Barmer GEK: Wie ein Nutzerkonto bei der Krankenkasse gekapert wird

Ein Datenschutzexperte hat die Krankendaten eines Journalisten der Rheinischen Post einsehen können. Dazu war nicht mehr als dessen Name, Versichertennummer und ein Anruf im Callcenter der Barmer GEK nötig. Jetzt wird ein besserer Schutz gefordert.

Artikel veröffentlicht am ,
Barmer GEK: Wie ein Nutzerkonto bei der Krankenkasse gekapert wird
(Bild: Barmer GEK)

Die gesetzlichen Krankenkassen sollen sensible Patientendaten im Internet besser schützen. "Die Kassen müssen hier dringend die Sicherheit erhöhen. Beispielsweise durch Einführung eines Pin/Tan-Verfahrens analog zum Online-Banking", sagte der gesundheitspolitische Sprecher der CDU/CSU-Bundestagsfraktion, Jens Spahn, der Rheinischen Post. Spahn reagierte damit auf einen Bericht der Rheinischen Post, nach dem Patientenquittungen über ärztliche Behandlungen, Diagnosen und verordnete Medikamente auf der Internetseite der Barmer GEK einsehbar waren.

Stellenmarkt
  1. Webdesigner / Grafikdesigner (m/w/d)
    ALTEC Aluminium-Technik GmbH & Co. KGaA, Mayen
  2. Anwendungsbetreuer (m/w/d) Systemadministration
    KÖNIGSTEINER AGENTUR GmbH, Stuttgart
Detailsuche

Die Kasse hatte bereits angekündigt, "die internen Kontroll- und Sicherheitsvorschriften zu überprüfen und gegebenenfalls zu verschärfen".

Mit einem Anruf und einem Brief war es einem professionellen Anbieter von Datenschutz-Dienstleistungen möglich, sich im Internet Zugang zu Patientendaten eines gesetzlich Versicherten zu verschaffen, der als Journalist bei der Rheinischen Post arbeitet. Dafür waren nur dessen Name und Versichertennummer erforderlich. Das Geburtsdatum fand der Experte im Internet.

Mit dem Namen, der Versichertennummer und dem Geburtsdatum konnte der Datenschutzexperte über das Callcenter der Krankenkasse die Wohnadresse des Redakteurs ändern. Auf der Internetseite der Kasse legte er mit den Daten ein Nutzerkonto an. An die fingierte Wohnadresse wurde der Aktivierungsschlüssel für das Konto versandt.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Über die Funktion "Patientenquittungen" waren die persönlichen Daten des Journalisten einsehbar. "Kontrollbesuche beim Zahnarzt, meine Fleischwunde, meine Operation, in letzterem Fall sogar mit genauer Diagnose, Behandlungsmethode und Name des Arztes. Unser Tester konnte genau sehen, welche Medikamente mir in den vergangenen zwei Jahren verschrieben wurden. Welche Krankenhäuser ich wann und aus welchem Grund besucht habe. Er kann sehen, wer bei einer Familienversicherung noch mitversichert ist."

Die Barmer erklärte den Test zum Einzelfall. Es müsse sich "um einen Fehler eines Mitarbeiters handeln, der offensichtlich nicht alle Vorschriften zur Identifikation eingehalten" habe.

Nachtrag vom 27. Juni 2014, 13:11 Uhr

Die Barmer GEK hat die Kritik zurückgewiesen. Firmensprecher Athanasios Drougias sagte Golem.de: "Unsere Sicherheitssysteme zum Schutz der Versichertendaten befinden sich auf höchstem Niveau. Sie werden wie in allen anderen IT-Bereichen laufend überprüft und angepasst. Für den Zugang zu unserem Kundenportal gelten strengste Sicherheitsvorschriften, die in Teilen sogar über die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik hinausgehen. Der beschriebene Fall ist konstruiert und gewollt. In Wirklichkeit setzt ein unbefugter Zugang kriminelle Energie und eine entsprechende Handlung voraus."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Dingens 05. Jul 2014

sry, hast recht. das dreht die sache natürlich.

plastikschaufel 30. Jun 2014

Ich finde es lustig, dass dieser Typ so etwas sagt. Krankenkassen bewegen sich auch gerne...

Terra 30. Jun 2014

Entschuldige, aber deine (LinuxMacBook) Betrachtungsweise ist auch etwas Engstirnig...

Serpolytics 30. Jun 2014

Was ist schlimmer? Das Betroffene dann auch noch so einen Quatsch von sich geben, oder...

bh9k 30. Jun 2014

... dann ist es auch nicht mehr schwer weiterzukommen. Wie soll die Krankenkasse einen...



Aktuell auf der Startseite von Golem.de
Stella Vita
Solarflügel-Camper tourt 2.000 km ohne Steckdose

Das elektrische Wohnmobil Stella Vita mit ausfahrbarem Solarzellen-Dach ist ohne Steckdosen zum Akkuladen 2.000 km durch Europa gefahren.

Stella Vita: Solarflügel-Camper tourt 2.000 km ohne Steckdose
Artikel
  1. AMD: Ryzen-Treiber korrigiert Kernauswahl unter Windows 11
    AMD
    Ryzen-Treiber korrigiert Kernauswahl unter Windows 11

    Windows 11 nutzt seit dem Patch den schnellsten CPU-Kern, auch der L3-Cache-Bug wurde korrigiert. Die Ryzen-Performance stimmt wieder.

  2. Kia EV 6 im Test: Die Sport-Limousine
    Kia EV 6 im Test
    Die Sport-Limousine

    Der Kia EV 6 basiert auf einer reinen E-Auto-Plattform und nutzt ein 800-Volt-Batteriesystem. Technik und Design hinterlassen beim Test einen guten Eindruck.
    Ein Test von Dirk Kunde

  3. Kernnetz: Telekom wechselt Cisco-Router im zentralen Backbone aus
    Kernnetz
    Telekom wechselt Cisco-Router im zentralen Backbone aus

    Die Deutsche Telekom hat einen besseren Cisco-Router in ihrem zentralen Backbone installiert. Der erreicht 260 TBit/s und wirft Fragen zur IT-Sicherheit auf.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Dualsense PS5-Controller Weiß 57,99€ • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket ausprobieren • Docking-Station für Nintendo Switch 9,99€ • Alternate (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /