hwr-notes/IT-Sicherheit/Vortrag Sicherheitsvorfall D-Trust 2025/skript.md

# Vortragsskript – D-Trust Sicherheitsvorfall 2025
**Theo Leuthardt · Modul: IT-Sicherheit · ca. 5 Minuten**

---
## Folie 1 – Titel
Ich möchte euch heute einen realen Sicherheitsvorfall vorstellen, der Anfang 2025 für Aufsehen gesorgt hat: den Datenleck bei der D-Trust GmbH.

> 📝 **Speaker Notes**
> - Kurz Pause lassen, Blickkontakt herstellen bevor es losgeht
> - „D-Trust" bewusst langsam aussprechen – viele kennen das Unternehmen nicht

---

## Folie 2 / 3 – Wer ist die D-Trust?

D-Trust ist eine Tochtergesellschaft der Bundesdruckerei-Gruppe – also einem Unternehmen, das direkt dem Bund gehört. D-Trust ist seit 2016 ein sogenannter **qualifizierter Vertrauensdiensteanbieter** nach der europäischen eIDAS-Verordnung.

Was das bedeutet: D-Trust stellt digitale Zertifikate und Ausweise aus – unter anderem den **eHBA**, den elektronischen Heilberufsausweis, und die **SMC-B-Karte**, die Praxisausweis-Karte. Damit authentifizieren sich Ärzte und Apotheker in der Telematikinfrastruktur, also dem digitalen Gesundheitsnetz Deutschlands. D-Trust hat also eine zentrale Vertrauensrolle – und genau das macht den Vorfall besonders brisant.

> 📝 **Speaker Notes**
> - Auf das Organigramm zeigen: D-Trust ist nur eine von mehreren Töchtern
> - Kernbotschaft: D-Trust ist kein kleines Startup – das ist ein staatlich geprägter Anbieter mit Vertrauensauftrag
> - eHBA & SMC-B kurz erklären falls Fragen kommen: „Das sind quasi digitale Ausweise für Arztpraxen"
> - „Telematikinfrastruktur" = das sichere Netz, das alle Arztpraxen, Apotheken und Krankenkassen verbindet

---

## Folie 4 / 5 – Der Vorfall

Am **13. Januar 2025** wurde ein schwerwiegender Datenschutzvorfall bekannt. Das Antragsportal von D-Trust hatte eine API-Schnittstelle, die **völlig ungeschützt** war – keine Authentifizierung, keine Zugangskontrolle.

Ein White-Hat-Hacker, also ein gutgläubiger Sicherheitsforscher, entdeckte das Problem: Durch simples Durchnummerieren von Antrags-IDs – das nennt man **IDOR**, Insecure Direct Object Reference – konnte er alle Datensätze abrufen. Kein Exploit, kein Passwort. Die Tür stand offen. Der Forscher versicherte anschließend, alle abgerufenen Daten restlos gelöscht zu haben.

Er wandte sich allerdings bewusst nicht direkt an D-Trust – aus Angst vor **§ 202a StGB**, dem Hackerparagraphen – sondern an den Chaos Computer Club. Der CCC fasste es treffend zusammen: „Kombination aus Versehen, Inkompetenz und mangelnder Sorgfalt." Es wurden keine aufwändigen Schutzmechanismen umgangen – die Daten waren faktisch ungeschützt.

> 📝 **Speaker Notes**
> - IDOR kurz erklären: „Man hat einfach die Zahl in der URL hochgezählt – 1, 2, 3 – und jedes Mal kamen andere Nutzerdaten zurück"
> - Betonung: Das ist kein hochentwickelter Angriff, das ist Grundschulfehler in der Webentwicklung
> - § 202a Angst des Hackers ist wichtig für später (Prävention) – kurz im Hinterkopf behalten
> - CCC-Zitat langsam und pointiert vorlesen

---

## Folie 6 / 7 – Betroffene Kunden & Daten

Betroffen waren tausende Heilberufler in ganz Deutschland – Ärztinnen und Ärzte, Psychotherapeuten und Apotheker, die über ihre Kammern einen eHBA oder SMC-B beantragt hatten.

Abgeflossen sind persönliche Daten wie Name, E-Mail, Telefonnummer, Geburtsdatum und teilweise sogar Ausweisdaten wie Dokumentennummer und Gültigkeitsdatum. Passwörter, PINs oder die ausgegebenen Karten selbst waren glücklicherweise nicht betroffen.

> 📝 **Speaker Notes**
> - Auf die rote und grüne Karte zeigen: links was weg ist, rechts was verschont blieb
> - „Tausende" – genaue Zahl wurde nie offiziell kommuniziert, was selbst schon Kritikpunkt war
> - Die Datenkombination betonen: Name + Geburtsdatum + E-Mail + Ausweisdaten zusammen ist sehr gefährlich für Identitätsdiebstahl – auch wenn jedes Datum einzeln harmlos klingt

---

## Folie 8 / 9 – Reaktion & Kritik

D-Trust reagierte: Portal gesichert, Behörden informiert, Betroffene benachrichtigt. Allerdings stellten sie auch **Strafanzeige gegen Unbekannt** – also gegen den Hacker, der die Lücke überhaupt erst gemeldet hat. Das sorgte für erhebliche Kritik.

CCC-Sprecher Linus Neumann veröffentlichte einen 5-Punkte-Plan: Verantwortung übernehmen, förmliche Entschuldigung, Sicherheitsstandards des aktuellen Jahrhunderts einhalten, den Hackerparagraphen abschaffen, und eine empfindliche Strafe durch die Bundesdatenschutzbeauftragte. D-Trust wurde vorgeworfen, mit „bedeutungsschwangerer Cyber-Rhetorik" von der eigenen Verantwortung ablenken zu wollen.

> 📝 **Speaker Notes**
> - Strafanzeige gegen den Hacker kurz sacken lassen – das ist die absurde Pointe: derjenige, der das Problem gefunden hat, wird angezeigt
> - „Bedeutungsschwangere Cyber-Rhetorik" erklären falls gefragt: D-Trust sprach von „Cyberangriff" und „hochentwickelten Methoden" – obwohl es eine offene Tür war. Das klingt dramatisch, lenkt aber von der eigenen Schlamperei ab
> - Linus Neumann = bekanntes CCC-Gesicht, Podcast „Chaos Radio"

---

## Folie 10 – Auswirkungen

Die Folgen sind dreifach: Für die Betroffenen besteht erhöhtes Risiko für Phishing und Identitätsdiebstahl – die Kombination aus Name, Geburtsdatum, E-Mail und Ausweisdaten ist ideal für gezielte Social-Engineering-Angriffe.

Für D-Trust ist es ein massiver Reputationsschaden – für einen Vertrauensdiensteanbieter besonders schwerwiegend – und es drohen DSGVO-Bußgelder nach Art. 33 und 34.

Und fürs Gesundheitswesen: Der Vorfall kam zeitlich ungünstig kurz vor der breiten Einführung der elektronischen Patientenakte 3.0. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber wies in dem Zusammenhang darauf hin, dass die ePA 3.0 in einigen Bereichen sogar niedrigere Sicherheitsstandards als ihre Vorgängerversion aufweist. Das nährt bestehende Vorbehalte erheblich.

> 📝 **Speaker Notes**
> - Die drei Spalten kurz abarbeiten, nicht zu lange bei jeder verweilen
> - Kelber-Zitat ist ein guter Aufhänger: zeigt, dass das Problem systemischer Natur ist, nicht nur ein D-Trust-Einzelfall
> - Art. 33/34 DSGVO falls gefragt: 33 = Meldepflicht an Behörde, 34 = Informationspflicht gegenüber Betroffenen – D-Trust hat das erfüllt, aber trotzdem drohen Bußgelder wenn die Sicherheit unzureichend war

---

## Folie 11 / 12 – Präventionsmaßnahmen

Was hätte verhindert werden können? Technisch: regelmäßige API-Audits und Pentests, Authentifizierung, Datenminimierung und Echtzeit-Monitoring. Organisatorisch: ein Responsible-Disclosure-Programm, damit Sicherheitsforscher Lücken sicher melden können, und ein klarer Incident-Response-Plan.

Und regulatorisch – und das ist das eigentliche Kernproblem dieses Falls: **§ 202a StGB muss reformiert werden.** Der CCC kritisierte, dass die Ampel-Koalition es versäumt hatte, die Hackerparagraphen abzuschaffen und Sicherheitsforschung zu entkriminalisieren. Wer Lücken verantwortungsvoll meldet, darf nicht bestraft werden. Solange das so ist, werden Lücken lieber nicht gemeldet – und das ist letztlich gefährlicher als jeder Angriff.

> 📝 **Speaker Notes**
> - Den Bogen zurück zu Folie 5 schlagen: genau weil § 202a existiert, ging der Hacker zum CCC statt direkt zu D-Trust
> - Responsible Disclosure erklären falls nötig: strukturierter Prozess, bei dem Forscher Lücken vertraulich melden können, ohne Strafverfolgung zu riskieren – viele große Firmen haben das (Google, Microsoft etc.)
> - Letzten Satz als Abschlussgedanken betonen und kurze Pause danach lassen

---

## Folie 13 / 14 – Quellen & Ende

Die Quellen findet ihr auf der Quellenfolie. Vielen Dank – ich bin gespannt auf eure Fragen.

> 📝 **Speaker Notes**
> - Mögliche Fragen vorbereiten:
>   - *„Wurde D-Trust bestraft?"* → Bis dato keine öffentlichen Bußgelder bekannt, Ermittlungen laufen
>   - *„Wurde der Hacker angezeigt?"* → Strafanzeige wurde gestellt, Ausgang nicht öffentlich bekannt
>   - *„Ist die ePA sicher?"* → Politisch umstritten, Kelber-Kritik als Aufhänger
>   - *„Was ist IDOR genau?"* → URL-Parameter oder ID hochzählen, um auf fremde Datensätze zuzugreifen

---

> **Zeithinweis:** ca. 20–25 Sek. pro Folie, Gesamtdauer ~5 Min.