Fehlende Sicherheit bei Krankenkasse: Datenklau leicht gemacht

Patientendaten von Versicherten sind häufig nur unzureichend geschützt. Mit einem kleinen Trick kommen Unbefugte leicht heran.

Glück für Frau Schmidt, dass diese Karte nur ein Muster ist Bild: ap

BERLIN taz | Es reicht schon ein geklautes Portemonnaie. Mit nur wenigen Informationen können Unbefugte persönliche Behandlungsdaten auf Webseiten von Krankenkassen einsehen. Das ist das Ergebnis eines Tests der Rheinischen Post. Ausreichend sind dafür Name, Versicherungsnummer und Geburtsdatum.

Vorteil für Betrüger: Bei der neuen Gesundheitskarte gilt die Versichertennummer lebenslang, nach einem Diebstahl lassen sich die Kartendaten also auch später noch missbrauchen.

Für den Test wurde eine Versuchsperson mit Name und Versicherungsnummer eines Redakteurs ausgestattet. Sie suchte sich das zugehörige Geburtsdatum in Internet und änderte telefonisch bei der Kasse die Adresse des Versicherungsnehmers. Auf diesem Weg lässt sich ein Sicherheitsmechanismus aushebeln, den mehrere Kassen nutzen: Um den Online-Zugriff zu aktivieren, schickt die Krankenkasse einen Freischaltcode per Post.

Der Code kommt per Post

Ist die Adresse erst einmal geändert, landet der Code allerdings beim Betrüger. Mit dem Zugriff lassen sich dann etwa Operationen, Krankenhausbesuche, Routineuntersuchungen einsehen. Und die Krankenkasse - in Testfall die Barmer GEK - schickte auch gleich eine neue Versicherungskarte an die vermeintlich neue Adresse. Das birgt weiteres Missbrauchspotenzial.

Die Krankenkasse kündigte als Reaktion darauf ein zusätzliches Sicherheitsseminar für ihre Kundenberater an. Darüber hinaus prüft sie laut Sprecher Athanasios Drougias die Einrichtung zusätzlicher Hürden für den Zugang zu den persönlichen Daten auf der Website, etwa die Einführung eines weiteren Passworts. Abgesehen davon hätten aber auch die Versicherten eine Sorgfaltspflicht.

"Das ist ein Scheunentor, das regelrecht dazu einlädt, sich an den Daten zu bedienen", kritisiert Padeluun vom Verein Digitalcourage. Er fordert, den Online-Zugriff auf die Daten auszusetzen, solange es kein "hinreichend sicheres" System gebe. Das könne etwa ein sogenanntes Opt-In-Verfahren sein, bei dem Versicherte mit Brief und Unterschrift die Teilnahme bestätigen und gleichzeitig über mögliche Risiken aufgeklärt werden.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.