| 08.41 Uhr

Datenleck bei Krankenkassen
Der öffentliche Patient

Datenleck bei Krankenkassen: Der öffentliche Patient
Unser Autor Jan Dobrick wird mit einfachen Tricks zum gläsernen Patienten. FOTO: thinkstock
Düsseldorf. Jeder kann sich im Internet Zugang zu hochsensiblen Patientendaten eines gesetzlich Versicherten verschaffen. Ein Selbstversuch. Von Jan Dobrick

Als ich ans Telefon gehe, meldet sich ein Jan Dobrick am anderen Ende der Leitung. Das ist seltsam, denn ich bin Jan Dobrick. Der Mann merkt, dass er mich irritiert hat, und kichert. Meine Krankenkasse hingegen hat er mit dem falschen Namen getäuscht. Und das ist überhaupt nicht lustig. Darum wird unser Gespräch ein wenig ernster. Der Jan Dobrick, der mich anruft, ist ein Tester, ein anonymer Experte, ein professioneller Anbieter von Datenschutz-Dienstleistungen. Und er weiß Dinge über mich, die ich nicht einmal meiner Mutter erzählt habe, damit sie sich keine Sorgen macht.

Nach einer Indien-Reise hatte ich starke Bauchschmerzen und machte einen Hepatitis-Test, das zum Beispiel. Und sollte mich der Mann in naher Zukunft zum Essen einladen, weiß er, dass ich nicht alle Nahrungsmittel vertrage. Als Patient möchte ich vertrauliche Daten nicht teilen, sie sollen geheim bleiben. Doch das bleiben sie offenbar nicht.

Wer bei meiner Krankenkasse fragt, der bekommt Auskunft. Ein Telefonanruf und wenige Mausklicks reichen, schon bin ich ein offenes Buch, in das sich der Tester einlesen kann. Die Tatsache ist so absurd, dass ich im ersten Moment grinsen muss, als ich erfahre, dass ein falscher Jan Dobrick erfolgreich in meinem Leben herumgepfuscht hat. Plötzlich läuft es mir eiskalt den Rücken runter. Das alles ist ziemlich gruselig. Aber der Reihe nach.

Bereits im Juni 2014 wiesen wir mithilfe eines von uns beauftragten "Datendiebs" am Beispiel der Barmer GEK nach, dass die Patientendaten von mehreren Millionen gesetzlich versicherten Krankenkassenmitgliedern in Deutschland kaum geschützt sind. Im Sommer 2015 gelang einem Recherche-Team des ZDF ebenfalls der Nachweis, dass auch Patientendaten von AOK-Versicherten mühelos einsehbar sind. Jetzt haben wir den Test bei der Barmer wiederholt. Ergebnis: Das Datenleck existiert immer noch.

Am Freitag, 26. Februar, bekommt der Tester ein Foto meiner Versichertenkarte - mit Namen, Versichertennummer und Geburtsdatum. Meine Adresse kann er problemlos im Internet recherchieren. Oder zum Beispiel für sieben Euro beim Einwohnermeldeamt abfragen. Jetzt wird er peu à peu zu Jan Dobrick. Sein erster Schritt: Er richtet bei einem beliebigen Onlinedienst eine neue E-Mail-Adresse auf meinen Namen ein.

Dann besucht er die Internetseite der Barmer und registriert sich, verschafft sich also Zugang zu meinem persönlichen Bereich. Dafür gibt er meinen Namen, Geburtsdatum, Versichertennummer und die neue E-Mail-Adresse an. Das reicht.

An meine Patientendaten kommt er noch nicht. Er braucht einen Sicherheitsschlüssel, den die Kasse per Post verschickt. Doch dieser flattert natürlich nicht in mein Postfach. Der Tester bekommt ihn zu sich nach Hause gesendet.

Warum? Am Sonntag, 28. Februar, 14.30 Uhr, klingelt bei meiner Krankenkasse das Telefon. Der falsche Jan Dobrick ist am Apparat, gibt der freundlichen - und natürlich gar nicht irritierten - Mitarbeiterin des Callcenters Versichertennummer, Adresse und eine Telefonnummer, über die er erreichbar ist. Dann ändert der Tester meine Adresse. Dauer des Gesprächs: 1:35 Minuten. Jan Dobrick wohnt nicht mehr im Bergischen Land. Mein Name klebt jetzt im Rhein-Main-Gebiet auf dem Briefkasten. 24 Stunden nach dem Telefonat wird aus einem Büro in Hessen ein Sicherheitsschlüssel beantragt. Vier Tage später hat mein Doppelgänger Post. Er schließt die Online-Registrierung ab - und hat freie Bahn.

Noch ein Schritt, noch ein Häkchen, der Tester aktiviert den Service "Patientenquittungen". Merke: Die Anzahl der Häkchen erhöht nicht wirklich die Sicherheit. Es ist Samstag, 5. März, 7.33 Uhr: Meine vertraulichen, hochsensiblen Daten stehen für den Tester als Wochenend-Lektüre im Internet. "Sie haben einen Zahn gezogen bekommen?" Korrekt, hat wehgetan. Das weiß er nicht, kann es sich aber vorstellen. "Ihre Beine sind unterschiedlich lang. Sie bekommen auch Einlegesohlen." Richtig. "Und wie war das mit der Hepatitis?" Habe ich nicht. Er sieht die Namen der Ärzte, auch die Medikamente, die mir verschrieben wurden: mal ein Antibiotikum, mal Pantoprazol für den Magen. Der Tester lässt sich online einen Auslandskrankenschein auf meinen Namen ausstellen, da er dringend Urlaub brauche, und kichert wieder. Ich schlucke. Er bekommt bald auch eine neue elektronische Versichertenkarte nach Hessen geschickt, kündigt er an. Jetzt habe ich mich verschluckt.

Der Tester hat meine Krankenversicherung gekapert. Ganz bequem von zu Hause aus. Mit wenigen Informationen und in wenigen Tagen. Kriminelle Arbeitgeber, denen die Daten vorliegen, könnten so ihre Mitarbeiter ausspionieren. Sie würden erfahren, ob diese an HIV, Diabetes oder einer Psychose erkrankt sind. Oder eben an einer Hepatitis. Auch wer die Versichertenkarte findet, hält alle Trümpfe in der Hand. Er könnte Nachweise über meine Beitragszahlungen anfordern, also mein Gehalt zurückrechnen.

Das alles ist besorgniserregend. Die Barmer, auf die Datenlücken hingewiesen, kündigt an, Änderungen der Adresse ab sofort nur noch in der Geschäftsstelle entgegenzunehmen. Außerdem will sie ihre Mitarbeiter umfassend nachschulen, um das Sicherheitsrisiko zu beseitigen.

Der Kollege, dessen Daten 2014 "gestohlen" wurden, hatte übrigens Zahnstein. Und ihn hat mal ein Kaninchen gebissen.

Quelle: RP
Diskussion
Ihre Meinung zum Thema ist gefragt

Schreiben Sie jetzt Ihre Meinung zu:

Datenleck bei Krankenkassen: Der öffentliche Patient


Beachten Sie dabei bitte unsere Regeln für Leserkommentare.