Das Foto einer Krankenversicherungskarte und die Adresse des Versicherten reichen als Grundlage aus, um an sensible Patientendaten zu kommen. Das hat die Rheinische Post recherchiert.
Mit einer E‑Mailadresse auf den Namen des Versicherten registriert sich der Angreifer auf der Webseite der Krankenkasse. Dazu benötigt er nur Namen, Geburtsdatum, Versichertennummer und die falsche E‑Mail-Adresse. Um vollen Zugang zu sensiblen Daten zu bekommen, benötigt der Angreifer einen Sicherheitsschlüssel, den die Krankenkasse per Post verschickt.
Damit die Post auch beim Angreifer ankommt, ruft er bei der Krankenkasse an und ändert die Wohnadresse telefonisch. Dazu nötig: die Versichertennummer, die alte Adresse und eine Telefonnummer, unter der der Angreifer erreichbar ist. Die erforderlichen Daten für den Angriff liegen pikanterweise jedem Arbeitgeber vor. Nur ein paar Tage später hat der Angreifer den Sicherheitsschlüssel im Briefkasten und kann die letzten Arztbesuche, Medikationen und Diagnosen im Online-Bereich der Krankenkasse einsehen.
Seit dem 5. März ist die von der Rheinischen Post recherchierte Sicherheitslücke bei mindestens vier Krankenkassen bekannt, ähnliche Angriffe wurden jedoch schon vor Monaten nachgewiesen. Einen ähnlichen Angriff hatte das ZDF im Juni des vergangenen Jahres für Recherchezwecke durchgeführt. Auch damals war die mangelnde Überprüfung im Callcenter die Schwachstelle.
Bislang hat nur die Barmer Ersatzkasse auf die Lücke reagiert. Ab sofort können Adressänderungen nur noch in der Geschäftsstelle vorgenommen werden.