Ärzte Zeitung, 01.07.2015

Datenschutz

Hacken der E-Card ist nicht so einfach

Sind Gesundheitskarten leicht zu hacken? Diese Schlagzeilen gingen vergangene Woche durch die Presse. Doch wer nachbohrt, erfährt, dass es nicht um die Karte geht, sondern um Organisationsversagen der Krankenkassen.

Von Hauke Gerlof

Hacken der E-Card ist nicht so einfach

Mit der Gesundheitskarte Zugang zu Patientendaten erschlichen? Die Versichertennummer tut‘s eher.

© Robert Schlesinger / dpa

NEU-ISENBURG. Einmal mehr sorgte die Gesundheitskarte in der vergangenen Woche für mediale Aufregung: Das "Heute Journal" meldete in einer Reportage den "größten Datenschutzskandal, den es weltweit jemals im Gesundheitssystem gegeben hat". Das war jedenfalls die Aussage des zitierten Datenschutzexperten Dr. André Zilch (wir berichteten kurz).

In nachfolgenden Berichten in der Presse hieß es dann, die Gesundheitskarten seien einfach zu hacken.

Was war passiert? Der Datenschutzexperte hatte bei einer Krankenkasse angerufen und dabei eine falsche Identität vorgetäuscht - unter Nennung eines Namens, des korrekten Geburtsdatums der Person oder der ersten Ziffern der Versichertennummer derselben Person.

Er täuschte vor, er sei umgezogen, woraufhin die Krankenkasse dem vermeintlich umgezogenen Versicherten die neue Versichertenkarte umstandslos zuschickte.

Zugriff auf Daten erschlichen

Mit den Daten der Karte, so hieß es, habe sich dann ein Online-Konto des Versicherten bei der Kasse erstellen lassen - und damit habe Zilch dann Zugriff zu Patientenquittungen mit Arztbesuchen, Medikation und auch den Diagnosen bekommen. Diese Daten, heißt es im Bericht, könnten beispielsweise einen Arbeitgeber sehr interessieren.

Das Problem wurde im Bericht der elektronischen Gesundheitskarte zugeschoben, doch eigentlich geht es gar nicht um die Karte, sondern um die fehlende Feststellung der Identität durch eine Krankenkasse, wenn sie Versicherten Zugriff auf das Online-Portal gewährt - mit den dort gespeicherten persönlichen Daten.

Denn noch sind auf der Karte keine medizinischen Daten gespeichert, und auch später soll der Zugriff auf die Patientendaten in der Telematikinfrastruktur nur im Zusammenspiel von Arzt und Patient möglich sein - wenn beide ihre Geheimzahl eingeben. Darauf weisen auch das Bundesgesundheitsministerium und der GKV-Spitzenverband auf Nachfrage hin.

Auch im Hinblick auf die Feststellung der Identität gibt es offenbar unterschiedliche Vorgehensweisen bei den Kassen: "Bei der Barmer GEK kann das grundsätzlich nicht passieren", schreibt zum Beispiel der Pressesprecher der Ersatzkasse, Thorsten Jakob.

Bei telefonischem Kontakt werde immer unter anderem der vollständige Name, die Adresse, die Versichertennummer und das Geburtsdatum abgefragt. Bei Zweifeln an der Identität "wird der Anrufer gebeten, sein Anliegen in einer Geschäftsstelle zu erledigen", so Jakob.

Betrug bleibt nicht unentdeckt

Ohnehin würde der Betrug - denn genau darum handelt es sich bei der Vorspiegelung einer falschen Identität - beim nächsten Arztbesuch des tatsächlich Versicherten auffliegen, da die Karte dann in der Praxis als vermeintlich falsch von der Software erkannt würde.

"Wir setzen hierzu das etablierte Verfahren "CardTrust" ein", erläutert Jakob. Rund 75 Prozent der Vertragsärzte nutzten das Verfahren bereits. Damit würde ein vermeintlicher Betrüger, der die Daten missbrauchen will, schnell entlarvt.

"Höchstmaß an Datensicherheit"

Das Bundesgesundheitsministerium (BMG) bleibt dann auch nach der Sendung im ZDF bei der Auffassung, die Gesundheitskarte und die geplante Telematikinfrastruktur "bieten ein Höchstmaß an Datensicherheit". Das hätten auch die Bundesdatenschutzbeauftragte und der Chef des Bundesamtes für Sicherheit in der Informationstechnik bestätigt.

In Bezug auf Online-Portale von Krankenkassen und die Gefahr des Identitätsdiebstahls verweist das BMG darauf, dass das Bundesversicherungsamt (BVA) bereits im vergangenen Jahr um Prüfung gebeten worden sei.

Bereits im September 2014 habe daraufhin das BVA klargestellt, "dass Krankenkassen entsprechende Online-Anwendungen nur dann anbieten dürfen, wenn sichergestellt ist, dass sensible Gesundheitsdaten durch einen sicheren Registrierungsprozess mit Identitätsnachweis (...) und eine geeignete Verschlüsselung bei der Übertragung geschützt sind".

Der aktuelle Fall müsse von den Aufsichtsbehörden zum Anlass genommen werden, "auch hier die Sicherheitsstandards genau zu prüfen und entsprechende Konsequenzen zu ziehen, um den Schutz von Patientendaten sicherzustellen".

Lesen Sie dazu auch den Kommentar:
Hausaufgaben für Kassen

[02.07.2015, 12:13:27]
Dr. Richard Barabasch 
Halten wir fest :
Es wird abwiegelnd "um den heissen Brei herum" geredet - oder eher geschwätzt !
Was heist in "der IT" denn nun sicher ? Ist sicher "sicher" - oder nicht ? Hacken, einbrechen, Daten erschleichen, mit betrügerisch erhaltenen Daten umgehen und handeln das ist doch die GRUNDLAGE dieser Diskussion, weil mit diesen Daten Schindluder getrieben wird. Oder besteht da tatsächlich kein Konsens ??? Ist unter diesen KONSENTIERTEN Voraussetzungen die E-Card dann "sicher" ? Wer sagt jetzt "ja" ? Der wäre dann nicht nur, sondern I S T ein närrischer Gut-Red-Gläubiger Visionär und müsste ZUMINDEST um noch einigermaßen glaubWÜRDIG zu bleiben, apodiktisch die nachweisbar und beweisbar absolut sichere Identifikation drastisch EINFORDERN und S I C H E R S T E L L E N. Es ist ebenso HEUCHLERISCH formal argumentativ abzuwiegeln dadurch, dass die Karte ja sicher sei, nur der Betrügende sei das Problem,
meint
R.B.
und wie ist/war das doch mit dem "betrügerischen" NSA ??? zum Beitrag »

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Weitere Beiträge aus diesem Themenbereich

Drastisch veränderte Mundflora bei Krebs

Beim Plattenepithelkarzinom der Mundhöhle ist die Zusammensetzung des oralen Keimwelt im Vergleich zu Gesunden drastisch verschoben. mehr »

Engagement, das Früchte trägt

Jungen Menschen fehlt es an Gespür für ehrenamtliches Engagement? Ein Vorurteil, wie sich bei der Springer Medizin Gala gezeigt hat. Deutlich wurde auch, dass Engagement für Hilfsbedürftige auch den Sinn für das Politische schärft. mehr »

So wird Insulin für Diabetiker produziert

Hinter den Toren des Industrieparks Höchst bieten sich faszinierende Einblicke in die Welt der Hochleistungs-Biotechnologie: Milliarden von E.coli-Bakterien produzieren hier das für Diabetiker überlebenswichtige Insulin. mehr »