Abo
  • Services:

E-Gesundheitskarte: Mangelnde Personenüberprüfung gefährdet Patientendaten

Mit einem einfachen Trick können Unbefugte an die Patientendaten auf der E-Gesundheitskarte gelangen. Grund dafür ist eine mangelnde Personenüberprüfung durch die AOK.

Artikel veröffentlicht am ,
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen.
Mit nur einer einzigen Information könnten Unbefugte eine neue Gesundheitskarte beantragen und an Patientendaten gelangen. (Bild: Bundesgesundheitsministerium)

Um sich als Inhaber einer E-Gesundheitskarte zu identifizieren, reicht der AOK die Nennung der ersten vier Ziffern der Versicherungsnummer. Damit konnten sich Journalisten beim ZDF in einem Selbstversuch eine zweite Karte ausstellen lassen und kamen so an die Patientendaten.

Stellenmarkt
  1. über duerenhoff GmbH, Nürnberg
  2. BSH Hausgeräte GmbH, Traunreut

Laut dem ZDF-Bericht reichte ein Anruf bei der AOK mit dem Hinweis, der Patient wäre umgezogen. Neben den ersten vier Ziffern der Versichertennummer, die sich auch schnell über die Schulter ablesen lässt, hätte auch die Angabe des Geburtsdatums oder die bisherige Adresse genügt, um sich beim Mitarbeiter des AOK-Callcenters zu identifizieren. Die AOK versendete daraufhin eine zweite Karte an die neue Adresse. Mit den Ergebnissen der Recherche konfrontiert, gab die AOK an: "Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können."

Keine Überprüfung beim Erstellen des Onlinekontos

Allein die unzureichende Personenüberprüfung des AOK-Callcenters stellt eine gravierende Datenschutzlücke dar. Die Daten auf der Gesundheitskarte sind jedoch verschlüsselt. Aber auch diese Hürde konnte das ZDF mit Hilfe des Experten für die Datensicherheit beim Gesundheitswesen André Zilch nehmen. Mit den Informationen auf der zweiten Karte erstellte er ein Onlinekonto. Auch hier wurden keine zusätzlichen Informationen abgefragt. Dort können dann sämtliche Patientendaten eingesehen werden. Laut Sozialgesetz muss bei der Eingabe über öffentliche Netze ein sicherer Identitätsnachweis nach Paragraf 18 des Personalgesetzes erfolgen.

Längst hatte auch der Chaos Computer Club (CCC) das Sicherheitskonzept der E-Gesundheitskarte kritisiert. Zwar werden die Daten auf dem Chip der Karte mit einem eigenen kryptographischen Schlüssel chiffriert, es gebe aber die Möglichkeit, ihn bei Verlust wiederherzustellen. Dieser sogenannte Nachschlüssel liege bei der Informationstechnischen Servicestelle der gesetzlichen Krankenversicherung GmbH. Diese wiederum sei organisatorisch nur unzureichend vom Unternehmen Gematik getrennt, das für die Telematikinfrastruktur der E-Gesundheitskarte verantwortlich ist. Deshalb könne ein Zugriff durch Behörden oder Krankenversicherungen auf die Patientenakten mit absoluter Sicherheit nicht ausgeschlossen werden.

Außerdem weist der CCC darauf hin, dass es keine gesetzliche Vorgabe gebe, wie das Foto ausgestaltet sein muss, das auf der E-Gesundheitskarte jetzt Pflicht ist. Versicherte könnten probieren, "beim Foto ihrer Kreativität freien Lauf zu lassen." Allerdings könnten Ärzte dann eine Behandlung verweigern oder eine teure Privatrechnung ausstellen.



Anzeige
Top-Angebote
  1. (u. a. Logitech G Pro Gaming-Maus für 37€)
  2. (u. a. Samsung Galaxy S8 für 469€ und S8+ für 569€)
  3. 79,90€ + 5,99€ Versand (Vergleichspreis ca. 116€)

Gontah 25. Jun 2015

Ach, die muss ja nicht unbedingt PIN heissen. Sicherheitszahl, Geheimcode...

Gontah 25. Jun 2015

http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

ibsi 25. Jun 2015

Also ich versuche im Normalfall alles per Telefon zu klären. Wer das schon einmal...

M.P. 25. Jun 2015

ich denke, spätestens wenn der AOK Klar wird, daß die ergaunerten Gesundheitskarten nicht...


Folgen Sie uns
       


Wir fahren den Jaguar I-Pace - Bericht (Genf 2018)

Wir sind den Jaguar I-Pace in Genf probegefahren und konnten ihn trotz nassem Wetter nicht aus der Spur bringen.

Wir fahren den Jaguar I-Pace - Bericht (Genf 2018) Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
  2. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern
  3. Vor Anhörungen Zuckerberg nimmt alle Schuld auf sich

    •  /