Artikel

Das neue E-Rezept: Sicherheit und Datenschutz werden als mangelhaft bewertet

Seit dem 1. September 2022 sind Apotheken flächendeckend in ganz Deutschland in der Lage E-Rezepte einzulösen und mit den Krankenkassen abzurechnen. Auch außerhalb des regional begleiteten E-Rezept-Rollouts kann das E-Rezept bundesweit in den (Zahn-)Arztpraxen und Krankenhäusern für die Verordnung von Arzneimitteln genutzt werden.

In einigen Arztpraxen wurde die schrittweise Einführung des E-Rezepts bereits durchgeführt. Bis zum Frühjahr 2023 soll es den bekannten rotrosa-farbigen Papierzettel verpflichtend ersetzen. Verantwortlich für das Konzept des E-Rezeptes ist die gematik.

Nun haben sich Sicherheitsforscher des Chaos Computer Clubs (CCC) anlässlich der Einführung des E-Rezepts mit dessen Technik auseinandergesetzt. Was sie dabei entdeckten: die gespeicherten medizinischen Gesundheitsdaten, die Verfügbarkeit und der Datenschutz sind mangelhaft und der Abruf des E-Rezeptes ist unsicher.

Die gematik ist eine von den Spitzenorganisationen des Gesundheitswesens gegründete Gesellschaft, deren Aufgabe die Entwicklung technischer Spezifikationen der erforderlichen Datenformate, Dienste und Komponenten für die Telematikinfrastruktur (TI) ist.

Mangelhafte Verfügbarkeit

Experten des CCC kritisieren, dass sich Verfügbarkeitsanforderungen an den Sektor „Medikamentenversorgung“ der Kritischen Infrastrukturen (Kritis) mit dem vorliegenden E-Rezept-System nicht realisieren lassen: Bei einem Ausfall zentraler Dienste der Telematikinfrastruktur, wie zuletzt im Jahr 2020, wäre es wochenlang unmöglich, E-Rezepte einzulösen. Ob bei einer wie geplant verpflichtenden Einführung des E-Rezeptes die Papierverfahren für den Havarie- oder Katastrophenfall bestehen bleiben, ist ungewiss.

Unzureichendes Verständnis bei Verschlüsselung

Zudem bemängeln die CCC-Experten, dass beim E-Rezept an zentraler Stelle medizinische Daten anfallen. Eine Ende-zu-Ende-Verschlüsselung, wie sie längst industrieüblich ist, ist wohl nicht gegeben.

Obwohl die E-Rezepte von der Arztpraxis verschlüsselt werden, dann an einen zentralen Dienst übertragen werden, dort verschlüsselt gespeichert und verarbeitet und wieder verschlüsselt von der Apotheke abgerufen werden.

Der entscheidende Teil – die Verarbeitung – erfolgt allerdings unverschlüsselt. Die gematik verspricht, die Daten in einer „vertrauenswürdigen Ausführungsumgebung“ (VAU) zu verarbeiten. Überprüfen lässt sich dies als Anwenderin jedoch nicht, bei einem gut designten System muss sie dem Server nicht blind vertrauen.

Sicherheitsniveau inakzeptabel

Um das E-Rezept mit der elektronischen Gesundheitskarte (eGK) in einer Apotheke abzurufen, reicht die Krankenversichertennummer. Das kritisieren die CCC-Forscher als nicht akzeptabel. „Das ist ein Sicherheitsniveau, wie wir es vor fünfzehn Jahren bei Kreditkarten hatten und das dort inzwischen sogar verboten wurde“, sagte Fabian Luepke, ein Sicherheitsforscher des CCC. Die Präsenz der eGK wird nur im Frontend und somit nur unzureichend geprüft, wie selbst die gematik offen in ihrer Spezifikation eingesteht:

„Der E-Rezept-Fachdienst kann daher weder die Integrität noch die Authentizität eines Prüfungsnachweise überprüfen. Es liegt in der Verantwortung des AVS [Apothekenverwaltungssystems], die Abläufe […] gemäß den Anforderungen der gematik umzusetzen.“

Holm Diening, „Chief Security Officer“ der gematik, rechtfertigt das Vorgehen, Prüfungen nur im Frontend zu vollziehen. Das sei gar Absicht:

„Logisch, dass solche Maßnahmen im Client bei Vorsatz überwindbar sind. […] Wir verlagern also von Prävention zu Detektion + Reaktion. Nicht aus Versehen, sondern bewusst.“

Es wird also ganz bewusst auf Prüfungen im Backend – also auf dem zentralen Datenlager der gematik – verzichtet und sich lediglich darauf verlassen, dass die (Online-)Apotheke die Präsenz der eGK schon irgendwie prüft. „Nach dieser Logik bräuchte die gematik ihre Rechenzentren nicht abzuschließen, weil Einbruch ja verboten ist“, so Luepke weiter.

Selbst für simple Betrügereien sind Tür und Tor offen: Ein Mitarbeiter aus dem Bereich der Online-Versandapotheken kann beispielsweise bei bekannt gewordenen Versichertennummern Prominenter Zugriff auf deren Verschreibungen nehmen und sie an die Boulevardpresse verkaufen.

Es gibt zwar ein Auditlog, was Patientinnen möglicherweise eine missbräuliche Datenabfrage durch Apotheken aufzeigen könnte. Dieses regelmäßig zu prüfen, bedeutet jedoch erheblichen Aufwand und setzt ein technisches Verständnis voraus. Welche Strafe Apotheken droht und ob sie sich einfach mit einem Angriff auf ihre Systeme entschuldigen können, ist unklar.

Die Forderungen des CCC

Die Patientin soll die (selbst erzeugten) Schlüssel für ihre Gesundheitsdaten in die Hand bekommen. Um das Projekt kurzfristig noch zu retten, sollte auf einen Upload des E-Rezeptes gänzlich verzichtet werden und stattdessen der Patientin eine vollständige Version des E-Rezeptes ausgehändigt werden. Nur so kann sichergestellt werden, dass die Daten wirklich Ende-zu-Ende verschlüsselt sind und nicht von Dritten eingesehen werden können.