Datenschutz

Hacken der E-Card ist nicht so einfach

Sind Gesundheitskarten leicht zu hacken? Diese Schlagzeilen gingen vergangene Woche durch die Presse. Doch wer nachbohrt, erfährt, dass es nicht um die Karte geht, sondern um Organisationsversagen der Krankenkassen.

Hauke GerlofVon Hauke Gerlof Veröffentlicht:
Mit der Gesundheitskarte Zugang zu Patientendaten erschlichen? Die Versichertennummer tut‘s eher.

Mit der Gesundheitskarte Zugang zu Patientendaten erschlichen? Die Versichertennummer tut‘s eher.

© Robert Schlesinger / dpa

NEU-ISENBURG. Einmal mehr sorgte die Gesundheitskarte in der vergangenen Woche für mediale Aufregung: Das "Heute Journal" meldete in einer Reportage den "größten Datenschutzskandal, den es weltweit jemals im Gesundheitssystem gegeben hat". Das war jedenfalls die Aussage des zitierten Datenschutzexperten Dr. André Zilch (wir berichteten kurz).

In nachfolgenden Berichten in der Presse hieß es dann, die Gesundheitskarten seien einfach zu hacken.

Was war passiert? Der Datenschutzexperte hatte bei einer Krankenkasse angerufen und dabei eine falsche Identität vorgetäuscht - unter Nennung eines Namens, des korrekten Geburtsdatums der Person oder der ersten Ziffern der Versichertennummer derselben Person.

Er täuschte vor, er sei umgezogen, woraufhin die Krankenkasse dem vermeintlich umgezogenen Versicherten die neue Versichertenkarte umstandslos zuschickte.

Zugriff auf Daten erschlichen

Mit den Daten der Karte, so hieß es, habe sich dann ein Online-Konto des Versicherten bei der Kasse erstellen lassen - und damit habe Zilch dann Zugriff zu Patientenquittungen mit Arztbesuchen, Medikation und auch den Diagnosen bekommen. Diese Daten, heißt es im Bericht, könnten beispielsweise einen Arbeitgeber sehr interessieren.

Das Problem wurde im Bericht der elektronischen Gesundheitskarte zugeschoben, doch eigentlich geht es gar nicht um die Karte, sondern um die fehlende Feststellung der Identität durch eine Krankenkasse, wenn sie Versicherten Zugriff auf das Online-Portal gewährt - mit den dort gespeicherten persönlichen Daten.

Denn noch sind auf der Karte keine medizinischen Daten gespeichert, und auch später soll der Zugriff auf die Patientendaten in der Telematikinfrastruktur nur im Zusammenspiel von Arzt und Patient möglich sein - wenn beide ihre Geheimzahl eingeben. Darauf weisen auch das Bundesgesundheitsministerium und der GKV-Spitzenverband auf Nachfrage hin.

Auch im Hinblick auf die Feststellung der Identität gibt es offenbar unterschiedliche Vorgehensweisen bei den Kassen: "Bei der Barmer GEK kann das grundsätzlich nicht passieren", schreibt zum Beispiel der Pressesprecher der Ersatzkasse, Thorsten Jakob.

Bei telefonischem Kontakt werde immer unter anderem der vollständige Name, die Adresse, die Versichertennummer und das Geburtsdatum abgefragt. Bei Zweifeln an der Identität "wird der Anrufer gebeten, sein Anliegen in einer Geschäftsstelle zu erledigen", so Jakob.

Betrug bleibt nicht unentdeckt

Ohnehin würde der Betrug - denn genau darum handelt es sich bei der Vorspiegelung einer falschen Identität - beim nächsten Arztbesuch des tatsächlich Versicherten auffliegen, da die Karte dann in der Praxis als vermeintlich falsch von der Software erkannt würde.

"Wir setzen hierzu das etablierte Verfahren "CardTrust" ein", erläutert Jakob. Rund 75 Prozent der Vertragsärzte nutzten das Verfahren bereits. Damit würde ein vermeintlicher Betrüger, der die Daten missbrauchen will, schnell entlarvt.

"Höchstmaß an Datensicherheit"

Das Bundesgesundheitsministerium (BMG) bleibt dann auch nach der Sendung im ZDF bei der Auffassung, die Gesundheitskarte und die geplante Telematikinfrastruktur "bieten ein Höchstmaß an Datensicherheit". Das hätten auch die Bundesdatenschutzbeauftragte und der Chef des Bundesamtes für Sicherheit in der Informationstechnik bestätigt.

In Bezug auf Online-Portale von Krankenkassen und die Gefahr des Identitätsdiebstahls verweist das BMG darauf, dass das Bundesversicherungsamt (BVA) bereits im vergangenen Jahr um Prüfung gebeten worden sei.

Bereits im September 2014 habe daraufhin das BVA klargestellt, "dass Krankenkassen entsprechende Online-Anwendungen nur dann anbieten dürfen, wenn sichergestellt ist, dass sensible Gesundheitsdaten durch einen sicheren Registrierungsprozess mit Identitätsnachweis (...) und eine geeignete Verschlüsselung bei der Übertragung geschützt sind".

Der aktuelle Fall müsse von den Aufsichtsbehörden zum Anlass genommen werden, "auch hier die Sicherheitsstandards genau zu prüfen und entsprechende Konsequenzen zu ziehen, um den Schutz von Patientendaten sicherzustellen".

Lesen Sie dazu auch den Kommentar: Hausaufgaben für Kassen

Ihr Newsletter zum Thema
Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Unter 120 mmHg

Striktere Blutdruckkontrolle bei Diabetes wohl doch sinnvoll

Lesetipps
Eine Frau mit diversen Erkrankungen

© Sebastian / stock.adobe.com / generated AI

Diagnose-Prävalenzen

Wo Autoimmunerkrankungen besonders häufig auftreten

Verpackung des Wirkstoffs Tirzepatid (Mounjaro) mit Aufziehspritze daneben

© Olaf Kunz / stock.adobe.com

SUMMIT-Studie

Tirzepatid auch erfolgreich bei Herzinsuffizienz-Therapie

Physician Assistants und NÄPAs können Hausärzte stark entlasten.

© amedeoemaja / stock.adobe.com

NÄPAS und Physician Assistants

Drei Ärzte, 10.000 Patienten: Delegation macht es möglich