Bitmarck
| BITMARCK Holding GmbH
| |
|---|---|
 | |
| Rechtsform | GmbH |
| Gründung | 1994 |
| Sitz | Essen, Deutschland |
| Leitung | Andreas Strausfeld |
| Mitarbeiterzahl | 1.600 |
| Umsatz | 350 Mio. EUR (2021) |
| Branche | IT-Dienstleister der gesetzlichen Krankenversicherung |
| Website | www.bitmarck.de |
Die Bitmarck Holding GmbH (eigene Schreibweise: BITMARCK) mit Sitz in Essen ist ein Dienstleister von Sozialversicherungsträgern gem. § 94 Abs. 1a Satz 1 SGB X, § 219 SGB V mit ausschließlicher Beteiligung von Krankenkassen(-verbänden),[1] die der staatlichen Aufsicht durch das Bundesamt für Soziale Sicherung (BAS) unterliegt.[2] Sie erbringt IT-Dienstleistungen im Umfeld der gesetzlichen Krankenversicherung.
Geschichte[Bearbeiten | Quelltext bearbeiten]
Das 1994 als Arbeitsgemeinschaft Informationssysteme in der gesetzlichen Krankenversicherung GmbH (ARGE ISKV) gegründete Unternehmen beschäftigt rund 1.600 Mitarbeiter in Essen, Hamburg und München. Zweck des Unternehmens ist die „Entwicklung, Wartung, Überlassung und Betreuung von Informationssystemen in der gesetzlichen Krankenversicherung“. Im Jahr 2008 ist die ARGE ISKV in der neu gegründeten Bitmarck Holding GmbH aufgegangen. Ende 2017 zog das Unternehmen in einen Büroneubau im Europa-Center an der Kruppstraße, Essen. Das Unternehmen legte alle drei Standorte aus Essen zu einem zusammen.[3] Das Unternehmen besteht aus einer Holding und fünf operativen Tochtergesellschaften (Business-Units), jeweils in der Rechtsform einer GmbH. Gesellschafter sind die Betriebskrankenkassen, die Innungskrankenkassen, DAK-Gesundheit, HEK – Hanseatische Krankenkasse, Handelskrankenkasse, Knappschaft und Sozialversicherung für Landwirtschaft, Forsten und Gartenbau. Bei den einzelnen Business-Units handelt es sich um BITMARCK Software, BITMARCK Service, BITMARCK Vertriebs- und Projekt, BITMARCK Beratung und BITMARCK Technik GmbH.
Produkte[Bearbeiten | Quelltext bearbeiten]
BITMARCK ver- und betreibt Software für Krankenkassen, wie beispielsweise die GKV-Branchenlösung „BITMARCK_21c|ng“ sowie die mobilen Lösungen „bitGo_App“ und „bitGo_Web“. Die Unternehmensgruppe bietet als Full-Service-Dienstleister auch Komplettlösungen für die Einführung der elektronischen Gesundheitskarte (eGK), Rechenzentrumsleistungen, sowie Leistungen aus den Bereichen Beratung und Service an, beispielsweise Schulungen oder IT-Consulting. Gemeinsam mit der österreichischen Firma RISE entwickelt BITMARCK zudem die elektronische Patientenakte (ePA) für mehr als 80 Krankenkassen und stellte diese zum 1. Januar 2021 in der ersten Ausbaustufe bereit.
Kundenkreis[Bearbeiten | Quelltext bearbeiten]
Die Software von BITMARCK wird zurzeit bei vielen Betriebskrankenkassen, Innungskrankenkassen, der DAK-Gesundheit und anderen Ersatzkassen eingesetzt. Zu den Kunden von BITMARCK zählen aktuell mehr als 80 Krankenkassen, rund 25 Mio. Versicherte werden mit Produkten von BITMARCK betreut, und 30.000 Mitarbeiter in der GKV setzen BITMARCK-Produkte ein. Zum überwiegenden Teil wird die Software auch in BITMARCK-eigenen Rechenzentren betrieben.
iskv_21c und BITMARCK_21c|ng[Bearbeiten | Quelltext bearbeiten]
Das bei den Krankenkassen bis Ende 2015 noch eingesetzte ISKV-Basissystem, dessen Unix-Benutzeroberfläche inzwischen veraltet war, ist zwischenzeitlich vollständig durch die Neuentwicklung iskv_21c abgelöst. 21c steht dabei für 21st Century. iskv_21c basiert auf einer Client-Server-Architektur mit den Bestandteilen Java, DB2 (Datenbank) und JBoss (Application Server). Im Jahr 2016 wurde beschlossen, die Software iskv_21c gemeinsam mit der ursprünglich optional erhältlichen Integrationsplattform 21c|ng zu dem neuen GKV-Produktstandard „BITMARCK_21c|ng“ zu verschmelzen. Dieser wurde ab 1. Januar 2017 flächendeckend implementiert, mittlerweile ist BITMARCK_21c|ng bei allen Krankenkassen des BITMARCK-Konsortiums im Einsatz.
Mit der Umstellung der DAK-Gesundheit von Alt-System „Dakidis“ auf das neue „BITMARCK_21c|ng“ und dem „GoLive“ am 3. September 2018, hat die BITMARCK in diesem Zusammenhang das nach eigenen Angaben „Größtes IT-Projekt im europäischen Gesundheitswesen erfolgreich abgeschlossen“. Dabei wurden in mehreren Schritten die Daten von insgesamt 5,8 Mio. Versicherten vom Altsystem in „BITMARCK_21c|ng“ übertragen.
Sicherheitsvorfälle[Bearbeiten | Quelltext bearbeiten]
Januar 2023[Bearbeiten | Quelltext bearbeiten]
Im Januar 2023 kam es mit gestohlenen Zugangsdaten zu einem unbefugten Zugriff auf Bitmarcks Instanz des Kollaborationswerkzeugs Jira. Dies war möglich, weil Zugangsdaten von Mitarbeitern erfolgreich kompromittiert wurden und zudem keine Zwei-Faktor-Authentifizierung eingesetzt wurde. Dabei wurde auch ein Datensatz mit personenbezogenen Daten und Zugangsdaten von Versicherten entwendet. Bitmarck gab zunächst in seiner Erklärung vom 19. Januar 2023 an, dass es zu keinem Abfluss von Daten kam, weder beim Anbieter selbst, noch bei Kunden oder Versicherten. Der im Internet zu findende Datensatz wurde am 17. Januar publiziert. Es zeigte sich nach seiner Auswertung durch Bitmarck, dass dies doch der Fall war, woraufhin der IT-Dienstleister seine Angaben korrigierte. Er enthält die Daten der kompromittierten Jira-Instanz und wurde am 16. Januar erstellt. Der Datensatz enthält drei verschiedene Versionen (Dezember 2020 sowie zwei aus dem April 2021), wobei die neuste Version etwa 330.000 Einträge enthält. Medizinische Daten sind darin nicht enthalten, jedoch persönliche Daten wie Geburtsdatum, Versichertennummern und Krankenkassenkarten-Seriennummern sowie Passwortdaten.
Der Angreifer erlangte zwar Informationen über Zugangsdaten, aber er hatte keinen tatsächlichen Zugriff auf E-Mail und Remotedesktop-Dienste oder andere Systeme. Dabei fiel den Redakteuren auf, dass die Passwörter kurz und einfach waren. Außerdem ähnelten sich die Kennwörter für verschiedene Systeme recht stark. Beides widerspricht der seit Jahren bekannten Praxis zur grundlegenden Absicherung von IT-Systemen und damit u. a. auch den Empfehlungen des BSI. Der erfolgreich kompromittierte Bitmarck-Mitarbeiter nutzte einen einzelnen SSH-Schlüssel für vollen Root-Zugriff auf 1.100 Servern. Heise hatte Kontakt mit dem Angreifer und stellte fest, dass dieser wenig versiert war und ihm die Tragweite seines Angriffes gar nicht bewusst gewesen zu sein schien, da er ungezielt wenig geschützte Ziele ins Visier nimmt. Die Bitmarck habe daher Glück gehabt, dass der Schaden weitaus geringer war, als es technisch möglich gewesen wäre.[4][5]
April 2023[Bearbeiten | Quelltext bearbeiten]
Am 25. April 2023 kam es zu einem Angriffsversuch auf die IT von Bitmarck, der jedoch abgewehrt werden konnte. Allerdings kam es zu weitreichenden technischen Störungen bei Bitmarck und einigen von Bitmarck betreuten gesetzlichen Krankenkassen, die durch die vorsorgliche Notabschaltung diverser Systeme verursacht wurden. Davon betroffen war unter anderem die elektronische Patientenakte (ePA) sowie die Übermittlung der elektronischen Arbeitsunfähigkeitsbescheinigungen (eAU) und der elektronische Arztbrief.[6][7]
Siehe auch[Bearbeiten | Quelltext bearbeiten]
Weblinks[Bearbeiten | Quelltext bearbeiten]
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
- ↑ E. Arbeitsgemeinschaften der Krankenkassen Vergabeportal.de, abgerufen am 28. Juni 2021.
- ↑ Liste der Arbeitsgemeinschaften, die der Aufsicht des Bundesamts für Soziale Sicherung unterstehen BAS, abgerufen am 28. Juni 2021.
- ↑ Janet Lindgens: IT-Dienstleister Bitmarck zieht in das neue Europa-Center. 12. Januar 2016, archiviert vom (nicht mehr online verfügbar) am 31. Mai 2019; abgerufen am 31. Mai 2019.
- ↑ Andrijan Möcker, Marie-Claire Koch: Der Bitmarck-Leak: Cybereinbruch beim IT-Dienstleister der Krankenkassen. In: c’t. Band 2023, Nr. 6, 24. Februar 2023, ISSN 0724-8679, S. 50–50 (heise.de [abgerufen am 2. März 2023]).
- ↑ BITMARCK bestätigt unbefugten Zugriff auf Infrastruktur. Bitmarck, 3. Februar 2023, abgerufen am 2. März 2023.
- ↑ BITMARCK – IT-Dienstleister der Krankenkassen gehackt. golem.de, 27. April 2023, abgerufen am 28. April 2023.
- ↑ BITMARCK – IT-Dienstleister der Krankenkassen fährt langsam wieder hoch. golem.de, 28. April 2023, abgerufen am 28. April 2023.