Fehlende Sicherheit bei Krankenkasse: Datenklau leicht gemacht
Patientendaten von Versicherten sind häufig nur unzureichend geschützt. Mit einem kleinen Trick kommen Unbefugte leicht heran.
BERLIN taz | Es reicht schon ein geklautes Portemonnaie. Mit nur wenigen Informationen können Unbefugte persönliche Behandlungsdaten auf Webseiten von Krankenkassen einsehen. Das ist das Ergebnis eines Tests der Rheinischen Post. Ausreichend sind dafür Name, Versicherungsnummer und Geburtsdatum.
Vorteil für Betrüger: Bei der neuen Gesundheitskarte gilt die Versichertennummer lebenslang, nach einem Diebstahl lassen sich die Kartendaten also auch später noch missbrauchen.
Für den Test wurde eine Versuchsperson mit Name und Versicherungsnummer eines Redakteurs ausgestattet. Sie suchte sich das zugehörige Geburtsdatum in Internet und änderte telefonisch bei der Kasse die Adresse des Versicherungsnehmers. Auf diesem Weg lässt sich ein Sicherheitsmechanismus aushebeln, den mehrere Kassen nutzen: Um den Online-Zugriff zu aktivieren, schickt die Krankenkasse einen Freischaltcode per Post.
Der Code kommt per Post
Ist die Adresse erst einmal geändert, landet der Code allerdings beim Betrüger. Mit dem Zugriff lassen sich dann etwa Operationen, Krankenhausbesuche, Routineuntersuchungen einsehen. Und die Krankenkasse - in Testfall die Barmer GEK - schickte auch gleich eine neue Versicherungskarte an die vermeintlich neue Adresse. Das birgt weiteres Missbrauchspotenzial.
Die Krankenkasse kündigte als Reaktion darauf ein zusätzliches Sicherheitsseminar für ihre Kundenberater an. Darüber hinaus prüft sie laut Sprecher Athanasios Drougias die Einrichtung zusätzlicher Hürden für den Zugang zu den persönlichen Daten auf der Website, etwa die Einführung eines weiteren Passworts. Abgesehen davon hätten aber auch die Versicherten eine Sorgfaltspflicht.
"Das ist ein Scheunentor, das regelrecht dazu einlädt, sich an den Daten zu bedienen", kritisiert Padeluun vom Verein Digitalcourage. Er fordert, den Online-Zugriff auf die Daten auszusetzen, solange es kein "hinreichend sicheres" System gebe. Das könne etwa ein sogenanntes Opt-In-Verfahren sein, bei dem Versicherte mit Brief und Unterschrift die Teilnahme bestätigen und gleichzeitig über mögliche Risiken aufgeklärt werden.
Leser*innenkommentare
Hans Hunz
Diese #+$%*! "prüfen die Einrichtung zusätzlicher Hürden für den Zugang zu den persönlichen Daten" und weisen auf die "Sorgfaltspflicht des Versicherten" hin?!
Bei sperrangelweitem Zugang für Hinz und Kunz auf Versichertendaten über das eigene Webfrontend? Das kann man schon nicht mehr mit blanker Frechheit oder reiner Dummheit erklären, das scheint eher ein explosives Ärosol aus beiden Komponenten und großzügig verströmter Heissluft zu sein.
Ich halte es anhand solcher Statements für mehr als fragwürdig, dass diese Leute fähig oder auch nur willens sind, die Sicherheit jener initimen Daten, mit denen man sie unverantworlicherweise herumhantieren lässt zu garantieren. IMHO fehlt es da vollkommen an rudimentärem Sachverstand und Sicherheitsbewusstsein.