Jürgen Recha, dass noch unklar sei, ob und welche Daten überhaupt abgeflossen seien. Die Authentizität der Beispielposts auf der Leaksite der Ransomware-Gruppe „Kairos“ könne Recha nicht beurteilen. Zur konkreten Datenhaltung und technischen Verarbeitung machte Arwini ebenfalls keine Aussagen. Die AOK teilte der HAZ mit, dass ihre eigenen Systeme nicht betroffen seien.

Nach Angaben eines Sprechers der Kassenärztlichen Vereinigung Niedersachsen (KVN) übermittelt die KVN quartalsweise pseudonymisierte Datensätze an die zuständige Prüfstelle. Patientendaten seien dabei anonymisiert. Enthalten seien jedoch arztbezogene Daten wie Arztnummern und Betriebsstättennummern, damit die Prüfstelle wirtschaftliche Auffälligkeiten einzelnen Praxen zuordnen könne. Die Identität von Ärzten und Praxen sei daher nachvollziehbar. Aus einer Prüfvereinbarung von 2022 geht hervor, dass im Zweifel auch weitere Informationen, etwa die Versichertennummer, angefordert werden können.

Stand der Ermittlungen

„Kairos“ droht mit dem Verkauf eines 2,87 Terabyte großen Datensatzes, der seit dem 11. Mai auf der Leaksite der Gruppe gelistet ist. Die Größenordnung steht in auffälligem Kontrast zu den von Arwini genannten 75.000 möglicherweise betroffenen Datensätzen – ob die Angreifer tatsächlich Daten in diesem Umfang erbeutet haben, ist bislang nicht verifiziert. Auf der Leaksite sind auch Beispieldateien zu sehen, überwiegend Briefe zwischen Krankenkassen und Ärzten. Nach Angaben der Polizei stehen die Behörden wegen Kairos im internationalen Austausch – unter anderem mit spanischen Ermittlern.

Weiterlesen nach der Anzeige

Inzwischen ist auch eine Meldung über eine Datenschutzverletzung beim Landesbeauftragten für den Datenschutz in Niedersachsen eingegangen. Ob die Meldung fristgerecht erfolgt sei, werde derzeit geprüft. Die Behörde verweist auf Nachfrage zudem auf die Informationspflichten gegenüber Betroffenen. Menschen, deren Daten möglicherweise betroffen sind, müssten „unverzüglich“ informiert werden, wenn ein voraussichtlich hohes Risiko für ihre Rechte und Freiheiten bestehe – sofern keine Ausnahmen nach Artikel 34 der Datenschutz-Grundverordnung (DSGVO) greifen.


(mack)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen