Gesundheitskarte: Skandal um leichten Zugang zu sensibelsten Daten
Die elektronische Gesundheitskarte ermöglicht es quasi jedem, ohne besondere technische Kenntnisse an die sensibelsten Informationen von Krankenversicherten zu gelangen. Dafür reicht es meist völlig aus, den Namen einer Person und eine weitere, meist nicht besonders schwer zu bekommende persönliche Information zu besitzen.
Infografik: Elektronische Gesundheitskarte
Einen entsprechenden Versuch hat die Redaktion des ZDF-"heute-journals" mit Unterstützung des Datenschutzexperten André Zilch, der sich auf den medizinischen Bereich spezialisiert hat, durchgeführt. Ein Anruf reichte, um einem simulierten Angreifer Zugang zu einer auf eine andere Person ausgestellte Karte und zu sehr persönlichen Daten zu verschaffen.
Das Problem resultiert aus einer Praxis, die dem Versicherten möglichst wenig Aufwand aufbürden soll, in Verbindung mit den bisher nicht dagewesenen Speicher-Möglichkeiten durch das neue System. Im gezeigten Beispiel die AOK, aber auch andere gesetzliche Krankenkassen, führen bei Ausgabe der Gesundheitskarte nämlich schlicht keine ausreichende Identitätsprüfung durch.
Dadurch ist es möglich, dass sich eine beliebige Person telefonisch eine neue Karte, die auf einen anderen Versicherten ausgestellt ist, zuschicken lässt. Neben dem Namen werden dafür nur Informationen benötigt, die eine eindeutige Zuordnung in der Datenbank erlauben. Es reichen hierfür beispielsweise die ersten Stellen der Versicherten-Nummer oder das noch leichter erhältliche Geburtsdatum. Die Angabe, dass man umgezogen sei und daher eine Karte mit neuer Anschrift benötigt, reicht dann für die Zusendung aus.
Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können, erklärte ein Sprecher der AOK gegenüber dem ZDF. Mit den Informationen, die auf der neuen Karte aufgedruckt sind, erhält man dann online Zugang zu einem kompletten Datensatz über Besuche bei Ärzten und die verordneten Medikamente.
Der Prozess ließe sich laut Zilch recht einfach sicherer gestalten. Denn die Gesundheitskarte sei technisch durchaus geeignet, eine sichere Authentifizierung zu ermöglichen. Es fehle jedoch an zwingend notwendigen organisatorischen und datenschutzkonformen Regelungen. Da in Deutschland rund 70 Millionen Menschen gesetzlich krankenversichert sind, spricht Zilch vom "größten Datenschutzskandal, den es weltweit jemals im Gesundheitssystem gegeben hat".
Das Bundesgesundheitsministerium (BMG) will nun die für die Kassenaufsicht zuständigen Behörden auffordern, die Sicherheitsstandards zu verbessern, hieß es. "Bei solch sensiblen Daten darf Betrug nicht so einfach gemacht werden", räumte ein Sprecher des Ministeriums ein.
Infografik: Elektronische Gesundheitskarte
Einen entsprechenden Versuch hat die Redaktion des ZDF-"heute-journals" mit Unterstützung des Datenschutzexperten André Zilch, der sich auf den medizinischen Bereich spezialisiert hat, durchgeführt. Ein Anruf reichte, um einem simulierten Angreifer Zugang zu einer auf eine andere Person ausgestellte Karte und zu sehr persönlichen Daten zu verschaffen.
Das Problem resultiert aus einer Praxis, die dem Versicherten möglichst wenig Aufwand aufbürden soll, in Verbindung mit den bisher nicht dagewesenen Speicher-Möglichkeiten durch das neue System. Im gezeigten Beispiel die AOK, aber auch andere gesetzliche Krankenkassen, führen bei Ausgabe der Gesundheitskarte nämlich schlicht keine ausreichende Identitätsprüfung durch.
Dadurch ist es möglich, dass sich eine beliebige Person telefonisch eine neue Karte, die auf einen anderen Versicherten ausgestellt ist, zuschicken lässt. Neben dem Namen werden dafür nur Informationen benötigt, die eine eindeutige Zuordnung in der Datenbank erlauben. Es reichen hierfür beispielsweise die ersten Stellen der Versicherten-Nummer oder das noch leichter erhältliche Geburtsdatum. Die Angabe, dass man umgezogen sei und daher eine Karte mit neuer Anschrift benötigt, reicht dann für die Zusendung aus.
Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können, erklärte ein Sprecher der AOK gegenüber dem ZDF. Mit den Informationen, die auf der neuen Karte aufgedruckt sind, erhält man dann online Zugang zu einem kompletten Datensatz über Besuche bei Ärzten und die verordneten Medikamente.
Der Prozess ließe sich laut Zilch recht einfach sicherer gestalten. Denn die Gesundheitskarte sei technisch durchaus geeignet, eine sichere Authentifizierung zu ermöglichen. Es fehle jedoch an zwingend notwendigen organisatorischen und datenschutzkonformen Regelungen. Da in Deutschland rund 70 Millionen Menschen gesetzlich krankenversichert sind, spricht Zilch vom "größten Datenschutzskandal, den es weltweit jemals im Gesundheitssystem gegeben hat".
Das Bundesgesundheitsministerium (BMG) will nun die für die Kassenaufsicht zuständigen Behörden auffordern, die Sicherheitsstandards zu verbessern, hieß es. "Bei solch sensiblen Daten darf Betrug nicht so einfach gemacht werden", räumte ein Sprecher des Ministeriums ein.
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - Gestern 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - Vorgestern 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - Vorgestern 11:14 Uhr -
Datenträgerverwaltung
micro300 - Vorgestern 08:52 Uhr -
KDE kommt mit Plasma 6.7
d-hubs - 18.06. 20:26 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen