Anzeige
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen.
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen. (Bild: Bundesgesundheitsministerium)

E-Gesundheitskarte: Mangelnde Personenüberprüfung gefährdet Patientendaten

Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen.
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen. (Bild: Bundesgesundheitsministerium)

Mit einem einfachen Trick können Unbefugte an die Patientendaten auf der E-Gesundheitskarte gelangen. Grund dafür ist eine mangelnde Personenüberprüfung durch die AOK.

Anzeige

Um sich als Inhaber einer E-Gesundheitskarte zu identifizieren, reicht der AOK die Nennung der ersten vier Ziffern der Versicherungsnummer. Damit konnten sich Journalisten beim ZDF in einem Selbstversuch eine zweite Karte ausstellen lassen und kamen so an die Patientendaten.

Laut dem ZDF-Bericht reichte ein Anruf bei der AOK mit dem Hinweis, der Patient wäre umgezogen. Neben den ersten vier Ziffern der Versichertennummer, die sich auch schnell über die Schulter ablesen lässt, hätte auch die Angabe des Geburtsdatums oder die bisherige Adresse genügt, um sich beim Mitarbeiter des AOK-Callcenters zu identifizieren. Die AOK versendete daraufhin eine zweite Karte an die neue Adresse. Mit den Ergebnissen der Recherche konfrontiert, gab die AOK an: "Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können."

Keine Überprüfung beim Erstellen des Onlinekontos

Allein die unzureichende Personenüberprüfung des AOK-Callcenters stellt eine gravierende Datenschutzlücke dar. Die Daten auf der Gesundheitskarte sind jedoch verschlüsselt. Aber auch diese Hürde konnte das ZDF mit Hilfe des Experten für die Datensicherheit beim Gesundheitswesen André Zilch nehmen. Mit den Informationen auf der zweiten Karte erstellte er ein Onlinekonto. Auch hier wurden keine zusätzlichen Informationen abgefragt. Dort können dann sämtliche Patientendaten eingesehen werden. Laut Sozialgesetz muss bei der Eingabe über öffentliche Netze ein sicherer Identitätsnachweis nach Paragraf 18 des Personalgesetzes erfolgen.

Längst hatte auch der Chaos Computer Club (CCC) das Sicherheitskonzept der E-Gesundheitskarte kritisiert. Zwar werden die Daten auf dem Chip der Karte mit einem eigenen kryptographischen Schlüssel chiffriert, es gebe aber die Möglichkeit, ihn bei Verlust wiederherzustellen. Dieser sogenannte Nachschlüssel liege bei der Informationstechnischen Servicestelle der gesetzlichen Krankenversicherung GmbH. Diese wiederum sei organisatorisch nur unzureichend vom Unternehmen Gematik getrennt, das für die Telematikinfrastruktur der E-Gesundheitskarte verantwortlich ist. Deshalb könne ein Zugriff durch Behörden oder Krankenversicherungen auf die Patientenakten mit absoluter Sicherheit nicht ausgeschlossen werden.

Außerdem weist der CCC darauf hin, dass es keine gesetzliche Vorgabe gebe, wie das Foto ausgestaltet sein muss, das auf der E-Gesundheitskarte jetzt Pflicht ist. Versicherte könnten probieren, "beim Foto ihrer Kreativität freien Lauf zu lassen." Allerdings könnten Ärzte dann eine Behandlung verweigern oder eine teure Privatrechnung ausstellen.


eye home zur Startseite
Gontah 25. Jun 2015

Ach, die muss ja nicht unbedingt PIN heissen. Sicherheitszahl, Geheimcode...

Gontah 25. Jun 2015

http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

ibsi 25. Jun 2015

Also ich versuche im Normalfall alles per Telefon zu klären. Wer das schon einmal...

M.P. 25. Jun 2015

ich denke, spätestens wenn der AOK Klar wird, daß die ergaunerten Gesundheitskarten nicht...

Kommentieren



Anzeige

  1. IT-Entwickler (m/w) mit Spezialisierung SAP-Rechnungswesen
    Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn
  2. Spezialist (m/w) SAP SD
    Continental AG, Eschborn
  3. Mitarbeiter/-in Automatisierte Softwareverteilung
    Dataport, Hamburg, Altenholz bei Kiel, Bremen, Magdeburg
  4. Mitarbeiter IT-Service (m/w)
    FRoSTA AG, Bremerhaven

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Smartphone-Betriebssystem

    Microsoft verliert stark gegenüber Google und Apple

  2. Onlinehandel

    Amazon startet eigenen Paketdienst in Berlin

  3. Pastejacking im Browser

    Codeausführung per Copy and Paste

  4. Manuela Schwesig

    Familienministerin will den Jugendschutz im Netz neu regeln

  5. Intels Compute Stick im Test

    Der mit dem Lüfter streamt (2)

  6. Google Chrome für zSpace

    Augmented-Reality-Version des Browsers kommt noch 2016

  7. Medizin

    Tricorderartiger Sensor erfasst Vitaldaten

  8. TG-Tracker

    Sensorbeladene Olympus-Actionkamera mit 4K-Aufnahme

  9. Trotz Unterlassungserklärung

    Unitymedia bleibt im Streit um WLAN-Hotspots hart

  10. Auftragshersteller

    Apple soll Bestellungen für iPhone 7 stark erhöht haben



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. APT28 Hackergruppe soll CDU angegriffen haben
  2. Veröffentlichung privater Daten AfD sucht mit Kopfgeld nach "Datendieb"
  3. Security Roboter aus Lego knackt Gestenauthentifizierung

  1. Re: Golem: Telekom Bashing incoming in 3...

    TodesBrote | 15:37

  2. Re: nicht aufgeben

    Discept | 15:36

  3. Re: kein Wunder ...

    Sybok | 15:36

  4. Re: Nächstes Jahr...

    Wallbreaker | 15:35

  5. Re: Künstler verdienen sehr wenig bei Spotify

    Trollversteher | 15:33


  1. 14:57

  2. 14:31

  3. 13:45

  4. 12:33

  5. 12:02

  6. 11:56

  7. 11:38

  8. 11:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel