Abo
  • Services:

E-Gesundheitskarte: Mangelnde Personenüberprüfung gefährdet Patientendaten

Mit einem einfachen Trick können Unbefugte an die Patientendaten auf der E-Gesundheitskarte gelangen. Grund dafür ist eine mangelnde Personenüberprüfung durch die AOK.

Artikel veröffentlicht am ,
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen.
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen. (Bild: Bundesgesundheitsministerium)

Um sich als Inhaber einer E-Gesundheitskarte zu identifizieren, reicht der AOK die Nennung der ersten vier Ziffern der Versicherungsnummer. Damit konnten sich Journalisten beim ZDF in einem Selbstversuch eine zweite Karte ausstellen lassen und kamen so an die Patientendaten.

Stellenmarkt
  1. Helmut-Schmidt-Universität Universität der Bundeswehr Hamburg, Hamburg
  2. Medion AG, Essen

Laut dem ZDF-Bericht reichte ein Anruf bei der AOK mit dem Hinweis, der Patient wäre umgezogen. Neben den ersten vier Ziffern der Versichertennummer, die sich auch schnell über die Schulter ablesen lässt, hätte auch die Angabe des Geburtsdatums oder die bisherige Adresse genügt, um sich beim Mitarbeiter des AOK-Callcenters zu identifizieren. Die AOK versendete daraufhin eine zweite Karte an die neue Adresse. Mit den Ergebnissen der Recherche konfrontiert, gab die AOK an: "Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können."

Keine Überprüfung beim Erstellen des Onlinekontos

Allein die unzureichende Personenüberprüfung des AOK-Callcenters stellt eine gravierende Datenschutzlücke dar. Die Daten auf der Gesundheitskarte sind jedoch verschlüsselt. Aber auch diese Hürde konnte das ZDF mit Hilfe des Experten für die Datensicherheit beim Gesundheitswesen André Zilch nehmen. Mit den Informationen auf der zweiten Karte erstellte er ein Onlinekonto. Auch hier wurden keine zusätzlichen Informationen abgefragt. Dort können dann sämtliche Patientendaten eingesehen werden. Laut Sozialgesetz muss bei der Eingabe über öffentliche Netze ein sicherer Identitätsnachweis nach Paragraf 18 des Personalgesetzes erfolgen.

Längst hatte auch der Chaos Computer Club (CCC) das Sicherheitskonzept der E-Gesundheitskarte kritisiert. Zwar werden die Daten auf dem Chip der Karte mit einem eigenen kryptographischen Schlüssel chiffriert, es gebe aber die Möglichkeit, ihn bei Verlust wiederherzustellen. Dieser sogenannte Nachschlüssel liege bei der Informationstechnischen Servicestelle der gesetzlichen Krankenversicherung GmbH. Diese wiederum sei organisatorisch nur unzureichend vom Unternehmen Gematik getrennt, das für die Telematikinfrastruktur der E-Gesundheitskarte verantwortlich ist. Deshalb könne ein Zugriff durch Behörden oder Krankenversicherungen auf die Patientenakten mit absoluter Sicherheit nicht ausgeschlossen werden.

Außerdem weist der CCC darauf hin, dass es keine gesetzliche Vorgabe gebe, wie das Foto ausgestaltet sein muss, das auf der E-Gesundheitskarte jetzt Pflicht ist. Versicherte könnten probieren, "beim Foto ihrer Kreativität freien Lauf zu lassen." Allerdings könnten Ärzte dann eine Behandlung verweigern oder eine teure Privatrechnung ausstellen.



Anzeige
Top-Angebote
  1. 149,90€ statt 179,90€
  2. 29,00€ inkl. Versand
  3. (-60%) 7,99€
  4. 369,00€ (Vergleichspreis ab 450,99€)

Gontah 25. Jun 2015

Ach, die muss ja nicht unbedingt PIN heissen. Sicherheitszahl, Geheimcode...

Gontah 25. Jun 2015

http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

ibsi 25. Jun 2015

Also ich versuche im Normalfall alles per Telefon zu klären. Wer das schon einmal...

M.P. 25. Jun 2015

ich denke, spätestens wenn der AOK Klar wird, daß die ergaunerten Gesundheitskarten nicht...


Folgen Sie uns
       


Android 9 - Test

Wir haben das neue Android 9 getestet.

Android 9 - Test Video aufrufen
Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. 32-Kern-CPU Threadripper 2990WX läuft mit Radeons besser
  2. Threadripper 2990WX AMDs 32-Kerner kostet weniger als Intels 18-Kerner
  3. Zhongshan Subor Z+ AMD baut SoC mit PS4-Pro-Leistung für chinesische Konsole

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

Matebook X Pro im Test: Huaweis zweites Notebook ist klasse
Matebook X Pro im Test
Huaweis zweites Notebook ist klasse

Mit dem Matebook X Pro veröffentlicht Huawei sein zweites Ultrabook. Das schlanke Gerät überzeugt durch ein gutes Display, flotte Hardware samt dedizierter Grafikeinheit, clevere Kühlung und sinnvolle Anschlüsse. Nur die eigenwillig positionierte Webcam halten wir für fragwürdig.
Ein Test von Marc Sauter

  1. Android Huawei stellt zwei neue Tablets mit 10-Zoll-Displays vor
  2. Smartphones Huawei will Ende 2019 Nummer 1 werden
  3. Handelskrieg Huawei-Chef kritisiert Rückständigkeit in den USA

    •  /