BKK reagiert auf Datenrisikovorwürfe
Laut Vorwürfen des ARD-Politmagazins KONTRASTE sollen medizinische Daten von Versicherten der BKK Gesundheit möglicherweise an unbefugte Dritte gelangt sein. Die Krankenkasse hatte eine externe Firma mit der Betreuung ihrer Telefon-Hotline beauftragt. Mitarbeiter des Call Centers hatten - bis zur Sperrung - direkten Zugriff auf sensible Daten der Krankenkassenmitglieder.
Die Vorwürfe beziehen sich nach Angaben der BKK Gesundheit auf die Value 5 HealthCare GmbH, die bei dem Dienstleiter der BKK Gesundheit, MediaKom Verlag GmbH & Co. KG, unter Vertrag steht. Sie wurde von MediaKom beauftragt, die Krankenkasse bei erhöhtem Telefonaufkommen und im Rahmen der 24-stündigen Erreichbarkeit zu unterstützen.
Erpresser drohte mit Veröffentlichung der Unterlagen
Die Vorwürfe sind auf einen anonymen Erpressungsversuch Ende Januar zurückzuführen. Die Krankenkasse wurde von einem zurzeit noch unbekannten männlichen Anrufer zum Ankauf von nicht konkret bezeichneten Unterlagen zu Telefondienstleistungen aufgefordert. Nachdem die BKK Gesundheit den Ankauf der angebotenen Unterlagen abgelehnt hatte, soll der Anrufer mit der Veröffentlichung der Unterlagen und einem Imageschaden für die Krankenkasse gedroht haben.
Praktische Konsequenzen: sperren und informieren
Die Krankenkasse hat den Zugang zu ihren Kundendaten für alle externen Dienstleister sofort abgeschaltet und sämtliche Zugangskennungen gesperrt. Zudem hat sie alle zuständigen Aufsichtsbehörden aktiv und umfassend informiert - darunter das Bundesministerium für Gesundheit, den Bundesdatenschutzbeauftragten, das Bundesversicherungsamt, den GKV-Spitzenverband und den Landesverband der Betriebskrankenkassen in Hessen. Diesen Organisationen wurden auch alle Unterlagen in der Sache zur Verfügung gestellt. Ergänzend dazu waren Vertreter des Bundesdatenschutzbeauftragten auf Einladung der Krankenkasse für eine Prüfung vor Ort. Darüber hinaus beauftragte der Vorstand der Krankenkasse den vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) lizenzierten Auditor Knud Brandis, Firma Persicon, mit der unabhängigen und kritischen Analyse.
Sicherheitslücke: Screenshot
Das Problem: Der externe Dienstleister kann nach der Freigabe von Zugriffsrechten Zugang zu den Versichertendaten der Krankenkasse erhalten. Dabei wählt er sich auf dem Server der BKK Gesundheit ein, kann Datensätze aber nicht sammeln oder kopieren. Es ist jedoch möglich, von den Daten Screenshots zu machen und diese weiterzuleiten. Werden diese Screenshots entgegen den vertraglichen Verpflichtungen an Dritte weitergegeben, handelt es sich dabei um einen kriminellen Akt.
Kasse räumt Versäumnis ein
Fakt ist, dass die Krankenkasse die Beauftragung der Value 5 HealthCare GmbH durch die MediaKom Verlag GmbH & Co. KG dem Bundesversicherungsamt hätte melden müssen. Dies ist nicht rechtzeitig geschehen. Darüber hinaus hätte die Krankenkasse eine Datenschutzprüfung beim Telefondienstleister durch MediaKom veranlassen sowie die Einsichtsmöglichkeiten in Kundendaten auf das Notwendigste minimieren müssen. Dies hat sie nicht vor Beauftragung der Value 5 HealthCare GmbH durch den Dienstleister MediaKom getan.
Hintergrund: Auftragsdatenverarbeitung seit Anfang des Jahres
Seit 1. Januar 2010 arbeitet die Value 5 HealthCare GmbH auf Veranlassung des Dienstleisters MediaKom Verlag GmbH & Co. KG in der Auftragsdatenverarbeitung der Krankenkasse. Im Zuge dieser Zusammenarbeit hat die Krankenkasse einen Zugriff auf die Versichertendaten gewährt, um auch bei erhöhtem Telefonaufkommen ihren Versicherten einen umfangreichen Service bieten zu können.
Beitrag „Gefahr von Datendiebstahl - Sicherheitslücke bei Krankenkasse" des ARD-Magazins Kontraste: http://www.rbb-online.de/kontraste/archiv/kontraste_vom_11_02/gefahr_von_datendiebstahl.html
Autor: ast
Quelle: Kontraste, BKK Gesundheit
