Fehlende Sicherheit bei Krankenkasse: Datenklau leicht gemacht
Patientendaten von Versicherten sind häufig nur unzureichend geschützt. Mit einem kleinen Trick kommen Unbefugte leicht heran.
BERLIN taz | Es reicht schon ein geklautes Portemonnaie. Mit nur wenigen Informationen können Unbefugte persönliche Behandlungsdaten auf Webseiten von Krankenkassen einsehen. Das ist das Ergebnis eines Tests der Rheinischen Post. Ausreichend sind dafür Name, Versicherungsnummer und Geburtsdatum.
Vorteil für Betrüger: Bei der neuen Gesundheitskarte gilt die Versichertennummer lebenslang, nach einem Diebstahl lassen sich die Kartendaten also auch später noch missbrauchen.
Für den Test wurde eine Versuchsperson mit Name und Versicherungsnummer eines Redakteurs ausgestattet. Sie suchte sich das zugehörige Geburtsdatum in Internet und änderte telefonisch bei der Kasse die Adresse des Versicherungsnehmers. Auf diesem Weg lässt sich ein Sicherheitsmechanismus aushebeln, den mehrere Kassen nutzen: Um den Online-Zugriff zu aktivieren, schickt die Krankenkasse einen Freischaltcode per Post.
Der Code kommt per Post
Ist die Adresse erst einmal geändert, landet der Code allerdings beim Betrüger. Mit dem Zugriff lassen sich dann etwa Operationen, Krankenhausbesuche, Routineuntersuchungen einsehen. Und die Krankenkasse - in Testfall die Barmer GEK - schickte auch gleich eine neue Versicherungskarte an die vermeintlich neue Adresse. Das birgt weiteres Missbrauchspotenzial.
Die Krankenkasse kündigte als Reaktion darauf ein zusätzliches Sicherheitsseminar für ihre Kundenberater an. Darüber hinaus prüft sie laut Sprecher Athanasios Drougias die Einrichtung zusätzlicher Hürden für den Zugang zu den persönlichen Daten auf der Website, etwa die Einführung eines weiteren Passworts. Abgesehen davon hätten aber auch die Versicherten eine Sorgfaltspflicht.
"Das ist ein Scheunentor, das regelrecht dazu einlädt, sich an den Daten zu bedienen", kritisiert Padeluun vom Verein Digitalcourage. Er fordert, den Online-Zugriff auf die Daten auszusetzen, solange es kein "hinreichend sicheres" System gebe. Das könne etwa ein sogenanntes Opt-In-Verfahren sein, bei dem Versicherte mit Brief und Unterschrift die Teilnahme bestätigen und gleichzeitig über mögliche Risiken aufgeklärt werden.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Umgang mit der AfD
Sollen wir AfD-Stimmen im Blatt wiedergeben?
Pistorius lässt Scholz den Vortritt
Der beschädigte Kandidat
Böllerverbot für Mensch und Tier
Verbände gegen KrachZischBumm
Haftbefehl gegen Netanjahu
Begründeter Verdacht für Kriegsverbrechen
Utøya-Attentäter vor Gericht
Breivik beantragt Entlassung
Nahost-Konflikt
Alternative Narrative