Informationen über Arztbesuche und Medikamente So unsicher sind Patientendaten

Düsseldorf · Unbefugte können sich mühelos Zugriff auf Patientendaten verschaffen. Informationen über Arztbesuche und verschriebene Medikamente sind kaum geschützt. Das beweist unser Selbstversuch.

Informationen über Arztbesuche und Medikamente: So unsicher sind Patientendaten
Foto: dpa

Unbefugte können sich mühelos Zugriff auf Patientendaten verschaffen. Informationen über Arztbesuche und verschriebene Medikamente sind kaum geschützt. Das beweist unser Selbstversuch.

Die Patientendaten von mehreren Millionen gesetzlich versicherten Krankenkassenmitgliedern in Deutschland sind unzureichend geschützt. Mit einem Telefonanruf und wenigen Mausklicks kann jeder Unbefugte ohne technische Vorkenntnisse im Internet Details zu Arztbehandlungen, Diagnosen, verordneten Arzneimitteln, Krankenhausaufenthalten und andere intime Informationen abfragen. Das ist das Ergebnis eines Tests unserer Redaktion am Beispiel der Barmer Ersatzkasse.

Voraussetzung sind lediglich leicht zu beschaffende Informationen wie der Name des Versicherten und seine Versichertennummer. Diese für den Datenmissbrauch notwendigen Informationen stehen gut lesbar auf jeder Mitglieder-Chipkarte. Diese Daten reichen aus, um sensible Informationen über den Versicherten zu beschaffen.

Schwachstelle im System sind die Online-Geschäftsstellen, die fast alle Kassen ihren Mitgliedern für einen bequemen Zugriff auf Dienstleistungen anbieten. Die Hürden für die Anmeldung dort sind zum Teil aber so niedrig, dass Unbefugte sich ohne weiteres Zugang zu den hinterlegten Patientendaten verschaffen können. In unserem Selbstversuch konnte ein Tester aus Süddeutschland bei einem ihm unbekannten Mitglied unserer Redaktion dessen Arzttermine, die Namen seiner behandelnden Ärzte und die Bezeichnungen der Medikamente einsehen, die unserem Redakteur verschrieben worden sind.

Wäre der Redakteur an HIV, Diabetes oder einer Psychose erkrankt, hätte der Tester auch dazu Informationen erhalten. Ebenso können kriminelle Arbeitgeber auf diesem Weg den Gesundheitszustand ihrer Mitarbeiter abfragen. Der Tester benötigte dazu nicht einmal die Kassenmitgliedskarte unseres Redakteurs. Er kannte nur dessen Namen und dessen Versichertennummer.

Die Barmer erklärte unseren Test zum Einzelfall. Es müsse sich "um einen Fehler eines Mitarbeiters handeln, der offensichtlich nicht alle Vorschriften zur Identifikation eingehalten" habe. Die Kasse spricht von "strengen Sicherheitsvorschriften". Denn anders als im Test sei für den Datenzugriff zwingend auch die Angabe von Wohnort und Geburtsdatum erforderlich. Diese Informationen stehen teilweise ebenfalls unverschlüsselt auf der Mitgliedskarte und sind auch fast immer im Internet zu finden. Arbeitgebern liegen sie ohnehin vor.

Die Barmer kündigte an, "die internen Kontroll- und Sicherheitsvorschriften erneut zu überprüfen und gegebenenfalls zu verschärfen". Außerdem werde umgehend "ein weiteres Sicherheitsseminar für die Mitarbeiter durchgeführt". Auch das Bundesversicherungsamt als Aufsichtsbehörde kündigte Maßnahmen an: "Wir nehmen Ihre Schilderungen zum Anlass, die Rechtssicherheit der Kommunikation zwischen Versicherten und Krankenkassen einer grundsätzlichen Prüfung zu unterziehen", so die Behörde.

Auch andere Krankenversicherungen wie AOK, Techniker, DAK oder Betriebskrankenkassen bieten ihren Mitgliedern die Verwaltung von Kundendaten im Internet an. Die Online-Angebote dieser Kassen waren nicht Gegenstand unseres Tests. Der Dachverband der Gesetzlichen Krankenkassen erklärt, dass diese Online-Zugänge von den einzelnen Kassen verantwortet werden. "Folgerichtig können wir auch nichts zu etwaigen Sicherheitsproblemen sagen", so der Verband.

(RP)
Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort