Abo
  • Services:
Anzeige
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen.
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen. (Bild: Bundesgesundheitsministerium)

E-Gesundheitskarte: Mangelnde Personenüberprüfung gefährdet Patientendaten

Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen.
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen. (Bild: Bundesgesundheitsministerium)

Mit einem einfachen Trick können Unbefugte an die Patientendaten auf der E-Gesundheitskarte gelangen. Grund dafür ist eine mangelnde Personenüberprüfung durch die AOK.

Anzeige

Um sich als Inhaber einer E-Gesundheitskarte zu identifizieren, reicht der AOK die Nennung der ersten vier Ziffern der Versicherungsnummer. Damit konnten sich Journalisten beim ZDF in einem Selbstversuch eine zweite Karte ausstellen lassen und kamen so an die Patientendaten.

Laut dem ZDF-Bericht reichte ein Anruf bei der AOK mit dem Hinweis, der Patient wäre umgezogen. Neben den ersten vier Ziffern der Versichertennummer, die sich auch schnell über die Schulter ablesen lässt, hätte auch die Angabe des Geburtsdatums oder die bisherige Adresse genügt, um sich beim Mitarbeiter des AOK-Callcenters zu identifizieren. Die AOK versendete daraufhin eine zweite Karte an die neue Adresse. Mit den Ergebnissen der Recherche konfrontiert, gab die AOK an: "Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können."

Keine Überprüfung beim Erstellen des Onlinekontos

Allein die unzureichende Personenüberprüfung des AOK-Callcenters stellt eine gravierende Datenschutzlücke dar. Die Daten auf der Gesundheitskarte sind jedoch verschlüsselt. Aber auch diese Hürde konnte das ZDF mit Hilfe des Experten für die Datensicherheit beim Gesundheitswesen André Zilch nehmen. Mit den Informationen auf der zweiten Karte erstellte er ein Onlinekonto. Auch hier wurden keine zusätzlichen Informationen abgefragt. Dort können dann sämtliche Patientendaten eingesehen werden. Laut Sozialgesetz muss bei der Eingabe über öffentliche Netze ein sicherer Identitätsnachweis nach Paragraf 18 des Personalgesetzes erfolgen.

Längst hatte auch der Chaos Computer Club (CCC) das Sicherheitskonzept der E-Gesundheitskarte kritisiert. Zwar werden die Daten auf dem Chip der Karte mit einem eigenen kryptographischen Schlüssel chiffriert, es gebe aber die Möglichkeit, ihn bei Verlust wiederherzustellen. Dieser sogenannte Nachschlüssel liege bei der Informationstechnischen Servicestelle der gesetzlichen Krankenversicherung GmbH. Diese wiederum sei organisatorisch nur unzureichend vom Unternehmen Gematik getrennt, das für die Telematikinfrastruktur der E-Gesundheitskarte verantwortlich ist. Deshalb könne ein Zugriff durch Behörden oder Krankenversicherungen auf die Patientenakten mit absoluter Sicherheit nicht ausgeschlossen werden.

Außerdem weist der CCC darauf hin, dass es keine gesetzliche Vorgabe gebe, wie das Foto ausgestaltet sein muss, das auf der E-Gesundheitskarte jetzt Pflicht ist. Versicherte könnten probieren, "beim Foto ihrer Kreativität freien Lauf zu lassen." Allerdings könnten Ärzte dann eine Behandlung verweigern oder eine teure Privatrechnung ausstellen.


eye home zur Startseite
Gontah 25. Jun 2015

Ach, die muss ja nicht unbedingt PIN heissen. Sicherheitszahl, Geheimcode...

Gontah 25. Jun 2015

http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

ibsi 25. Jun 2015

Also ich versuche im Normalfall alles per Telefon zu klären. Wer das schon einmal...

M.P. 25. Jun 2015

ich denke, spätestens wenn der AOK Klar wird, daß die ergaunerten Gesundheitskarten nicht...



Anzeige

Stellenmarkt
  1. Zürich Beteiligungs-Aktiengesellschaft, Köln
  2. Chemnitzer Verlag und Druck GmbH & Co. KG, Chemnitz
  3. innogy SE, Essen
  4. Robert Bosch GmbH, Crailsheim


Anzeige
Top-Angebote
  1. Alte PS4 inkl. Controller + 2 Spiele + 99,99€ = PlayStation 4 Pro (1TB)
  2. (-60%) 11,99€
  3. (-17%) 49,99€

Folgen Sie uns
       


  1. Luftfahrt

    Fliegendes Motorrad Kitty Hawk Flyer hebt ab

  2. Seagate

    Rugged-Festplatte enthält SD-Kartenleser für Drohnen

  3. Grafikkarte

    Manche Radeon RX 400 lassen sich zu Radeon RX 500 flashen

  4. Amazon

    Phishing-Kampagne ködert mit Datenschutzgrundverordnung

  5. Linux-Distribution

    Opensuse ändert erneut sein Versionsschema

  6. Ronin 2 und Cendence

    DJI präsentiert neuen Kamera-Gimbal und Drohnencontroller

  7. Festnetz

    Neue Glasfaser von Prysmian soll Spleißzeit verringern

  8. Radeon Pro Duo

    AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips

  9. Mediacenter-Software

    Warum Kodi DRM unterstützen will

  10. Satelliteninternet

    Apple holt sich Satellitenexperten von Alphabet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ryzen 5 1600X im Test: Der fast perfekte Desktop-Allrounder
Ryzen 5 1600X im Test
Der fast perfekte Desktop-Allrounder
  1. UEFI-Update Agesa 1004a lässt Ryzen-Boards schneller booten
  2. RAM-Overclocking getestet Ryzen profitiert von DDR4-3200 und Dual Rank
  3. Ryzen 5 1500X im Test AMD macht Intels Vierkernern mächtig Konkurrenz

Hasta la vista, Vista: Microsoft beendet seinen PR-Alptraum
Hasta la vista, Vista
Microsoft beendet seinen PR-Alptraum
  1. Hasta la vista, Vista Entkernt und abgesichert

Ubuntu: Mark Shuttleworth macht endlich mal was richtig
Ubuntu
Mark Shuttleworth macht endlich mal was richtig
  1. Ubuntu 17.04 erschienen Das vielleicht letzte Mal Unity
  2. Ubuntu Canonical-CEO hört auf und Shuttleworth übernimmt wieder
  3. Ubuntu Canonical gibt Unity 8 und Smartphone-Konvergenz auf

  1. Jetzt noch Tumbleweed umbenennen

    Seitan-Sushi-Fan | 04:38

  2. Re: ...bringt diese oft wiederholte Darstellung...

    DonaldDuck | 04:37

  3. Re: Deutsches Abitur?

    Apfelbrot | 04:27

  4. Re: HBM die Totgeburt

    gaciju | 04:20

  5. Re: DRM braucht es nicht - Aber auf den Fire...

    ve2000 | 03:50


  1. 19:00

  2. 17:59

  3. 17:30

  4. 17:10

  5. 16:49

  6. 16:26

  7. 16:11

  8. 15:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel