Schockierender Selbstversuch: Müheloser Zugriff auf Patientendaten möglich

| 26. Juni 2014 | 0 Kommentare
Schockierender Selbstversuch: Müheloser Zugriff auf Patientendaten möglich

Schockierender Selbstversuch: Müheloser Zugriff auf Patientendaten möglich

 

Unbefugte können sich heute mühelos Zugriff auf Patientendaten verschaffen. Ohne große Fachkenntnisse ist die Einsicht in Millionen Krankheitsbildern von Patienten möglich. Wichtige Informationen, wie verschriebene Arzneien, Arztbesuche und Co sind nicht ausreichend geschützt. Ein Selbstversuch brachte schockierende Ergebnisse.

Patientendaten von vielen Millionen Krankenversicherten in Deutschland sind nicht ausreichend vor Fremdzugriffen geschützt. Mit nur einem Anruf und ein paar Mausklicks ist jeder Unbefugte in der Lage Einzelheiten zu Diagnosen, Arztbehandlungen, Klinikaufenthalten, verschriebene Arzneien und andere intime Informationen herauszufinden. Dafür muss man noch nicht einmal ein Fachmann am PC sein. Jeder Laie kann dies in die Wege leiten. Dieses schockierende Ergebnis kam bei einem Selbstversuch am Beispiel der BEK heraus.

Um Einsicht in Patientendaten zu erhalten, braucht der „Hacker“ nur den Namen des Versicherten und die dazugehörige Versichertennummer. Diese Infos finden sich bekanntlich auf jeder Mitglieder-Chipkarte und sind allzu leicht zu beschaffen.

Online-Geschäftsstellen sind hier die Schwachstelle im System. Eigentlich dienen diese, den Versicherungsmitgliedern für einen einfachen Zugriff auf diverse Dienstleistungen der Krankenkassen. Die Hüren für eine erfolgreiche Anmeldung sind hier enorm klein. Ein jeder Unbefugte kann sich hier schnell einen Einsicht in fremde Patientendaten verschaffen. In einem Versuch war es dem Tester in Minuten möglich alle Informationen eines Redakteurs einzusehen. Wäre dieser an einer schwerwiegenden Krankheit erkrankt, wie HIV oder einer Psychose, hätte dies der Tester in Minuten erfahren können.

Auch Arbeitgebern wäre es somit möglich in Minuten die Gesundheitszustände der Mitarbeiter unter die Lupe zu nehmen. Noch nicht einmal die Versichertenkarte ist dafür nötig. Name und Versicherungsnummer reichen aus um sämtliche Informationen zu einem Mitglied der Krankenkasse abzufragen.

Die BEK spricht von einem Einzelfall

Die Barmer Ersatzkasse hingegen spricht hier von einem Einzelfall und macht einen Mitarbeiter für diesen Fehler verantwortlich. Vorschriften zur Identifikation wurden demnach nicht ordungsgemäß eingehalten. Nach Angaben der BEK gäbe es auch bei dieser gesetzlichen Krankenversicherung strenge Sicherheitsvorschriften. Schließlich benötige man auch hier nicht nur den Namen und die Versicherungsnummer eines Mitglieds, sondern auch Anscrift und Geburtsdatum.

Aber auch diese zusätzlichen Informationen finden sich heute meist unverschlüsselt auf den Versicherungskarten. Wobei Arbeitgeber diese Daten ohnehin stets besitzen.

Siherheitsvorschriften sollen bei der BEK jetzt geprüft werden

Die Barmer gab jetzt bekannt, dass interne Kontroll-und Sicherheitsprüfungen stattfinden sollen. Gegebenenfalls kömmt zu einer Verschärfung. Wobei alle Mitarbeiter an einem erneuten Sicherheitsseminar teilnehmen sollen. Zudem will auch das Versicherungsamt als Aufsichtsbehörde diverse Maßnahmen einleiten.

Aber nicht nur die Barmer Ersatzkasse bietet ihren Mitgliedern die Verwaltung von Kundendaten online an. Auch andere gesetzliche Krankenkassen, wie die AOK, Techniker, DAK oder die Betriebskrankenkassen bieten ihren Mitgliedern diesen Service. Durchaus kann es somit auch hier sein, dass der Zugriff auf fremde Patientendaten ein Einfaches ist. Niemand kann wissen, ob diese Sicherheitslücke nicht schon mehrfach missbraucht wurde. (Quelle: rp-online.de/ Andreas Gruhn u. Thomas Relsener)

444647_web_R_B_by_Margot Kessler_pixelio.de

Bildquelle oben:Fotograf©Thomas Siepmann/PIXELIO

Bildquelle unten:Fotograf©Margot Kessler/PIXELIO

Tags: , , , , ,

Kategorie: Gesundheit, News

Über den Autor ()

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.