Innerhalb weniger Tage wurden Ende Januar mit Viamedis und Almerys zwei französische Zahlungsdienstleister von Hackern attackiert. Beide verwalten die Zahlungen Dritter für Zusatzkrankenversicherungen. Wie die französische Datenschutzbehörde CNIL mitteilt, betrifft dieses Datenleck mehr als 33 Millionen Menschen – rund die Hälfte der Bevölkerung Frankreichs. Die Behörde sei von beiden Unternehmen über die Vorfälle informiert worden.
CNIL schreibt, die Daten würden Versicherte und deren Familien betreffen: "Den Familienstand, das Geburtsdatum und die Sozialversicherungsnummer, den Namen des Krankenversicherers sowie die Garantien des abgeschlossenen Vertrages." Nicht tangiert seien nach ersten Erkenntnissen Bankinformationen und medizinische Daten.
Grösstes Datenleck in der Geschichte Frankreichs
Laut Medienberichten könnte es sich um das grösste Datenleck in der Geschichte Frankreichs handeln. "Diese Vorfälle gefährden möglicherweise die Integrität der Daten von Dutzenden Millionen Versicherungsempfängern und Hunderttausenden medizinischen Fachkräften", so
'Rtl.fr'. Nach Angaben von Viamedis an den Verband der pharmazeutischen Gewerkschaften Frankreichs hätten die Angreifer auch Zugriff auf Daten von Apothekerinnen und Apothekern erlangt. Betroffen seien weiter Optikerinnen, Hörgeräteakustiker und Zahnarztpraxen.
Es obliege jetzt den jeweiligen Zusatzkrankenkassen, die Viamedis und Almerys als Anbieter nutzen, alle betroffenen Personen individuell und direkt zu informieren, wie es insbesondere die Datenschutz-Grundverordnung (DSGVO) vorsehe, teilt CNIL mit. Die Datenschutzbehörde werde dafür sorgen, dass dies so schnell wie möglich geschieht. Sie warnt vor möglichen Phishing-Angriffen. Zudem sei es möglich, "dass die erbeuteten Daten mit anderen Informationen aus früheren Datenschutzverstössen kombiniert werden könnten, um weitere Straftaten zu begehen".
Mehrere Untersuchungen eröffnet
Wer hinter dem Cyberangriff steckt, ist bis jetzt unklar. Die Pariser Staatsanwaltschaft hat aufgrund der von Viamedis und Amerys eingereichten Meldungen eine Untersuchung eingeleitet. Die Cybercrime-Abteilung der Kriminalpolizei ermittelt wegen Angriffen auf automatisierte Datenverarbeitungssysteme, betrügerischer Sammlung personenbezogener Daten und Hehlerei von Vermögenswerten.
Die Datenschutzbehörde CNIL eröffnete ihrerseits ebenfalls eine Untersuchung. Man prüfe, "ob die vor dem Vorfall und als Reaktion darauf ergriffenen Sicherheitsmassnahmen im Hinblick auf die DSGVO-Verpflichtungen angemessen waren".