Sehr unschöne Geschichte, die D-Trust GmbH, die für Anträge auf Signatur- und Siegelkarten zuständig ist, wurde Opfer eines Cyberangriffs. Am 13. Januar hat man festgestellt, dass unbefugte Dritte auf das Antragsportal zugegriffen haben. Möglicherweise sind dabei persönliche Daten der Antragsteller abgeflossen.
Anzeige
Wer ist die D-Trust GmbH?
Die D-Trust GmbH ist ein Unternehmen der Bundesdruckerei-Gruppe. Das Unternehmen ist im Rahmen der eIDAS-Verordnung seit 2016 als unabhängiger und qualifizierter Vertrauensdiensteanbieter bei der Bundesnetzagentur gelistet.
Die D-Trust GmbH stellt und zertifizierte Vertrauensdienste wie digitale Zertifikate und elektronische Signaturen sowie Lösungen zum sicheren Datenmanagement wie Datentreuhänder-Plattformen zur Verfügung. Laut Eigenauskunft entsprechen die Plattformen den höchsten Sicherheitsstandards moderner Infrastrukturen und ermöglichen sichere digitale Identitäten für Unternehmen, Behörden und im privaten Umfeld.
Datenschutzvorfall im Januar 2025
In einer knappen Meldung gab die D-Trust GmbH bekannt, dass das Antragsportal für Signatur- und Siegelkarten Ziel eines Angriffs geworden sei. Der Angriff wurde am 13.1.2025 festgestellt. Nach Aufdecken des Angriffs hat die D-Trust umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen.
Anzeige
Die bisher gute Nachricht, sofern sich das nicht ändert: Ausgegebene Signatur- und Siegelkarten wurden nicht kompromittiert und können weiter genutzt werden. PINs, Passwörter, Zahlungsinformationen sowie andere Systeme sind vom Cyberangriff nicht betroffen.
Die schlechte Nachricht: Zur Beantragung solcher Signatur- und Siegelkarten (z.B. durch Anwälte) ist eine Registrierung am Portal erforderlich. Die D-Trust GmbH schreibt, dass beim Vorfall möglicherweise personenbezogene Daten von Antragstellern entwendet worden sind. Die entsprechenden Aufsichtsstellen wurden benachrichtigt, die Betroffenen werden individuell informiert. Es wurde Strafanzeige gegen Unbekannt gestellt.
Aus einer anderen Quelle hat ein Betroffener geschrieben, dass nach dem bisherigen Stand der Ermittlungen Daten wie Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, gegebenenfalls Adressdaten sowie die Nummer des Ausweisdokuments (alles was bei der Registrierung des Benutzerprofils im Portal angegeben wurde) abgeflossen sein könnten. Dass die Daten für Phishing-Versuche missbraucht werden könnten, ist naheliegend.
Ergänzung: Bezüglich der Frage, wer betroffen sein könnte: Jeder, der bei diesem Portal angemeldet ist. Meine oben zitierte Quelle ist im Bereich der Juristen zu verorten. Möglicherweise sind auch Personen aus dem Gesundheitswesen betroffen. heise hat diesen Artikel zum Vorfall veröffentlicht, und ein Leser gibt in diesem Kommentar an, dass Tragwerksplaner aus dem Bereich der Bauingenieure Signaturkarten benötigen und betroffen sein dürften.
Die D-Trust GmbH geht derzeit davon aus, dass der Vorfall gezielt auf eine Störung des Geschäftsbetriebs des Unternehmens ausgerichtet war. Was genau passiert ist, bleibt aber unklar. Ein spezialisiertes IT-Sicherheitsteam der D-Trust arbeitet eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären. Aktuell sind mir noch keine Details bekannt, was genau passiert ist. Wer Rückfragen hat, kann diese unter kontakt@d-trust.net einreichen.
Aber da ist sie wieder, die böse Geschichte, dass Angreifer sich nicht an deutsche Gesetze halten und einfach so auf ein Portal zur Beantragung solcher Signatur- und Siegelkarten zugreifen. Danke an den Blog-Leser für den Hinweis.
Anzeige
Ich finde die Mitteillungen immer lustig "…Sofortmaßnahmen ergriffen um den Schutz…" – so als wäre vorher nicht an Schutz aktiv gewesen. Klingt immer nach einer absoluten Bankrotterklärung und nach einen Versucht die Schuld auf jemand anderen zu schieben :|.
Ehrlicher und offener wäre: "Wird untersucht warum und in welchen Umfang die vorhandenen Sicherheitssysteme nicht funktioniert haben … unser Fortinet Lösung hat uns nichts aufgezeigt und der via Ivanti VPN Verbundene SuperUser konnte an der Palto Alto Firewall keine Probleme mit dem TrendMicros Managementserver feststellen!" und btw. "wir haben alle notwendigen Zertifizierungen zur ISO27001, NIST und unserer Großmutter hat es auch bestätigt!"
:)
Na, da wird aber einer zickig ;-)
Sehr schön formuliert.
Gruß
Ist D-Trust nicht die Stelle die die SMC-B Karten austellen, mit den man die ePA abfragt?
Ja unter anderem. Es werden dort ebenfalls die Karten ausgegeben, welche die Behandler für die digitale Unterschrift nutzen…
gehe zum Kleiderschrank und nimm das T-Shirt mit dem Aufdruck: "told you so"
Der Fokus auf Datenschutz bremst Innovation. Daten treiben Forschung, KI und smarte Technologien voran – doch strenge Regeln behindern diese Entwicklung. Absolute Datensicherheit ist ohnehin eine Illusion; selbst mit teuren Maßnahmen sind Hacks unvermeidbar. Warum also Milliarden investieren, wenn andere Bereiche dringender Lösungen brauchen?
Dann sollte es dir ja auch vollkommen egal sein, wenn du dich vor allen nackig machst und dein Privatleben, deine intimste Seite nach außen gekehrt wird…
Die Aussage "Datenschutz bremst Innovation" ist Bullshit! Das Problem sitzt an anderer Stelle: der, der solche Projekte in Auftrag gibt, was es Kosten darf und wie ordentlich sowas auch geplant wird. Heutzutage ist es alles nur noch Schnell Schnell Schnell, keiner hat mehr einen Plan und steigt durch diese komplexen Anwendungen. Datenschutz ist weder eine Bremse noch ein Täterschutz oder sonst etwas. Hier liegt das Versagen klar an anderer Stelle und auch was die Sicherheit der Anwendungen im Gesundheitswesen anbelangt, gibt es mehr als genug Beweise, wie dilettantisch das alles umgesetzt wurde/wird (Siehe 38C3-Vortrag).
Natürlich ist es einfacher das Narrativ, wie du das tust, rauszuposaunen. Ansonsten würde ich dich bitte, deine Aussagen zu untermauern!
Na ja, dass "Datenschutz" in der bürokratischen Ausprägung und Buchstabentreue, wie er EU-weit und insbes. hier in D gehandhabt wird, wirklich nicht besonders innovationsfreundlich ist, ist doch wohl unbestreitbar, gell?!
Wenn die gesetzlichen Rahmenbedingungen durch die politisch Verantwortlichen anders gesetzt würden, wären sicherlich auch die ansonsten von Dir erwähnten "Auftraggeber" flexibler bzgl. ihrer Projekte und deren Vergabe – und die allgemeine Datensammelwut ist ja auch mittlerweile nichts mehr von jemandem Exklusives. Gab es früher auch schon vor 30 Jahren, ist nur nicht so aufgefallen. 🧐
Es benötigt dahingehend eben allgemeingesellschaftlich mehr Kompetenz!
Btw.:
Ansonsten ist der erwähnte Zeitfaktor eben auch die Folge von in Verbindung mit überbordendem Bequemlichkeitsansinnen zum Endstadium getriebenen Kapitalismus, auf dem unsere Wirtschaftssysteme basieren – und i-wie wollen wir "Konsumenten" es ja offensichtlich auch nicht anders. 🤷♂️
Was hat Ihre Aussage jetzt mit der Meldung zu tun? Hier geht es nicht darum, in welchem Umfang und aus welchem Grund Daten erhoben werden, in dieser Meldung geht es darum, dass bei einem relevanten Unternehmen, das für Sicherheitstechnik verantwortlich ist, eingerochen wurde und Daten abhanden gekommen sind, die ggf. zu "Herausforderungen" bei Kunden dieses Unternehmen führen.
Aber um in Ihren Wortlaut zu bleiben: die Haustür oder das Auto abzuschließen macht keinen Sinn, die Zeit kann man sich besser sparen und unterdessen was sinnvolleres machen, wird ja eh regelmäßig irgendwo eingebrochen und wenn die dann auch noch den Ausweis und die Kreditkarte mitnehmen, egal, sollen die halt damit blödsinn anstellen, ich habe ja genug Zeit das alles wieder zu korrigieren, weil ich habe ja ausreichend Zeit und Geld gespart, da ich die Türen nicht abgeschlossen habe <3
"caligula" scheint es lustig zu finden, irgendwelchen KI-Müll hier zu posten
who cares? Hauptsache die ePA ist sicher… (hihi)