| Elektronische Gesundheitskarte

Sicherheitspanne bei der Gesundheitskarte

Gesundheitskarten ohne vorgegebene PIN sind ein Sicherheitsrisiko.
Bild: MEV Verlag GmbH, Germany

Die Verantwortlichen der elektronischen Gesundheitskarte (eGK) liefern selbst Futter für ihre Gegner: offensichtlich hat man sich über Sicherheitsvorgaben hinweggesetzt. Das Rollout läuft, aber viele Karten müssen später ausgetauscht werden.

Es bleibt unklar, ob es ein Programmierfehler war oder man sich bewusst über Sicherheitsvorschriften hinweg gesetzt hat: rund 55 Krankenkassen haben an ihre Versicherten teilweise die neue eGK mit einem potentiellen Sicherheitsmangel ausgeliefert. Der Fauxpas ist offensichtlich dem Dienstleister itsc unterlaufen, der für die Krankenkassen die Kartenversorgung durchführt. Rund 2 Mio. fehlerhafte Karten sind nun im Umlauf.

Smartcards ohne PIN ausgeliefert

Die Karten wurden mit einem Null-Wert bei der Online-PIN, der Geheimzahl der Gesundheitskarte, ausgeliefert. Die Versicherten mit einer solchen Karte können sich selbst eine PIN vergeben. Üblich ist eigentlich, die PIN beim Herstellungsprozess bereits auf dem Kartenchip zu programmieren und in einem getrennten Begleitschreiben vertraulich dem Versicherten mitzuteilen.

Bei den Karten ohne fest vorgegebene PIN besteht nun ein Sicherheitsrisiko. Betrüger können bei einem Diebstahl der Karte eine eigene PIN setzen und den Leistungsausweis mit der Identität des Versicherten missbrauchen.

Das aktuelle Rollout läuft ungehindert weiter

Allerdings wird das PIN-Verfahren derzeit noch nicht genutzt, denn die dafür erforderlichen Online-Funktionen der eGK starten erst später. Die fehlerhaft ausgelieferten Karten können derzeit problemlos genutzt werden. Bevor jedoch die ersten Online-Anwendungen starten, sollten diese Karten wieder ausgetauscht werden.

Der Fehler wurde inzwischen behoben und bei den aktuell produzierten Karten dieses Dienstleisters wurde diese Sicherheitslücke geschlossen. Das Rollout der eGK kann ungehindert fortgesetzt werden.

PIN wird aktuell noch nicht genutzt

Die PIN wird erst zu einem späteren Zeitpunkt wichtig: wenn die eGK online-fähig ist oder die elektronische Patientenakte auf der Karte gespeichert werden kann. Denn nur hierfür wird sie benötigt. Auch zukünftig muss die Geheimnummer nicht bei jedem Arztbesuch eingegeben werden.

Versicherten können derzeit nicht erkennen, ob auf ihrer neuen eGK eine sichere PIN hinterlegt ist. Erst wenn Online-Funktionen verfügbar sind, wird die gültige PIN in vertraulichem Schreiben von der Kasse mitgeteilt. Versicherte mit einer fehlerhaften PIN werden dann mit einer neuen Karte ausgestattet.

Verfahren gegen die Gesundheitskarte steht an

Das eigentliche Problem dieses Fauxpas liegt jedoch eher an anderer Stelle: Die Gegner der neuen Technologie, auch unter den Leistungserbringern im deutschen Gesundheitswesen zahlreich vertreten, erhielten dadurch erneut Futter bezüglich der bestehenden Sicherheitsbedenken.

Just zu diesem Zeitpunkt steht auch die erste gerichtliche Klärung zur neuen Gesundheitskarte an. Das Sozialgericht Düsseldorf will am 28.6.2012 die Klage eines Versicherten behandeln, der die Karte verhindern will und medizinische Behandlung auch ohne neue Karte verlangt. Der Kläger wird vom Bündnis „Stoppt die E-Card“ unterstützt. Das sozialgerichtliche Verfahren sehen die Kritiker lediglich als ersten Schritt auf dem Weg zum Bundesverfassungsgericht.

Schlagworte zum Thema:  Elektronische Gesundheitskarte, PIN, Datenschutz, Sicherheitsrisiko

Aktuell

Meistgelesen