Nach dem Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen sind nach Angaben der Polizeidirektion Hannover Daten aus dem System der Prüfstelle abgeflossen. Hinter der Attacke steckt die Ransomware-Gruppe Kairos, die mit dem Verkauf eines 2,87 Terabyte großen Datensatzes droht.
Der Datensatz steht seit dem 11. Mai auf der Leaksite der Gruppe. Trotz abgelaufener Frist sind die Daten dort noch nicht veröffentlicht worden, auf der Seite sind aber bereits Beispieldateien zu sehen, darunter Briefe von Krankenkassen und Ärzten. Für die Betroffenen ist das brisant, weil Arwini e. V. im Auftrag der gesetzlichen Krankenkassen und der Kassenärztlichen Vereinigung Niedersachsen die Wirtschaftlichkeit ärztlicher Verordnungen prüft und dabei Gesundheits- und Abrechnungsdaten gesetzlich Versicherter verarbeitet. Arwini hatte im Vorfeld erklärt, dass im schlimmsten Fall bis zu 75.000 Datensätze betroffen sein könnten.
Der externe Datenschutzbeauftragte Jürgen Recha sagte, es sei noch unklar, ob und welche Daten überhaupt abgeflossen seien. Die Authentizität der Beispielposts auf der Leaksite von Kairos könne er nicht beurteilen. Die AOK teilte der HAZ mit, dass ihre eigenen Systeme nicht betroffen seien. Nach Angaben der Polizei stehen die Behörden wegen Kairos im internationalen Austausch, unter anderem mit spanischen Ermittlern.
Die Arbeit der Prüfstelle erklärt, warum ein solcher Vorfall mehr berühren kann als nur technische Systeme. Die Kassenärztliche Vereinigung Niedersachsen übermittelt quartalsweise pseudonymisierte Datensätze an die Prüfstelle; Patientendaten sind dabei anonymisiert, doch arztbezogene Daten wie Arztnummern und Betriebsstättennummern können die Identität von Ärzten und Praxen nachvollziehbar machen. Aus einer Prüfvereinbarung von 2022 geht zudem hervor, dass im Zweifel auch weitere Informationen, etwa die Versichertennummer, angefordert werden können.
Inzwischen ist auch eine Meldung über eine Datenschutzverletzung beim Landesbeauftragten für den Datenschutz in Niedersachsen eingegangen. Ob die Meldung fristgerecht erfolgte, werde derzeit geprüft. Die Behörde verweist auf die Informationspflichten gegenüber Betroffenen: Menschen, deren Daten möglicherweise betroffen sind, müssen unverzüglich informiert werden, wenn ein voraussichtlich hohes Risiko für ihre Rechte und Freiheiten besteht, sofern keine Ausnahmen nach Artikel 34 der Datenschutz-Grundverordnung greifen.
