Sicherheitslücke bei Krankenkasse, Montage (Quelle: ARD)

- Gefahr von Datendiebstahl– Sicherheitslücke bei Krankenkasse

Bei einer großen deutschen Krankenkasse, der BKK Gesundheit, bestand die Gefahr des millionenfachen Datendiebstahls. Die Kasse hatte eine externe Firma mit der Betreuung ihrer Telefon-Hotline beauftragt. Hilfskräfte des Call Centers hatten bis vor kurzem direkten Zugriff auf sensible Daten der Krankenkassenmitglieder.

Wenn Sie immer schon mal wissen wollten, welche Krankheiten ihr Nachbar hat, welche Bankverbindungen ihr Ehemann ihnen verschweigt, warum ihr Angestellter einen seltsamen Hautausschlag hat – dann hätten Sie sich im Nebenjob nur bei einem Callcenter bewerben müssen, das im Auftrag der Krankenkasse BKK-Gesundheit Kunden betreuen. Denn dort wären Sie völlig problemlos an diese hochsensiblen Daten herangekommen. Tim van Beveren und Norbert Siegmund über einen Datenskandal ungeahnten Ausmaßes.

Eine Wohnung irgendwo in Deutschland: Über das Internet sehen wir intimste Daten von gesetzlich Krankenversicherten. Namen, Adressen, Geburtsdaten, Bankverbindungen. Sogar, wer wann welche Krankheit hatte. Krankheitsbilder, die Dritte eigentlich nichts angehen.

Zugriff auf sensibelste Daten von Millionen Versicherter. Kein Problem, sagen uns Insider, die unerkannt bleiben wollen.

Informant
„Wenn ich möchte, habe ich Zugriff auf alle Daten, die eine Krankenkasse von einem Kunden erhält: ob eine Arbeitsunfähigigkeitsbescheinigung vorliegt oder nicht, welche Krankheit derjenige hat, welche Vorgeschichte derjenige hat. Ich kann die Daten kopieren, ich kann sie auf dem Stick speichern ich kann mit den Daten alles machen, was ich möchte.“

Anlass für KONTRASTE, den obersten Datenschützer mit unseren Recherchen zu konfrontieren. Er ist schockiert.

Peter Schaar, Bundesbeauftragter für den Datenschutz
„Hier wird mit personenbezogenen Daten, mit höchst sensiblen personenbezogenen Daten verantwortungslos umgegangen. Ein solcher leichtfertiger Umgang mit Sozialdaten ist mir bisher noch nicht unter gekommen.“

Doch: Hier sind keine Hacker oder Spione am Werk. Unsere Informanten arbeiten sogar mit dem Segen der Krankenkasse.

Anruferin (nachgestellte Szene)
„Willkommen bei der BKK Gesundheit. Mein Name ist Sandra Müller. Was kann ich für Sie tun?“

Was die Versicherten nicht wissen: Einige Kundenbetreuer so wie unsere „Frau Müller“ in dieser von uns nachgestellten Szene, arbeiten gar nicht in der Krankenkasse, sondern in „Heimarbeit“. Und Sie sind auch keine festangestellten Mitarbeiter der BKK.

Dennoch haben sie Zugriff auf die Datenbank der Krankenkasse. Nur dass die offenbar nicht so genau weiß, was mit den Daten alles möglich ist, und wem genau Sie Zugang eingeräumt hat.

KONTRASTE
„Ist jemals ihre Identität wirklich überprüft worden?“
Informantin
„Nein, nein!! In keinster Art und Weise!“
Informant
„Weder ein Personalausweis von mir wurde gar nichts verlangt. Eine Email Adresse an die sie sich wenden können, aber die kann man überall erstellen.“
Informantin
„Im Laufe der Bewerbung findet kein persönlicher Kontakt statt, also es wird in keinster Weise die Identität des Bewerbers letztendlich überprüft und dessen Referenzen schon gar nicht, und mich hat nie jemand nach einem Zeugnis gefragt.“

Wir wundern uns: Die Krankenkasse gibt Zugriff auf sensibelste Daten - und verlangt im Gegenzug nicht einmal einen Ausweis …

Peter Schaar, Bundesbeauftragter für den Datenschutz
„Das ist skandalös und die Frage, wer da verantwortlich ist, muss natürlich noch geklärt werden. Aber letztlich liegt die Verantwortung für den Umgang mit Versichertendaten bei der Krankenkasse.“

Die BKK Gesundheit, mit über 1,5 Millionen Versicherten größte Betriebskrankenkasse in Deutschland. Sie findet es ganz normal, Kundenbetreuung auszulagern.

Vor der Kamera will sich die BKK nicht äußern. Schriftlich räumt sie ein, dass sie auf externe Dienstleister zurückgreift, Zitat:
„…zur Abdeckung von Belastungsspitzen…“,
wie es heißt.

Die Kasse beruft sich auf das Sozialgesetzbuch, danach dürfe sie so verfahren, behauptet sie.

KONTRASTE hat nachgeschlagen: Danach darf die Kasse Dritte zwar beauftragen, allerdings nur unter strengen Voraussetzungen, Zitat:
„… wenn … Rechte der Versicherten nicht beeinträchtigt werden.“

Wird die Verantwortung hier gleich mit delegiert?

Peter Schaar, Bundesbeauftragter für den Datenschutz
„Jeder, der personenbezogene Daten verarbeitet hat dafür zu sorgen, dass die angemessen geschützt werden. Und je sensibler diese Informationen sind, desto Stärker muss dieser Schutz sein.“

Sensible Daten von 1,5 Millionen Versicherten – wie geht die BKK Gesundheit damit um?

Sie beauftragte die MediaKom Verlags GmbH als Subunternehmerin mit telefonischer Kundenbetreuung.

Die MediaKom wiederum hat den Auftrag weiter vergeben: an die Firma Value 5 - als Sub-Sub-Unternehmerin.

Doch die Sub-Sub-Unternehmerin bedient sich freier Mitarbeiter, sozusagen als Sub-Sub-Sub-Unternehmer. Und die erhalten Zugriff auf die Datensätze.

Und wer kümmert sich da so um das Wohl der Versicherten? Sozialversicherungs-Fachkräfte?

Informantin
„Also ich habe keinen einzigen Sozialversicherungsfachangestellten je kennengelernt, ganz im Gegenteil, doch sehr zwielichtige Gestalten, die in den Konferenzen und Online-Schulungen auftauchten. Also das ging vom Hartz IV Empfänger bis zu der Dame die das Nachts Telefonsex … ich mein, Telefonerotik betreibt und tagsüber die Kunden der BKK Gesundheit betreut …“
KONTRASTE
„Was verdient so jemand, der da Support am Telefon macht?“
Informantin
„Also das sind 25 Cent pro Gesprächsminute, brutto.“

BKK Gesundheit und Sub-Subunternehmen Value 5 erklären: Alle Daten seinen sicher. Doch erst im Zuge der KONTRASTE-Recherchen fordern sie von Mitarbeitern unterschriebene Datenschutzerklärungen.

Peter Schaar, Bundesbeauftragter für den Datenschutz
„Da reicht es nicht aus, dass man sich von irgendjemanden irgendetwas unterschreiben lässt, sondern man muss sich vor Ort vergewissern und wenn hier Subunternehmer eingeschaltet werden, die sich dann auf dem freien Markt irgendwelcher Personen bedienen, deren Identität nicht einmal irgendwo verifiziert wird, dann ist das die Einladung zum Datenklau.“

Einladung zum Datenklau? Die Daten seinen durch spezielle Zugänge und Passwörter geschützt, behauptet die BKK. Speichern und drucken sei technisch gar nicht möglich.

Unsere Insider behaupten das Gegenteil.

Informant
„Man loggt sich zuhause mit seinem eigenen Computer ein, bekommt Passwörter per Telefon mitgeteilt, eine Überprüfung des Rechners auf dessen Sicherheit findet nicht statt, ob da Dritte, Vierte da Zugang zu den doch sehr sensiblen Daten haben.“

KONTRASTE konnte sich überzeugen, wie mit einfachen Mitteln intimste Datensätze Eins-Zwei-Drei auf einen Daten-Stick oder eine CD-Rom gespeichert werden können.

So wäre – so die Insider - auch von jedem Internetcafe Zugriff auf Kassendaten möglich.

Peter Schaar, Bundesbeauftragter für den Datenschutz
„Schon die Delegation dieser Aufgabe an Privatpersonen die von Zuhause aus von ihrem privaten Laptop, über das Internet über ungesicherte oder auch gesicherte W-Lans hier zugreifen können, schon alleine, diese Vergabe ist aus meiner Sicht nicht zu verantworten.“

Gleich nach unserem Interview hat der oberste Datenhüter ein Prüfungverfahren eingeleitet.

Aufgeschreckt durch die KONTRASTE-Recherchen tritt auch die Aufsichtsbehörde, das Bundesversichereungsamt, auf den Plan: Derart weitgehender Datenzugang für Hilfskräfte sei unzulässig. Jetzt würden die BKK Gesundheit und ihre Subunternehmer geprüft.

Inzwischen räumt die BKK-Gesundheit Mängel bei der Datensicherheit ein. Um den Schaden zu begrenzen, wurden die Zugänge des Subunternehmens Value 5 abgeschaltet. Wegen eines Erpressungsversuchs mit geschäftsinternen Unterlagen hat die BKK-Gesundheit Strafanzeige gegen Unbekannt erstattet.

Beitrag von Tim van Beveren und Norbert Siegmund