Gesundheitskarte: Große Defizite bei Schutz vor Betrug

Stümperhafte Callcenter-Prozesse ruinieren das Image der elektronischen Gesundheitskarte (eGK). Ein TV-Bericht deckt Schwächen bei den Krankenkassen auf.

In Pocket speichern vorlesen Druckansicht 106 Kommentare lesen
Gesundheitskarte der AOK
Lesezeit: 2 Min.
Von
  • Detlef Borchers

Bei der Produktion von elektronischen Gesundheitskarten (eGK) werden laxe Identifikationsmethoden eingesetzt, die das Fälschen der Karte trotz Fotonachweis sehr einfach machen. Das hat das ZDF in einem TV-Bericht demonstriert. Demnach reicht es bei einem Telefonat mit dem Callcenter einer Krankenkasse aus, die ersten Ziffern der Versicherungsnummer zu nennen, um anschließend ohne weitere Identifizierungsfragen telefonisch die Adressdaten zu ändern. Die so produzierte neue eGK wird an den falschen Versicherten geschickt, der ihre Daten auslesen kann.

Im TV-Bericht demonstrierte André Zilch, Chef des ID-Spezialisten ValiPro, wie mit einem Anruf beim Callcenter die Produktion einer neuen Karte bei der Krankenkasse AOK veranlasst werden kann. Zilch nannte die ersten Stellen der Versichertennummer und konnte die Produktion einer neuen Karte eines anderen Versicherten anstoßen, die an ihn geschickt wurde. Nach seinen Ermittlungen reicht es auch aus, einfach nur den Geburtstag oder die alte Adresse zu nennen, um eine neue Karte zu bekommen.

Dieses Verfahren ist offenbar darum sehr nachlässig aufgesetzt, weil die Krankenkassen bereits mit der künftigen Online-Anbindung der eGK planen: Eine Adressänderung soll dann beim Besuch in der Arztpraxis erfolgen, wenn die Karte gesteckt wird und die Verbindung mit dem Stammdaten-Server erfolgt. In diesem Fall geht die Identifikationspflicht auf die Mitarbeiter in der Arztpraxis über, die sich im Zweifelsfall trotz aufgebrachtem Foto auf der eGK einen anerkannten Ausweis (Personalausweis, Reisepass) zeigen lassen können.

In der Sendung des ZDF wird neben der eklatanten Sicherheitslücke behauptet, dass mit einer solchermaßen gefälschten Karte ein Online-Konto bei der AOK eingerichtet werden kann, das den vollen Einblick in die "Arztbesuche, Operationen und Medikationen" eines Versicherten ermöglicht. Dies konnte in einem ersten kurzen Test mit einer AOK-Karte durch heise online nicht verifiziert werden. Das neu eingerichtete Online-Konto enthielt lediglich Angaben zum Zuzahlungsstatus und die Stammdaten eines Versicherten. (mho)