Betrugserkennung in der PKV in Zeiten von ChatGPT und Deepfakes: Wem kann man noch vertrauen?

Private Krankenversicherer in Deutschland haben ein Problem. Betrugsschäden der Branche erreichen mittlerweile Milliardensummen und machen einen bemerkbaren Teil der gesamten Leistungsausgaben aus. Anders formuliert: Eine betrügerische Minderheit an Patienten und Leistungserbringern bereichert sich erheblich zulasten der übrigen Privatversicherten. Was können Versicherer tun, um sich besser zu schützen? Ein Gastbeitrag von Christoph Dombrowski.

Die Grenzen zwischen Betrug, unsauberer Rechnungslegung und Rechnungsoptimierung sind insbesondere bei Leistungserbringern fließend. Ob eine Leistung wie abgerechnet erbracht wurde, lässt sich im Nachgang oft nur schwer durch die PKV herausfinden.

Anders sieht es bei betrügerischen Aktivitäten der Versicherten selbst aus: Wenn Behandlungen frei erfunden, Rechnungen gefälscht und zur „Kostenerstattung“ eingereicht werden, gestaltet sich der Nachweis deutlich einfacher – ein Anruf bei der jeweiligen Praxis genügt, um herauszufinden, ob eine Behandlung stattgefunden hat. Die Schwierigkeit liegt aber auch hier in der eigentlichen Erkennung einer Unregelmäßigkeit.

Digitalisierung erleichtert Betrug

Die Digitalisierung des Gesundheitswesens bietet nicht nur Versicherern und Patient:innen neue Möglichkeiten, sondern auch potenziellen Betrügern. Bis vor wenigen Jahren wurden Anträge und Rechnungen zu großen Teilen postalisch eingereicht. Heute genügt zumeist ein Foto, das via App oder Kundenportal an die PKV geschickt wird. Aus Kundensicht wird dadurch der Prozess von der Einreichung eines Dokuments bis zur Erstattung deutlich schneller und komfortabler. Für die Versicherer geht damit jedoch ein Kontrollverlust einher, weil sie keinen physischen Zugriff mehr auf die Originaldokumente haben, sondern nur noch auf ein mehr oder weniger gut aufgelöstes Handyfoto.

Dokumente inhaltlich zu fälschen war noch nie so einfach wie heute

Mithilfe von Textverarbeitungsprogrammen ist es schon seit Jahren möglich, Rechnungen oder Rezepte in Anlehnung an einen Originalbeleg nachzubauen und bei der privaten Krankenversicherung zur „Kostenerstattung“ einzureichen. Ungleich schwerer war es aber für medizinische Laien und Laiinnen, eine aus fachlicher Sicht plausible medizinische Abrechnung zu erstellen.
Im Jahr 2022 kam für Betrüger aber auch dafür ein neues nützliches Werkzeug hinzu: ChatGPT. Fragt man ChatGPT beispielsweise, welche Ziffern auf einer Arztrechnung zur Behandlung eines Glaukoms (Grüner Star) stehen, erhält man folgendes Ergebnis:

Die Ziffern auf einer Arztrechnung zur Behandlung eines Glaukoms können je nach Abrechnungssystem und Land variieren. Im deutschen Abrechnungssystem der Gebührenordnung für Ärzte (GOÄ) könnten beispielsweise folgende Ziffern relevant sein:

Ziffer 1: Beratung und Untersuchung

Ziffer 5: Injektionen oder Infusionen

Ziffer 6: Operative Maßnahmen

Ziffer 7: Laserbehandlung

Ziffer 8: Medikamentöse Therapie

Ziffer 9: Nachsorge und Kontrolluntersuchungen

ChatGPT gibt zwar (zum Glück) noch keinen vollständigen Rechnungsvorschlag aus, es erleichtert die weitere Recherche aber massiv. Auf Basis des Punkts „Medikamentöse Therapie“ kann man so z.B. die Frage stellen, welche Medikamente zur Behandlung eines Glaukoms eingesetzt werden können. Auch auf diese Frage kennt ChatGPT eine valide Antwort samt umfangreicher Erläuterung.

Dokumentenforensik zur Erkennung von strukturellen Auffälligkeiten

Solche inhaltlich plausiblen Fälschungen können aber schon heute mittels Dokumentenforensik zuverlässig erkannt werden, sofern die Häuser auf derartige Software-Lösungen setzen. Unter Dokumentenforensik versteht man hier insbesondere den strukturellen Vergleich der neu eingereichten Dokumente mit den bereits bekannten Rechnungen desselben Leistungserbringers. Unterscheidet sich das Dokument auch nur geringfügig vom erwarteten Aufbau, können entsprechende Betrugs-Workflows automatisch initiiert werden.

Dieser Ansatz funktioniert vor allem deshalb so gut, weil Betrüger nicht über dieselben Tools zur „Rechnungserstellung“ verfügen wie Arztpraxen und Rechnungssteller, die hierfür üblicherweise keine Textverarbeitungsprogramme nutzen.

Potenzielles Werkzeug für Betrüger: Das KI-Programm ChatGPT kann für inhaltlich plausible Fälschungen missbraucht werden.

Bildmanipulation ist heute für jedermann zugänglich

Dass das aber nicht so bleiben wird, zeichnet sich heute schon ab. So verfügen moderne Smartphones bereits über einfach zu bedienende Werkzeuge zur Bildmanipulation. Heute werden diese vor allem dazu genutzt, um störende Objekte aus dem Bildhintergrund zu entfernen oder um aus mehreren Gruppenfotos eines zu erstellen, auf dem alle Fotografierten die Augen geöffnet haben und lächeln. Die Anbieter versuchen eine missbräuchliche Nutzung zu unterbinden, indem sie die Anwendung erkennen lassen, ob es sich auf dem Bild z.B. um ein Ausweisdokument handelt.

Dass weitere und weniger seriöse Anbieter diese Technologie künftig auch mit anderen Anwendungsfällen wie der Manipulation von Rechnungen zur Verfügung stellen werden, ist jedoch nur eine Frage der Zeit. Was können die Versicherer also tun, um sich künftig davor zu schützen?

Eine zweifelsfreie Echtheitsprüfung gelingt nur über die Rechnungsnummer

Für Finanzämter stellen Rechnungsnummern ein erstes Indiz für eine unsaubere Rechnungsstellung eines Betriebs dar. Sie prüfen insbesondere, inwiefern die Rechnungsnummern fortlaufend und lückenlos sind.

Grundsätzlich können auch private Krankenversicherer bei der Rechnungsprüfung ähnliche Verfahren anwenden, um Aussagen zur Fortläufigkeit der Rechnungsnummern treffen zu können. Im Gegensatz zu den Finanzämtern haben PKV aber ein Problem: Sie können allein schon aus Datenschutzgründen nicht auf alle Rechnungen eines Leistungserbringers zugreifen, sondern nur auf solche, die sich bereits in ihrem eigenen Datenhaushalt befinden. Dieser Umstand verschlechtert die Detektionsqualität in Abhängigkeit von der Größe des Versichertenbestands (ggf. in einer Region) teilweise erheblich. Dieses Problem können die Versicherer aber durch den anonymisierten bzw. pseudonymisierten Austausch von Rechnungsinformationen lösen.

Datenaustausch und Zusammenarbeit der ­Unternehmen führen zum Ziel

Im Bereich der Auslandsreisekrankenversicherung gibt es bereits erste vielversprechende Untersuchungen zur Erkennung von Doppelversicherungsbetrug durch die Übermittlung von Rechnungsmetadaten an eine zentrale Stelle. Sofern derselbe Datensatz von mindestens zwei Versicherern übermittelt wurde, erhalten die Unternehmen die Information, bei welchem Datensatz-Auffälligkeiten detektiert wurden.

Dieses Verfahren kann grundsätzlich in ähnlicher Form auch in der privaten Krankenversicherung Anwendung finden, indem Informationen zum Leistungserbringer, zu den Daten der Leistungserbringung sowie zur Rechnungsnummer übermittelt werden. Hierfür werden keinerlei Gesundheitsdaten oder Informationen zu Patienten und Patientinnen benötigt, weshalb ein solches Verfahren (vorbehaltlich einer unabhängigen Begutachtung) datenschutzrechtlich als eher unkritisch angesehen werden kann. So könnten sich private Krankenversicherer schon heute gegen künftige Risiken absichern.

Autor: Christoph Dombrowski, Senior Manager und Projektleiter adesso insurance solutions