Erneut Datenleck bei Krankenkasse offengelegt

Persönliche Gesundheitsdaten lassen sich relativ leicht kapern, wie ein Redakteur der Rheinischen Post feststellen musste. Mit seinem Namen, der Versichertennummer und dem Geburtsdatum war für einen „Datendieb“ der Grundstock für den Datendiebstahl gelegt, hinzu kam die im Internet recherchierte Adresse. Einen Anruf bei der Barmer GEK später war die im System hinterlegte Postadresse auf eine fiktive geändert, wohin ein Brief mit Sicherheitsschlüssel für den neu beantragten Online-Zugang geschickt wurde. Der „Dieb“ hatte schnell Zugang zu durchgeführten Behandlungen – und konnte sich beispielsweise auch einen Auslandskrankenschein beantragen.

Zum Glück handelte er nur im Auftrag des Journalisten. Beunruhigend ist, dass Testern schon im Jahr 2014 ähnliches gelang, wie auch im Sommer letzten Jahres, als die AOK betroffen war. Laut Rheinischer Post kündigte die Bundesdatenschutzbeauftragte Andrea Voßhoff an, sie wolle beim Bundesversicherungsamt nochmals dringend anregen, die Probleme zu untersuchen. Außerdem will sie den Datenschutz bei Krankenkassen nochmal grundsätzlich überprüfen.

Prüfungen laufen schon eine Weile

Geprüft wird jedoch schon seit einer Weile: Das Bundesgesundheitsministerium kündigte im letzten Juni an, auf das Bundesversicherungsamt und den GKV-Spitzenverband zuzugehen. Eine Sprecherin des Ministeriums sagte gegenüber DAZ.online, dass die Prüfung derzeit noch andauert und Ergebnisse aktuell noch nicht abzusehen sind. „Wo Verschärfungen notwendig sind, werden wir diese vornehmen“, so die Sprecherin. Außerdem würde untersucht, ob die Manipulationsversuche von Seiten der Rheinischen Post strafrechtlich relevant sind.

Die Barmer GEK sieht laut Deutscher Presseagentur kein Datenleck, da ja die Versichertennummer benötigt würde. Bei der Aktion handele es sich „eher um einen simulierten Diebstahl einer Versichertenkarte, gegen die sich keine Institution wehren kann“, sagte Barmer-Sprecher Athanasios Drougias. In dem konkreten Fall räumte der Sprecher eine Panne ein, da eigentlich auch die letzten vier Ziffern der Kontonummer des Versicherten hätten abgefragt werden müssten.