• IT-Karriere:
  • Services:

E-Gesundheitskarte: Mangelnde Personenüberprüfung gefährdet Patientendaten

Mit einem einfachen Trick können Unbefugte an die Patientendaten auf der E-Gesundheitskarte gelangen. Grund dafür ist eine mangelnde Personenüberprüfung durch die AOK.

Artikel veröffentlicht am ,
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen.
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen. (Bild: Bundesgesundheitsministerium)

Um sich als Inhaber einer E-Gesundheitskarte zu identifizieren, reicht der AOK die Nennung der ersten vier Ziffern der Versicherungsnummer. Damit konnten sich Journalisten beim ZDF in einem Selbstversuch eine zweite Karte ausstellen lassen und kamen so an die Patientendaten.

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. Dataport, Altenholz/Kiel, Bremen, Halle (Saale), Hamburg, Magdeburg, Rostock

Laut dem ZDF-Bericht reichte ein Anruf bei der AOK mit dem Hinweis, der Patient wäre umgezogen. Neben den ersten vier Ziffern der Versichertennummer, die sich auch schnell über die Schulter ablesen lässt, hätte auch die Angabe des Geburtsdatums oder die bisherige Adresse genügt, um sich beim Mitarbeiter des AOK-Callcenters zu identifizieren. Die AOK versendete daraufhin eine zweite Karte an die neue Adresse. Mit den Ergebnissen der Recherche konfrontiert, gab die AOK an: "Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können."

Keine Überprüfung beim Erstellen des Onlinekontos

Allein die unzureichende Personenüberprüfung des AOK-Callcenters stellt eine gravierende Datenschutzlücke dar. Die Daten auf der Gesundheitskarte sind jedoch verschlüsselt. Aber auch diese Hürde konnte das ZDF mit Hilfe des Experten für die Datensicherheit beim Gesundheitswesen André Zilch nehmen. Mit den Informationen auf der zweiten Karte erstellte er ein Onlinekonto. Auch hier wurden keine zusätzlichen Informationen abgefragt. Dort können dann sämtliche Patientendaten eingesehen werden. Laut Sozialgesetz muss bei der Eingabe über öffentliche Netze ein sicherer Identitätsnachweis nach Paragraf 18 des Personalgesetzes erfolgen.

Längst hatte auch der Chaos Computer Club (CCC) das Sicherheitskonzept der E-Gesundheitskarte kritisiert. Zwar werden die Daten auf dem Chip der Karte mit einem eigenen kryptographischen Schlüssel chiffriert, es gebe aber die Möglichkeit, ihn bei Verlust wiederherzustellen. Dieser sogenannte Nachschlüssel liege bei der Informationstechnischen Servicestelle der gesetzlichen Krankenversicherung GmbH. Diese wiederum sei organisatorisch nur unzureichend vom Unternehmen Gematik getrennt, das für die Telematikinfrastruktur der E-Gesundheitskarte verantwortlich ist. Deshalb könne ein Zugriff durch Behörden oder Krankenversicherungen auf die Patientenakten mit absoluter Sicherheit nicht ausgeschlossen werden.

Außerdem weist der CCC darauf hin, dass es keine gesetzliche Vorgabe gebe, wie das Foto ausgestaltet sein muss, das auf der E-Gesundheitskarte jetzt Pflicht ist. Versicherte könnten probieren, "beim Foto ihrer Kreativität freien Lauf zu lassen." Allerdings könnten Ärzte dann eine Behandlung verweigern oder eine teure Privatrechnung ausstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Doom Eternal für 37,99€, Doom für 9,99€, Rage 2 für 16,99€, Skyrim Special Edition...
  2. 15,49€

Gontah 25. Jun 2015

Ach, die muss ja nicht unbedingt PIN heissen. Sicherheitszahl, Geheimcode...

Gontah 25. Jun 2015

http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

ibsi 25. Jun 2015

Also ich versuche im Normalfall alles per Telefon zu klären. Wer das schon einmal...

M.P. 25. Jun 2015

ich denke, spätestens wenn der AOK Klar wird, daß die ergaunerten Gesundheitskarten nicht...


Folgen Sie uns
       


Wo bleiben die E-Flugzeuge? (Interview mit Rolf Henke vom DLR)

Wir haben den Bereichsvorstand Luftfahrt beim DLR gefragt, was Alternativen zum herkömmlichen Flugzeug so kompliziert macht.

Wo bleiben die E-Flugzeuge? (Interview mit Rolf Henke vom DLR) Video aufrufen
Drohnen in der Stadt: Schneller als jeder Rettungswagen
Drohnen in der Stadt
Schneller als jeder Rettungswagen

Im Hamburg wird getestet, wie sich Drohnen in Städten einsetzen lassen. Unter anderem entsteht hier ein Drohnensystem, das Ärzten helfen soll.
Ein Bericht von Friedrich List

  1. Umweltschutz Schifffahrtsamt will Abgasverstöße mit Drohnen verfolgen
  2. Coronakrise Drohnen liefern Covid-19-Tests auf schottische Insel
  3. Luftfahrt Baden-Württemberg testet Lufttaxis und Drohnen

LG Gram 14Z90N im Test: Die Feder ist mächtiger als das Schwert
LG Gram 14Z90N im Test
Die Feder ist mächtiger als das Schwert

Das Gram 14 ist das Deutschlanddebüt von LG. Es wiegt knapp 1 kg und kann durch lange Akkulaufzeit statt roher Leistung punkten.
Ein Test von Oliver Nickel

  1. HP Probook 445/455 G7 Business-Notebooks mit Renoir leuchten effizient hell

Zhaoxin KX-U6780A im Test: Das kann Chinas x86-Prozessor
Zhaoxin KX-U6780A im Test
Das kann Chinas x86-Prozessor

Nicht nur AMD und Intel entwickeln x86-Chips, sondern auch Zhaoxin. Deren Achtkern-CPU fasziniert uns trotz oder gerade wegen ihrer Schwächen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. KH-40000 & KX-7000 Zhaoxin plant x86-Chips mit 32 Kernen

    •  /