BKK Gesundheit räumt Versäumnisse ein


Betriebskrankenkasse BKK Gesundheit will für Beseitigung möglicher Sicherheitsdefizite sorgen
Die BKK Gesundheit hat umgehend alle zuständigen Aufsichtsbehörden aktiv und umfassend informiert

(17.02.10) - Zum Sicherheitsleck in ihrem Arbeitsablauf gab die Betriebskrankenkasse BKK Gesundheit Ende letzter Woche folgende Presseerklärung ab: "Laut Vorwürfen des ARD-Politmagazins "Kontraste" sind medizinische Daten von Versicherten der BKK Gesundheit möglicherweise an unbefugte Dritte gelangt. Diese beziehen sich auf die Value 5 HealthCare GmbH, die bei dem Dienstleiter der BKK Gesundheit, MediaKom Verlag GmbH & Co. KG, unter Vertrag steht. Diese wurde von MediaKom beauftragt, die Krankenkasse bei erhöhtem Telefonaufkommen und im Rahmen der 24-stündigen Erreichbarkeit zu unterstützen.

Die BKK Gesundheit hat den Zugang zu ihren Kundendaten für alle externen Dienstleister sofort abgeschaltet und sämtliche Zugangskennungen gesperrt. Die Kunden können sich also darauf verlassen, dass ein verantwortungsvoller Umgang mit den Kundendaten für die BKK Gesundheit oberste Priorität hat und die Kasse bei den kleinsten Verdachtsmomenten tätig wird.

Die BKK Gesundheit hat umgehend alle zuständigen Aufsichtsbehörden aktiv und umfassend informiert. Darunter das Bundesministerium für Gesundheit, den Bundesdatenschutzbeauftragten, das Bundesversicherungsamt, den GKV-Spitzenverband und den Landesverband der Betriebskrankenkassen in Hessen. Diesen wurden auch alle Unterlagen in dieser Sache zur Verfügung gestellt. Ergänzend dazu waren heute hochrangige Vertreter des Bundesdatenschutzbeauftragten auf Einladung der BKK Gesundheit für eine Prüfung vor Ort. Dies ist geschehen, um mögliche Sicherheitsdefizite sofort zu beheben und den höchst möglichen Sicherheitsstandard zu gewährleisten. Darüber hinaus beauftragte der Vorstand der Krankenkasse den vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) lizenzierten Auditor Knud Brandis, Firma Persicon, mit der unabhängigen und kritischen Analyse.

Der externe Dienstleister kann nach der Freigabe von Zugriffsrechten Zugang zu den Versichertendaten der Krankenasse erhalten. Dabei wählt er sich auf dem Server der BKK Gesundheit ein, kann Datensätze aber nicht sammeln oder kopieren. Es ist jedoch möglich von den Daten Screenshots zu machen und diese weiterzuleiten. Werden diese Screenshots entgegen den vertraglichen Verpflichtungen an Dritte weitergegeben, handelt es sich dabei um einen kriminellen Akt.

Fakt ist, dass die BKK Gesundheit die Beauftragung der Value 5 HealthCare GmbH durch die MediaKom Verlag GmbH & Co. KG dem Bundesversicherungsamt hätte melden müssen. Dies ist nicht rechtzeitig geschehen. Darüber hinaus hätte die Krankenkasse eine Datenschutzprüfung beim Telefondienstleister durch MediaKom veranlassen sowie die Einsichtsmöglichkeiten in Kundendaten auf das Notwendigste minimieren müssen. Dies hat sie nicht vor Beauftragung der Value 5 HealthCare GmbH & Co. KG durch den Dienstleister MediaKom getan.

Seit 1. Januar 2010 arbeitet die Value 5 HealthCare auf Veranlassung des Dienstleisters MediaKom Verlag GmbH & Co. KG in der Auftragsdatenverarbeitung der BKK Gesundheit. Im Zuge dieser Zusammenarbeit hat die Krankenkasse einen Zugriff auf die Versichertendaten gewährt, um auch bei erhöhtem Telefonaufkommen ihren Versicherten einen umfangreichen Service bieten zu können.

Die Vorwürfe gegen die BKK Gesundheit sind auf einen anonymen Erpressungsversuch Ende Januar zurückzuführen. Die Krankenkasse wurde von einem zurzeit noch unbekannten männlichen Anrufer zum Ankauf von nicht konkret bezeichneten Unterlagen zu Telefondienstleistungen aufgefordert. Nachdem die BKK Gesundheit den Ankauf der angebotenen Unterlagen abgelehnt hat, wurde seitens des Anrufers mit der Veröffentlichung der Unterlagen und einem Imageschaden für die Krankenkasse gedroht. Darauf hat die BKK Gesundheit bei der Staatsanwaltschaft Frankfurt am Main sofort Strafanzeigen gestellt.

Die Krankenkasse vermutet, dass es sich bei dem Erpresser um einen ehemaligen Mitarbeiter des Telefondienstleisters handelt. Dieser hat in den vergangenen Tagen mehrmals erfolglos versucht, sich auf den Rechner der BKK Gesundheit mit seinem alten und inzwischen gesperrten Zugang einzuwählen."
(BKK Gesundheit: ra)

Lesen Sie auch:
Unternehmen gegen Datenmissbrauch absichern

BKK Gesundheit: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Politik auf EU-Ebene gefordert

    Der Digitalverband Bitkom plädiert vor der Konstituierung der neuen EU-Kommission für ein Umdenken in der europäischen Verbraucherpolitik. In den letzten Jahren wurde eine kaum überschaubare Vielzahl neuer Regeln wie Datenschutz-Grundverordnung, Digital Markets Act, Data Act, AI Act oder dem Digital Services Act und diverse Verbraucherrechtsrichtlinien erlassen.

  • Quantum-Sicherheit beginnt jetzt

    Die Veröffentlichung der Post-Quantum-Standards durch das NIST markiert einen entscheidenden Fortschritt in der Absicherung der digitalen Zukunft. Bislang befanden sich Entwickler und Sicherheitsteams in einer abwartenden Position, doch mit der Finalisierung dieser Standards beginnt nun der Weg zur Quantum-Sicherheit.

  • NIS2-Umsetzung & Null-Toleranz-Strategie

    148 Milliarden Schaden im vergangenen Jahr - und längst noch kein Ende in Sicht: Die Bedrohungslage ist und bleibt prekär. Zudem sorgen Digitalisierung, Cloud und KI für neue Angriffsflächen und eröffnen den Hackern eine Vielzahl an Möglichkeiten. Dies zeigt auch die jüngste Lünendonk-Studie. Der zu Folge hakt es insbesondere bei der E-Mail-Sicherheit und dem Schwachstellenmanagement. Trotz einer anhaltend massiven Bedrohungslage hat rund ein Drittel der Unternehmen keinen Überblick über den tatsächlichen Cybersecurity-Status.

  • Herausforderungen und Chancen der NIS-2-Direktive

    Mit der bevorstehenden Frist zur Umsetzung der NIS-2-Direktive stehen viele Unternehmen vor einer bedeutenden Herausforderung. Unsere Beobachtungen zeigen, dass viele Unternehmen Schwierigkeiten haben werden, die Anforderungen rechtzeitig zu erfüllen. Dies liegt vor allem daran, dass das Thema zu lange vernachlässigt wurde.

  • NIS-2-Richtlinien treten bald in Kraft

    Die NIS-2-Richtlinien treten in wenigen Monaten in Kraft und sind derzeit in aller Munde. Die zahlreichen Vorträge und Veranstaltungen zu diesem Thema unterstreichen nicht nur dessen Bedeutung, sondern zeigen auf, dass es noch viel Informationsbedarf bei Verantwortlichen und Entscheidern gibt.

Patientendatenschutz in Gefahr? Unternehmen gegen Datenmissbrauch absichern

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen