BKK Gesundheit: Unbekannter fordert zum "Daten-Ankauf" auf

Die Krankenkasse BKK Gesundheit, eigenen Angaben zufolge mit 1,5 Millionen Versicherten die größte deutsche Betriebskrankenkasse, hat auf Vorwürfe des ARD-Magazins Kontraste reagiert, wonach "möglicherweise hochsensible medizinische Daten" von Versicherten in die Hände von Unbefugten gelangt sein sollen und dass die Krankenkasse nun von einem Unbekannten erpresst werde. Ein Sprecher der BKK Gesundheit bestätigte gegenüber heise online, dass es im Januar tatsächlich einen anonymen Erpressungsversuch gegeben hat.

Die Krankenkasse ist demnach von einem zurzeit noch unbekannten männlichen Anrufer zum Ankauf von nicht näher bezeichneten "Unterlagen zu Telefondienstleistungen" aufgefordert worden. Nachdem die Krankenkasse den Ankauf der angebotenen Unterlagen abgelehnt habe, sei seitens des Anrufers mit der Veröffentlichung der Unterlagen und einem Imageschaden für die Krankenkasse gedroht worden. Daraufhin habe die BKK Gesundheit Strafanzeigen bei der Staatsanwaltschaft Frankfurt am Main gestellt.

In einer schriftlichen Stellungnahme erklärt die BKK Gesundheit, dass man Anfang Januar auf Veranlassung eines Dienstleisters der Krankenkasse dem auf Dialogmanagement spezialisierten Unternehmen Value5 HealthCare Zugriff auf Versichertendaten gewährt habe, um den Versicherten "auch bei erhöhtem Telefonaufkommen einen umfangreichen Service bieten zu können". Allerdings habe dieser Dienstleister "keinen direkten Zugriff auf auswertbare Kundendaten der BKK Gesundheit" gehabt.

Externe Dienstleister, so die Krankenkasse, hätten nach der Freigabe von Zugriffsrechten und der Einwahl auf den Server der BKK Gesundheit zwar Zugang zu den Versichertendaten, externe Dienstleister könnten diese aber "nicht sammeln oder kopieren". Es sei jedoch möglich, "von den Daten Screenshots zu machen und diese weiterzuleiten". Die Krankenkasse vermutet nun, dass es sich bei dem Erpresser um einen ehemaligen Mitarbeiter des Telefondienstleisters handelt. Dieser habe in den vergangenen Tagen mehrmals erfolglos versucht, sich auf den Server der BKK Gesundheit mit seinem alten und inzwischen gesperrten Zugang einzuwählen.

Die BKK Gesundheit räumt auch eigene Fehler ein. So habe man es etwa versäumt, die Beauftragung der Value5 HealthCare GmbH durch den Dienstleister dem Bundesversicherungsamt zu melden. Auch hätte man eine Datenschutzprüfung beim Telefondienstleister veranlassen sowie die Einsichtsmöglichkeiten in Kundendaten dem Dienstleistungsauftrag entsprechend minimieren müssen. Dies sei aber ebenfalls nicht geschehen. Nach dem Vorfall sei der Zugang zu Kundendaten für alle externen Dienstleister jedoch sofort abgeschaltet und sämtliche Zugangskennungen gesperrt worden. Auch habe man alle zuständigen Aufsichtsbehörden umfassend informiert. (pmz)