Whistleblower deckt Schwachstelle im ePa-Widerspruchsverfahren auf

Ein Whistleblower hat eine Sicherheitslücke im Widerspruchsverfahren zur elektronischen Patientenakte (ePA) aufgedeckt.

Nach eigenen Angaben reichte er im April im Namen einer Versicherten bei der Krankenkasse Barmer einen Widerspruch gegen die ePA ein – allein mit Name, Adresse und einer frei erfundenen Unterschrift.

Eine Identitätsprüfung sei dabei nicht erfolgt, berichtete der Whistleblower dem „Handelsblatt“. Die Versicherte war in das Vorgehen eingeweiht. Kurz darauf erhielt sie eine Bestätigung über die Löschung ihrer ePA per E-Mail.

Urkundenfälschung oder Schwachstelle?

Der Whistleblower, der als Dienstleister im Krankenkassenbereich tätig ist, kritisiert unzureichende Prüfmechanismen.

Die Kassen haben offensichtlich keinerlei Identitätsdaten, um sicherzustellen, dass ein Widerspruch tatsächlich von der versicherten Person stammt.“

Die Barmer wies den Vorwurf zurück. Ein Widerspruch sei nicht ohne Mitwirkung der Betroffenen möglich. Die Kasse verwies auf das entsprechende Formular für einen Widerspruch, auf dem ein Feld für die Krankenversichertennummer vorgesehen sei. Allerdings ist diese Angabe laut Formular nur für Mitversicherte erforderlich.

[etd-related posts=“5120039,5117552″]

Das Bundesgesundheitsministerium (BMG) teilte auf Anfrage mit, man könne keine Einzelfälle kommentieren. „Die Krankenversicherungen sind gehalten, die Widerspruchslösung einfach, aber manipulationssicher umzusetzen“, so ein Sprecher.

Beim beschriebenen Vorgang handele es sich nicht um eine technische Schwachstelle der ePA, sondern um einen Fall von Urkundenfälschung. (dts/red)