Datenschutz
Hacken der E-Card ist nicht so einfach
Sind Gesundheitskarten leicht zu hacken? Diese Schlagzeilen gingen vergangene Woche durch die Presse. Doch wer nachbohrt, erfährt, dass es nicht um die Karte geht, sondern um Organisationsversagen der Krankenkassen.
Veröffentlicht:NEU-ISENBURG. Einmal mehr sorgte die Gesundheitskarte in der vergangenen Woche für mediale Aufregung: Das "Heute Journal" meldete in einer Reportage den "größten Datenschutzskandal, den es weltweit jemals im Gesundheitssystem gegeben hat". Das war jedenfalls die Aussage des zitierten Datenschutzexperten Dr. André Zilch (wir berichteten kurz).
In nachfolgenden Berichten in der Presse hieß es dann, die Gesundheitskarten seien einfach zu hacken.
Was war passiert? Der Datenschutzexperte hatte bei einer Krankenkasse angerufen und dabei eine falsche Identität vorgetäuscht - unter Nennung eines Namens, des korrekten Geburtsdatums der Person oder der ersten Ziffern der Versichertennummer derselben Person.
Er täuschte vor, er sei umgezogen, woraufhin die Krankenkasse dem vermeintlich umgezogenen Versicherten die neue Versichertenkarte umstandslos zuschickte.
Zugriff auf Daten erschlichen
Mit den Daten der Karte, so hieß es, habe sich dann ein Online-Konto des Versicherten bei der Kasse erstellen lassen - und damit habe Zilch dann Zugriff zu Patientenquittungen mit Arztbesuchen, Medikation und auch den Diagnosen bekommen. Diese Daten, heißt es im Bericht, könnten beispielsweise einen Arbeitgeber sehr interessieren.
Das Problem wurde im Bericht der elektronischen Gesundheitskarte zugeschoben, doch eigentlich geht es gar nicht um die Karte, sondern um die fehlende Feststellung der Identität durch eine Krankenkasse, wenn sie Versicherten Zugriff auf das Online-Portal gewährt - mit den dort gespeicherten persönlichen Daten.
Denn noch sind auf der Karte keine medizinischen Daten gespeichert, und auch später soll der Zugriff auf die Patientendaten in der Telematikinfrastruktur nur im Zusammenspiel von Arzt und Patient möglich sein - wenn beide ihre Geheimzahl eingeben. Darauf weisen auch das Bundesgesundheitsministerium und der GKV-Spitzenverband auf Nachfrage hin.
Auch im Hinblick auf die Feststellung der Identität gibt es offenbar unterschiedliche Vorgehensweisen bei den Kassen: "Bei der Barmer GEK kann das grundsätzlich nicht passieren", schreibt zum Beispiel der Pressesprecher der Ersatzkasse, Thorsten Jakob.
Bei telefonischem Kontakt werde immer unter anderem der vollständige Name, die Adresse, die Versichertennummer und das Geburtsdatum abgefragt. Bei Zweifeln an der Identität "wird der Anrufer gebeten, sein Anliegen in einer Geschäftsstelle zu erledigen", so Jakob.
Betrug bleibt nicht unentdeckt
Ohnehin würde der Betrug - denn genau darum handelt es sich bei der Vorspiegelung einer falschen Identität - beim nächsten Arztbesuch des tatsächlich Versicherten auffliegen, da die Karte dann in der Praxis als vermeintlich falsch von der Software erkannt würde.
"Wir setzen hierzu das etablierte Verfahren "CardTrust" ein", erläutert Jakob. Rund 75 Prozent der Vertragsärzte nutzten das Verfahren bereits. Damit würde ein vermeintlicher Betrüger, der die Daten missbrauchen will, schnell entlarvt.
"Höchstmaß an Datensicherheit"
Das Bundesgesundheitsministerium (BMG) bleibt dann auch nach der Sendung im ZDF bei der Auffassung, die Gesundheitskarte und die geplante Telematikinfrastruktur "bieten ein Höchstmaß an Datensicherheit". Das hätten auch die Bundesdatenschutzbeauftragte und der Chef des Bundesamtes für Sicherheit in der Informationstechnik bestätigt.
In Bezug auf Online-Portale von Krankenkassen und die Gefahr des Identitätsdiebstahls verweist das BMG darauf, dass das Bundesversicherungsamt (BVA) bereits im vergangenen Jahr um Prüfung gebeten worden sei.
Bereits im September 2014 habe daraufhin das BVA klargestellt, "dass Krankenkassen entsprechende Online-Anwendungen nur dann anbieten dürfen, wenn sichergestellt ist, dass sensible Gesundheitsdaten durch einen sicheren Registrierungsprozess mit Identitätsnachweis (...) und eine geeignete Verschlüsselung bei der Übertragung geschützt sind".
Der aktuelle Fall müsse von den Aufsichtsbehörden zum Anlass genommen werden, "auch hier die Sicherheitsstandards genau zu prüfen und entsprechende Konsequenzen zu ziehen, um den Schutz von Patientendaten sicherzustellen".
Lesen Sie dazu auch den Kommentar: Hausaufgaben für Kassen