Sicherheitsforscher des Chaos Computer Clubs (CCC) haben sich die Technik hinter dem vor der Einführung stehenden E-Rezept angeschaut, mit ernüchterndem Ergebnis: Im Klartext gespeicherte medizinische Gesundheitsdaten, mangelhafte Verfügbarkeit und Datenschutz und keine Sicherheit beim Abruf des E-Rezeptes.

Die Gematik ist eine von den Spitzenorganisationen des Gesundheitswesens gegründete Gesellschaft, deren Aufgabe die Entwicklung technischer Spezifikationen der erforderlichen Datenformate, Dienste und Komponenten für die Telematikinfrastruktur (TI) ist. Sie ist für die Entwicklung des E-Rezeptes zuständig.

Im Einzelnen bemängelt der CCC die mangelnde Verfügbarkeit. Die Anforderungen an die Verfügbarkeit im Sektor “Medikamentenversorgung” der Kritischen Infrastrukturen (Kritis) seien mit dem vorliegenden E-Rezept-System nicht realisierbar. Käme es, wie im Jahr 2020 geschehen, zu einem Ausfall zentraler Dienste der Telematikinfrastruktur, wäre es wochenlang unmöglich, E-Rezepte einzulösen, bemängelt der CCC. Und ob bei einer wie geplant verpflichtenden Einführung des E-Rezeptes die Papierverfahren für den Havarie- oder Katastrophenfall bestehen bleibe, sei ungewiss.

Dass beim E-Rezept an zentraler Stelle medizinische Daten im Klartext anfallen, ist ein weiterer Kritikpunkt. Eine Ende-zu-Ende-Verschlüsselung, wie sie längst industrieüblich sei, sehe die Gematik beim E-Rezept nicht vor. Das Statement der Gematik dazu laute: “Die E-Rezepte werden von der Arztpraxis verschlüsselt an einen zentralen Dienst übertragen, dort verschlüsselt gespeichert und verarbeitet und wieder verschlüsselt von der Apotheke abgerufen. Damit sind die E-Rezepte vor unbefugtem Zugriff geschützt.”

Der CCC kritisiert, dass der entscheidende Teil – die Verarbeitung – unverschlüsselt erfolge. Die Gematik verspreche zwar, die Daten in einer „vertrauenswürdigen Ausführungsumgebung“ (VAU) zu verarbeiten, überprüfen können dies der Nutzer jedoch nicht. Zudem handle es sich bei dieser VAU um eine veraltete und mehrfach erfolgreich angegriffene Technologie mit dem Namen „Intel SGX“, die primär für Kopierschutz eingesetzt werde.

Dass es ausreicht, das E-Rezept mit der elektronischen Gesundheitskarte (eGK) über die Krankenversichertennummer in einer Apotheke abzurufen, sehen die CCC-Forscher als inakzeptabel an.

Und dass auf Prüfungen im Backend – also auf dem zentralen Datenlager der gematik – verzichtet werde und man sich darauf verlasse, dass die (Online-)Apotheke die Präsenz der eGK schon irgendwie prüfe, sei unzureichend und lasse selbst simple Betrügereien zu. Ein Mitarbeiter aus dem Bereich der Online-Versandapotheken könnte bei bekannt gewordenen Versichertennummern Prominenter Zugriff auf deren Verschreibungen nehmen und sie an die Boulevardpresse verkaufen, teilt der CCC mit.

Die Gematik müsse sich klar zu einer Ende-zu-Ende-Verschlüsselung bekennen und an der Sicherheit arbeiten, fordert der CCC. Zudem sollten dass BSI und der BfDI künftig die Spezifikationen kritischer begutachten und sich nicht von Formulierungen wie „durchgängig verschlüsselt“ täuschen lassen.

Der Beitrag CCC kritisiert E-Rezept wegen mangelhaftem Datenschutz erschien zuerst auf Linux-Magazin.