Barmer GEK: Wie ein Nutzerkonto bei der Krankenkasse gekapert wird

Ein Datenschutzexperte hat die Krankendaten eines Journalisten der Rheinischen Post einsehen können. Dazu war nicht mehr als dessen Name, Versichertennummer und ein Anruf im Callcenter der Barmer GEK nötig. Jetzt wird ein besserer Schutz gefordert.

Artikel veröffentlicht am ,
Barmer GEK: Wie ein Nutzerkonto bei der Krankenkasse gekapert wird
(Bild: Barmer GEK)

Die gesetzlichen Krankenkassen sollen sensible Patientendaten im Internet besser schützen. "Die Kassen müssen hier dringend die Sicherheit erhöhen. Beispielsweise durch Einführung eines Pin/Tan-Verfahrens analog zum Online-Banking", sagte der gesundheitspolitische Sprecher der CDU/CSU-Bundestagsfraktion, Jens Spahn, der Rheinischen Post. Spahn reagierte damit auf einen Bericht der Rheinischen Post, nach dem Patientenquittungen über ärztliche Behandlungen, Diagnosen und verordnete Medikamente auf der Internetseite der Barmer GEK einsehbar waren.

Stellenmarkt
  1. Revisor (m/w/d)
    Dirk Rossmann GmbH, Burgwedel
  2. Agile Coach (all Genders)
    ALLPLAN GmbH, München
Detailsuche

Die Kasse hatte bereits angekündigt, "die internen Kontroll- und Sicherheitsvorschriften zu überprüfen und gegebenenfalls zu verschärfen".

Mit einem Anruf und einem Brief war es einem professionellen Anbieter von Datenschutz-Dienstleistungen möglich, sich im Internet Zugang zu Patientendaten eines gesetzlich Versicherten zu verschaffen, der als Journalist bei der Rheinischen Post arbeitet. Dafür waren nur dessen Name und Versichertennummer erforderlich. Das Geburtsdatum fand der Experte im Internet.

Mit dem Namen, der Versichertennummer und dem Geburtsdatum konnte der Datenschutzexperte über das Callcenter der Krankenkasse die Wohnadresse des Redakteurs ändern. Auf der Internetseite der Kasse legte er mit den Daten ein Nutzerkonto an. An die fingierte Wohnadresse wurde der Aktivierungsschlüssel für das Konto versandt.

Golem Karrierewelt
  1. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
Weitere IT-Trainings

Über die Funktion "Patientenquittungen" waren die persönlichen Daten des Journalisten einsehbar. "Kontrollbesuche beim Zahnarzt, meine Fleischwunde, meine Operation, in letzterem Fall sogar mit genauer Diagnose, Behandlungsmethode und Name des Arztes. Unser Tester konnte genau sehen, welche Medikamente mir in den vergangenen zwei Jahren verschrieben wurden. Welche Krankenhäuser ich wann und aus welchem Grund besucht habe. Er kann sehen, wer bei einer Familienversicherung noch mitversichert ist."

Die Barmer erklärte den Test zum Einzelfall. Es müsse sich "um einen Fehler eines Mitarbeiters handeln, der offensichtlich nicht alle Vorschriften zur Identifikation eingehalten" habe.

Nachtrag vom 27. Juni 2014, 13:11 Uhr

Die Barmer GEK hat die Kritik zurückgewiesen. Firmensprecher Athanasios Drougias sagte Golem.de: "Unsere Sicherheitssysteme zum Schutz der Versichertendaten befinden sich auf höchstem Niveau. Sie werden wie in allen anderen IT-Bereichen laufend überprüft und angepasst. Für den Zugang zu unserem Kundenportal gelten strengste Sicherheitsvorschriften, die in Teilen sogar über die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik hinausgehen. Der beschriebene Fall ist konstruiert und gewollt. In Wirklichkeit setzt ein unbefugter Zugang kriminelle Energie und eine entsprechende Handlung voraus."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Dingens 05. Jul 2014

sry, hast recht. das dreht die sache natürlich.

plastikschaufel 30. Jun 2014

Ich finde es lustig, dass dieser Typ so etwas sagt. Krankenkassen bewegen sich auch gerne...

Terra 30. Jun 2014

Entschuldige, aber deine (LinuxMacBook) Betrachtungsweise ist auch etwas Engstirnig...

Serpolytics 30. Jun 2014

Was ist schlimmer? Das Betroffene dann auch noch so einen Quatsch von sich geben, oder...



Aktuell auf der Startseite von Golem.de
Gene Roddenberrys andere Sci-Fi-Stoffe
Neben Star Trek leider fast vergessen

Der Name Gene Roddenberry steht vor allem für Star Trek. Nach dem Ende der klassischen Serie hat er aber noch andere Science-Fiction-Stoffe entwickelt.
Von Peter Osteried

Gene Roddenberrys andere Sci-Fi-Stoffe: Neben Star Trek leider fast vergessen
Artikel
  1. Illegales Streaming: House of Dragons bei Piraten beliebter als Ringe der Macht
    Illegales Streaming
    House of Dragons bei Piraten beliebter als Ringe der Macht

    Das Game-of-Thrones-Prequel hat mehr Zuschauer als die neue Herr-der-Ringe-Serie - zumindest via Bittorrent.

  2. Carsten Spohr: Lufthansa-Chef wird Opfer eigener Sicherheitslücke
    Carsten Spohr
    Lufthansa-Chef wird Opfer eigener Sicherheitslücke

    Unbekannte haben einen QR-Code auf einem Boardingpass von Lufthansa-Chef Carsten Spohr ausgelesen und auf persönliche Daten zugreifen können.

  3. Softwareentwicklung: Erste Schritte mit dem modernen Framework Flutter
    Softwareentwicklung
    Erste Schritte mit dem modernen Framework Flutter

    Flutter ist ein tolles und einfach zu erlernendes Framework, vor allem für die Entwicklung mobiler Apps. Eine Anleitung für ein erstes kleines Projekt.
    Eine Anleitung von Pascal Friedrich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Bis -53% auf Gaming-Zubehör und bis -45% auf PC-Audio • Crucial 16-GB-Kit DDR5-4800 69,99€ • Crucial P2 1 TB 67,90€ • MindStar (u. a. Intel Core i5-12600 239€ und Fastro 2-TB-SSD 128€) • Logitech G Pro Gaming Keyboard 77,90€ • Apple iPhone 12 64 GB 659€ [Werbung]
    •  /