ZDF-Beitrag zur eGK

Massives Sicherheitsleck bei Gesundheitsdaten

Berlin - 25.06.2015, 09:55 Uhr

Gesundheitsdaten: Das ZDF-„heute-journal“ weist auf ein bestehendes Sicherheitsleck hin. (Foto: Täubel/Fotolia)

Gesundheitsdaten: Das ZDF-„heute-journal“ weist auf ein bestehendes Sicherheitsleck hin. (Foto: Täubel/Fotolia)


Die Bundesregierung will den Aufbau der Telematikinfrastruktur zügig vorantreiben – ein großes Thema ist dabei der Datenschutz. Er wird von allen Seiten verstärkt gefordert. Doch schon heute wird das Sicherheitskonzept nach Recherchen des ZDF-„heute-journal“ durch eine massive Datenschutzlücke ausgehebelt: Ohne spezielle Hackerkenntnisse ist es möglich, an Gesundheitskarten und sensible Patientendaten wie die Medikation zu kommen, weil die Krankenkassen keine Identitätsprüfung durchführen.

Mit dem geplanten E-Health-Gesetz soll die eGK endlich so eingesetzt werden, dass sie neben dem Foto mehr bietet als die alte Krankenkassenkarte. Sie soll als Schlüssel dienen, um Patientendaten online versenden zu können und Notfalldaten schnell verfügbar zu machen. Auch der Medikationsplan, der zunächst nur auf Papier erstellt werden wird, soll künftig über die eGK verfügbar sein. Oberstes Gut ist dabei stets der Schutz der hochsensiblen Gesundheitsdaten, betont man immer wieder im Gesundheitsministerium (BMG). Doch eben diese sind offenbar schon heute nicht sicher.

Laut dem Datenschutzexperten im Gesundheitswesen, André Zilch, ist die eGK zwar technisch geeignet, eine sichere Authentifizierung zu ermöglichen, es fehlen bislang aber zwingend notwendige organisatorische und datenschutzkonforme Maßnahmen. Im Selbsttest beweist er im Beitrag, wie leicht er an eine eGK des ZDF-Redakteurs kommt – einfach indem er bei der AOK die ersten Ziffern von dessen Versichertennummer angibt. Mit den darauf stehenden Daten erstellt er anschließend ein AOK-Online-Konto und erhält vollen Einblick in Arztbesuche, Operationen und Medikationen.

Kassen halten sich nicht an gesetzliche Vorgaben

Das Problem: Die AOK prüft die Identität des Versicherten nicht ausreichend. Das Call-Center benötigt lediglich eine persönliche Information, um den Versicherten in der Datenbank finden zu können – Versichertennummer, Geburtsdatum oder die Adresse. Auch beim Einrichten des Online-Kontos findet kein Identitäts-Check statt. Konfrontiert mit den ZDF-Recherchen erklärt die AOK: „Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können.“

Diese Sicherheitslücke betrifft nicht nur die AOK, sondern auch andere gesetzliche Kassen. Sie halten sich nicht an die gesetzliche Vorgabe, dass „bei einer Eingabe über öffentlich zugängliche Netze ein sicherer Identitätsnachweis nach § 18 des Personalausweisgesetzes […] erfolgen“ muss. Angesichts der rund 70 Millionen GKV-Versicherten in Deutschland spricht Zilch vom „größten Datenschutzskandal, den es weltweit jemals im Gesundheitssystem gegeben hat“. Als Reaktion auf die ZDF-Recherchen will das BMG nun die für die Kassenaufsicht zuständigen Behörden auffordern, die Sicherheitsstandards zu verbessern. Man werde „auf das BVA und den GKV-Spitzenverband zugehen“, erklärte ein Sprecher des Ministeriums gegenüber der „heute journal“-Redaktion.

Den ZDF-„heute journal“-Beitrag von gestern Abend können Sie hier ansehen.


Diesen Artikel teilen:


0 Kommentare

Das Kommentieren ist aktuell nicht möglich.