Mitteilung vom 7. Februar 2024 der französischen Datenschutzbehörde «Commission nationale de l'informatique et des libertés CNIL»: Die CNIL untersucht den Hackerangriff auf Viamedis und Almerys. Das sind zwei Finanzdienstleister, die das Drittzahlersystem für zahlreiche Zusatzkrankenversicherungen und Krankenkassen verwalten. Da mehr als 33 Millionen Menschen, die halbe Bevölkerung Frankreichs, betroffen sind, gibt die Datenschutzbehörde einige Ratschläge, was Betroffene tun sollen.

Das ist passiert

Die französische Datenschutzbehörde CNIL wurde von den Finanzdienstleistern Viamedis und Almerys über einen Hackerangriff informiert, dem sie Ende Januar 2024 zum Opfer gefallen waren. Diese Finanzdienstleister sind namentlich für die Verwaltung des Drittzahlersystems von zahlreichen Zusatzkrankenversicherungen und Krankenkassen zuständig. Insgesamt sind von diesem Hackerangriff Daten von mehr als 33 Millionen Personen und mehreren Hunderttausend medizinischen Dienstleistern betroffen. Bei den gestohlenen Daten von Versicherten und ihren Familien handelt es sich um den Familienstand, das Geburtsdatum und die Sozialversicherungsnummer, den Namen des Krankenversicherers sowie die Garantien des abgeschlossenen Vertrags. Dagegen seien Daten wie Bankinformationen, medizinische Daten, Gesundheitsrückerstattungen, Postanschrift, Telefonnummern oder auch E-Mails vom Datendiebstahl nicht betroffen.

Betroffene müssen informiert werden

Wörtlich schreibt die französische Datenschutzbehörde CNIL in ihrer Mitteilung vom 7. Februar 2024: «Es liegt in der Verantwortung jeder der Krankenzusatzversicherungen und Krankenkassen, welche die Dienste von Viamedis und Almerys in Anspruch nehmen, alle betroffenen Personen und medizinischen Dienstleister individuell und direkt zu informieren, wie es insbesondere in der Allgemeinen Datenschutzverordnung DSGVO (Règlement Général sur la Protection des Données RGPD) vorgesehen ist. Die CNIL wird dafür sorgen, dass die Information der Betroffenen so schnell wie möglich geschieht.

Was sollen die Betroffenen tun?

Laut der französischen Datenschutzbehörde CNIL sollen die vom Hackerangriff betroffenen Personen künftig noch viel vorsichtiger sein, wenn sie Aufforderungen rund um Zahlungen erhalten, insbesondere wenn diese Zahlungen im Zusammenhang mit der Erstattung von Gesundheitskosten stehen. Zudem sollen die Betroffenen die Bewegungen auf all ihren Konten stets im Auge behalten: Denn, obwohl Bankinformationen und Kontaktdaten beim aktuellen Hackerangriff nicht gestohlen worden sind, ist es möglich, dass die jetzt gestohlenen Daten mit anderen Informationen aus früheren Datendiebstählen verknüpft sind. Das könnte zu gezielten cyberkriminellen Aktionen gegen Betroffene führen. Oder: Das Risiko, Opfer von Phishing-Betrug, Social Engineering, Identitätsdiebstahl und Versicherungsbetrug zu werden, ist für die Betroffenen stark gestiegen.

Es wird untersucht

Das laut Medienberichten grösste Datenleck in der Geschichte Frankreichs soll eingehend untersucht werden. Die französische Datenschutzbehörde CNIL schreibt: «Angesichts des Ausmasses dieser Cyberattacke beschloss die Präsidentin der CNIL, sehr schnell Untersuchungen durchzuführen. Man will insbesondere feststellen, ob die Sicherheitsmassnahmen, die vor dem Vorfall und als Reaktion darauf umgesetzt wurden, im Hinblick auf die Verpflichtungen der Allgemeinen Datenschutzverordnung DSGVO angemessen waren.» Auch die Pariser Staatsanwaltschaft hat eine Untersuchung eingeleitet: Die zuständige Abteilung für Cyberkriminalität ermittelt wegen Angriffen auf automatisierte Datenverarbeitungssysteme, betrügerischer Sammlung personenbezogener Daten und Hehlerei von Vermögenswerten.