Sensible Patientendaten hacken – leicht gemacht

Foto: CC-BY-NC 2.0 ISOtob (Flickr)

Das Foto einer Krankenversicherungskarte und die Adresse des Versicherten reichen als Grundlage aus, um an sensible Patientendaten zu kommen. Das hat die Rheinische Post recherchiert.

Mit einer E-Mailadresse auf den Namen des Versicherten registriert sich der Angreifer auf der Webseite der Krankenkasse. Dazu benötigt er nur Namen, Geburtsdatum, Versichertennummer und die falsche E-Mail-Adresse. Um vollen Zugang zu sensiblen Daten zu bekommen, benötigt der Angreifer einen Sicherheitsschlüssel, den die Krankenkasse per Post verschickt.

Damit die Post auch beim Angreifer ankommt, ruft er bei der Krankenkasse an und ändert die Wohnadresse telefonisch. Dazu nötig: die Versichertennummer, die alte Adresse und eine Telefonnummer, unter der der Angreifer erreichbar ist. Die erforderlichen Daten für den Angriff liegen pikanterweise jedem Arbeitgeber vor. Nur ein paar Tage später hat der Angreifer den Sicherheitsschlüssel im Briefkasten und kann die letzten Arztbesuche, Medikationen und Diagnosen im Online-Bereich der Krankenkasse einsehen.

Seit dem 5. März ist die von der Rheinischen Post recherchierte Sicherheitslücke bei mindestens vier Krankenkassen bekannt, ähnliche Angriffe wurden jedoch schon vor Monaten nachgewiesen. Einen ähnlichen Angriff hatte das ZDF im Juni des vergangenen Jahres für Recherchezwecke durchgeführt. Auch damals war die mangelnde Überprüfung im Callcenter die Schwachstelle.

Bislang hat nur die Barmer Ersatzkasse auf die Lücke reagiert. Ab sofort können Adressänderungen nur noch in der Geschäftsstelle vorgenommen werden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. „Die erforderlichen Daten für den Angriff liegen pikanterweise jedem Arbeitgeber vor. … Bislang hat nur die Barmer Ersatzkasse auf die Lücke reagiert … ähnliche Angriffe wurden jedoch schon vor Monaten nachgewiesen“

    Krass, würde Datenschutz auch nur etwas eine Rolle spielen,das offizielle nichtreagieren würde maximal strafrechtlich verfolgt.

  2. Hm, Hauptsache die hacken nicht die Daten in den Psychiatrien.
    Die Psychiater laufen Amok, wenn diese sensiblen Patientendaten aus den geschlossenen Gerichtssystemen herausgeholt werden. Schließlich werden darauf basierend Inobhutnahmen von Kindern, Betreuungsverfügungen und weitere sehr wichtige Dinge im Justizwesen der Bundesrepublik Deutschland beschlossen und verfügt. Soweit mir bekannt, ist die Psychiatrie Wiesloch hier ein Vorzeigemodell im Rahmen des International Law Ausbildungssystems aus Heidelberg.
    Wobei die Heidelberger mussten diese Kompetenz abgeben (Grund unbekannt), die Mannheimer haben den Lehrstuhl übernommen.
    Lieben Gruß SUSI

    1. Welche Berufsgruppe hasst du eigentlich am Meisten? Oder betreibst du deine Hetze einfach so ins Blaue hinein?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.