Hat die elektronische Gesundheitskarte ein Datenschutzproblem?
Wenn man unserem Bundesgesundheitsminister Glauben schenken will, dann hat die elektronische Gesundheitskarte (eGK) kein Datenschutzproblem.
Dürfen wir uns also im Vertrauen auf das Ministerwort beruhigt zurücklehnen und darauf bauen, dass unsere medizinischen Daten sicher sein? Nein, sicher nicht. Vermutlich baut Gröhe bei seiner Aussage auf die eingesetzte starke Kryptographie. Dass diese keinen absoluten Schutz darstellt, hat der international renommierte Sicherheitsexperte Bruce Schneier bereits im Jahr 2000 zerknirscht in seinem Buch “Secrets and Lies” eingestanden. Die wichtigste Sicherheitslücke besteht nicht so sehr in Schwächen der Technik, sondern in kreativer Umgehung des technischen Schutzes. Es braucht dazu keinen besonders genialen Hacker, sondern lediglich eine Person, die glaubwürdig lügen kann. Dies wurde wieder mal erschreckend deutlich, als das ZDF mit Hilfe des Experten für Datensicherheit im Gesundheitswesen, Dr. André Zilch, bei der AOK die Probe auf’s Exempel machte. Dr. Zilch gab sich am Telefon als ein anderer Versicherter aus und bekam nach Nennung der ersten Stellen dessen Versichertennummer problemlos eine eGK an eine von ihm genannte Adresse geschickt. Mit der Karte kann er ein Onlinekonto bei der AOK erstellen und hat vollen Zugriff auf die Arztbesuche, Operationen und Medikationen des Versicherten.
Man könnte jetzt einwenden, dass dieses Problem nicht spezifisch mit der eGK zusammenhängt. Dieser Einwand ist einerseits richtig, denn das Problem hat diese “Patientenquittung” genannte Dienstleistung der Krankenkassen auch ohne eGK. Andererseits geht er aber an der Sache vorbei. Dank der vermeintlich ach so sicheren eGK sind die Bestrebungen nämlich, immer mehr Daten zu erfassen und mit Versichertennummer zu vernetzen. So wird die eGK durch die Hintertür daran schuld, dass auf immer mehr Daten mißbräuchlich zugegriffen werden kann.
Das ZDF hat die AOK mit den Ergebnissen seiner Recherche konfrontiert: Die Antwort: “(…)Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können (…)“. Man frägt sich, wo die für die Datensicherheit verantwortlichen Personen bei den Krankenkassen in den vergangenen 15 Jahren seit der Veröffentlichung von “Secrets and Lies” waren. Dieses Buch ist für solche Personen sicherlich als Pflichtlektüre anzusehen und nach der Lektüre darf niemand mehr in ihrem Unternehmen sagen, dass er ihm am Telefon mitgeteilte Postadressen grundsätzlich als wahr annnehmen darf. Diese Zeiten sind endgültig vorbei!
Neu ist der von Dr. Zilch durchgeführte Social-Enginering-Angriff auf die Patientenquittung nicht. Ein analoger Anfgriff wurde bereits vor einem Jahr bei der Barmer dokumentiert.
Wer nun meint, dass das ja alles kein Problem sei, weil dafür ja jemand mit krimineller Energie einem persönlich an die Patientendaten wollen muss, dann sei ihm gesagt, dass das auch durchaus in kriminell organisierter Weise durchgeführt werden kann. Zudem hat die organisierte Kriminalität noch andere Möglichkeiten, wie die NSA mit ihrem Angriff auf Gemalto, einen der Hersteller der eGK, demonstriert hat. Bekannt wurde, dass Schlüssel für die Mobilkommunikation gestohlen wurden, es ist aber davon auszugehen, dass keine Geheimnisse von Gemalto vor einem Angreifer wie der NSA sicher sind. Und wenn man über die Schlüssel verfügt, kann man alle Daten auch gleich automatisiert abfischen.
Wie ist also Gröhes Ansage zu bewerten? Frei nach Radio Eriwan: Im Prinzip hat der Minister recht, es nützt den Versicherten nur nichts, weil ihre medizinischen Daten eben nicht sicher sind.
https://www.schneier.com/books/secrets_and_lies/
http://www.heute.de/massive-datenschutzluecke-bei-elektronischer-gesundheitskarte-38542206.html
https://ddrm.de/2015/02/20/hat-die-nsa-zugriff-auf-deutsche-patientendaten/
Pingback: LabourNet Germany: Treffpunkt für Ungehorsame, mit und ohne Job, basisnah, gesellschaftskritisch » Krankenkassen übermitteln ohne Identitätsprüfung Gesundheitsdaten