Durch das Vortäuschen einer falschen Identität hat die Rheinische Post anscheinend eine Sicherheitslücke bei Deutschlands zweitgrößter Krankenkasse der Barmer GEK aufgedeckt.
In der vergangenen Woche ist es nämlich einem Tester der Rheinischen Post gelungen, empfindliche Patientendaten aus dem Internet abzurufen. Dafür hatte er lediglich den Namen, das Geburtsdatum und die Versichertennummer bei der Telefonauthentifizierung angegeben.
Kein Fall für den Gesetzgeber
Nach Angabe der Daten gab der telefonische Berater der Barmer GEK den Online-Zugang für den Tester frei. Die RP kritisiert, dass die benutzten Daten jedem Arbeitgeber zur Verfügung stehen. Eine zusätzlich benötigte Adresse sei problemlos im Internet oder beim Einwohnermeldeamt zu beschaffen. Die Bundesdatenschutzbeauftragte Andrea Voßhoff kündigte an, das Verfahren von Telefonauthentifizierungen prüfen zu lassen. Sie sagte aber auch, dass die Verantwortung zur Schaffung von Datensicherheit bei den jeweiligen Anbietern liege. In den vergangenen 20 Monaten war der Datendiebstahl bereits fünfmal bei der Barmer gelungen, aber auch andere Krankenkassen sind von dem Verfahren betroffen. Bereits nach dem ersten Test der Zeitung im Jahr 2014 hatte die Barmer Maßnahmen ergriffen.
Barmer spricht von Einzelpanne
Barmer-Sprecher Athanasios Drougias wehrte sich gegen die Einschätzung der Zeitung RP, dass grundsätzlich ein Datenleck vorliege. Es handle sich bei der Aktion „eher um einen simulierten Diebstahl einer Versichertenkarte, gegen die sich keine Institution wehren kann“, so Drougias. Allerdings räumte er in diesem spezifischen Fall eine Panne ein, denn der Tester sei bei seinem Anruf nicht wie vorgeschrieben nach den letzten vier Ziffern seiner Kontonummer gefragt worden. Die Barmer reagiert mit „unverzüglichen Maßnahmen“: Dazu gehöre der zweifelsfreie Nachweis der Identität einer Geschäftsstelle vor Ort für Adressänderungen. Weiterhin würden Adhoc-Sicherheitsschulungen durchgeführt und Informationen an alle Versicherten geliefert, Verluste der Versichertenkarten unverzüglich zu melden.
