Der CCC kritisierte bereits in der Vergangenheit die elektronische Gesundheitskarte (eGK) sowie die elektronische Patientenakte (ePA). Fabian Flüpke vom Chaos Computer Club (CCC) hat sich kritisch zum E-Rezept geäußert. Neben der Architektur des Fachdienstes kritisiert er Sicherheitslücken beim Zugriff der Apotheken. Testurteil „Nicht so geil“, so sein Fazit bei der Zukunftskonferenz VISION.A powered by APOTHEKE ADHOC. Die Gematik kontert.

Der CCC kritisiert folgende Punkte

1. Mangelhafte Verfügbarkeit

Die Verfügbarkeitsanforderungen an den Sektor „Medikamentenversorgung“ der Kritischen Infrastrukturen (Kritis) lassen sich mit dem vorliegenden E-Rezept-System nicht realisieren. Bei einem Ausfall zentraler Dienste der Telematikinfrastruktur, wäre es wochenlang unmöglich, E-Rezepte einzulösen, so Flüpke. Bei einer geplant verpflichtenden Einführung des E-Rezeptes bleibt offen, ob das Papierverfahren für den Havarie- oder Katastrophenfall bestehen bleiben soll.

Contra der Gematik:

An die Verfügbarkeit des E-Rezepts werden laut Gematik sehr hohe Anforderungen gestellt; mehrere Stresstests hätten dies bestätigt: So sei der Abruf von bis zu 20 Millionen E-Rezepten pro Tag simuliert worden – was etwa dem Zehnfachen der zu erwartenden Vollast entspricht: „Bei flächendeckender Verwendung und circa 750 Millionen E-Rezepten jährlich gehen wir in der Gematik von einer täglichen durchschnittlichen Anzahl von 1,5 bis 2,5 Millionen aus“, heißt es in einer Stellungnahme. „Die Tests wurden also mit deutlich mehr E-Rezepten als täglich zu erwarten sind durchgeführt, um die Vollauslastung zu simulieren.“

Angeführt wird, dass die Verfügbarkeit des Fachdienstes im Monitoring gemessen wird; seit dem Launch des Dienstes würden die hohen Anforderungen erfüllt. Die Gematik gibt an, sollte es doch zum Ausfall kommen, eine Lösung vorgesehen sei: „Die medizinische Versorgung ist generell gewährleistet, da als Ersatzverfahren (bei Ausfall von Diensten beziehungsweise Störungen) auf das bisherige Papierformular (Muster 16) zurückgegriffen wird.“

2. Unzureichendes Verständnis bei Verschlüsselung

Kritisiert wird zudem, dass beim E-Rezept an zentraler Stelle medizinische Daten im Klartext anfallen. Eine Ende-zu-Ende-Verschlüsselung sieht die Gematik beim E-Rezept aber nicht vor. Flüpke führt aus, dass es für ihn als Patient ein Vertrauensbruch wäre, wenn der Arzt sein Rezept unverschlüsselt irgendwohin schicke, z. B. per Fax. Da jeder, der den QR-Code in der Hand halte, das E-Rezept einlösen könne, sei die sichere Übertragung wichtig. Das sei auch beim E-Rezept nicht das Problem. Allerdings würden die Daten dann innerhalb der zentralen Struktur, also dem Fachdienst, unverschlüsselt verarbeitet, was kritisiert wird.

Nach den Angaben der Gematik findet dies innerhalb einer sogenannten „vertrauenswürdigen Ausführungsumgebung“ VAU statt. Die eingesetzte Technologie (Intel SGX), sei aber veraltet und schon mehrfach angegriffen und daher von Intel abgekoppelt worden, so Flüpke. Anwender könnten die Sicherheit nicht überprüfen, sie müssten vertrauen. „Wir haben eine zentrale Klartextverarbeitung.“ Daher laute das Testurteil „Nicht so geil“.

Der CCC weißt daraufhin, dass die Gematik, die zu 51 Prozent dem Staat gehört, die Hoheit über einen riesigen Berg Daten besitzt und ein Schutz durch die veraltete Intel-Technologie nicht gewähr-leistet ist. Hingewiesen wird in der Stellungnahme des CCC auch darauf, dass die Gematik die Soft- und Hardware selber spezifizieren kann und dadurch, z.B. nach einer Gesetzesänderung, durch eine entsprechende Anpassung, ein Zugriff auf diese Daten möglich wäre.

Contra der Gematik:

Schon bei VISION.A hatte Gematik-CEO Dr. Markus Leyck Dieken erklärt, dass eine komplette „Ende-zu-Ende-Verschlüsselung“ überzogen sei und das E-Rezept unpraktikabel mache. Die Gematik beruft sich auch darauf, dass in den anderen 19 Ländern in Europa, in denen das E-Rezept bereits eingeführt sei, darauf verzichtet wird: „Das E-Rezept soll Mehrwert und echten Nutzen für den Versorgungsalltag bringen. Dafür muss es sowohl sicher als auch praktikabel sein.“ Mit Ende-zu-Ende-Verschlüsselung könne beispielsweise ein in Köln ausgestelltes E-Rezept nicht in Madrid eingelöst werden – was aber durch Anbindung an den Europäischen Raum für Gesundheitsdaten künftig möglich werden solle.

Auch die Sicherheitsbedenken teilt die Gematik nicht: Während das E-Rezept durchgehend sicher und verschlüsselt im Verschreibe- und Einlöseprozess übertragen, gespeichert und verarbeitet werde, garantiere innerhalb der E-Rezept-Server (Fachdienst) die „Vertrauenswürdige Ausführungsumgebung“ (VAU) die Sicherheit während der Verarbeitung: „Hierdurch haben auch Administratoren des Betreibers keinen Zugriff auf die Daten. Die Hersteller von Prozessoren entwickeln diese Technologie laufend weiter; bei Confidential Computing in der Cloud ist sie beispielsweise zentraler Bestandteil.“

Die Gematik erklärt, der Betrieb der sicheren Infrastruktur werde durch verschiedene Komponenten gewährleistet: „Der Betreiber des Fachdienstes musste Funktionstests und Stresstests zur Zulassung nachweisen und muss regelmäßig Produktgutachten liefern. Die Gematik führt jährliche und auch anlassbezogene Audits durch. Das Security Monitoring ist aufgesetzt, und es bestehen Meldepflichten für den Betreiber.“

3. Sicherheitsniveau inakzeptabel

Der geplante Abruf des E-Rezepts per Versichertenkarte (eGK) wird kritisiert. „Das Problem ist, dass das, was die Gematik da spezifiziert hat, angreifbar ist“, so Flüpke: Es werde nämlich in der Apotheke nur die Kartennummer abgelesen. Der E-Rezept-Fachdienst könne nicht überprüfen, ob der Identitätsnachweis echt sei, wie die Gematik auch selbst einräume („Logisch, dass solche Maßnahmen im Client bei Vorsatz überwindbar sind. […] Wir verlagern also von Prävention zu Detektion + Reaktion. Nicht aus Versehen, sondern bewusst.“).

Es wird also ganz bewusst auf Prüfungen im Backend – also auf dem zentralen Datenlager der Gematik – verzichtet und sich lediglich darauf verlassen, dass die (Online-)Apotheke die Präsenz der eGK schon irgendwie prüft. „Nach dieser Logik bräuchte die Gematik ihre Rechenzentren nicht abzuschließen, weil Einbruch ja verboten ist“, so Flüpke weiter.

Viel gravierender ist aber, so Flüpke, der Umstand, dass die Apotheke, wenn sie einmal über die Versichertennummer den Zugriff haben, sie auch dann noch in die Daten des Kunden sehen kann, wenn dieser die Apotheke längst verlassen hat. „Hier sind ganz neue Business-Cases denkbar: Man könnte neue Rezepte abrufen, den Patienten kontaktieren oder von vornherein vereinbaren, dass man sie direkt beliefert. Und man könnte die Daten verkaufen – etwa, wenn man die Versichertenummer von Promis kennt.“

Flüpke: „Das ist ein Sicherheitsniveau, wie wir es vor fünfzehn Jahren bei Kreditkarten hatten und dass dort inzwischen sogar verboten wurde“.

Es gibt zwar ein Auditlog, was Patientinnen möglicherweise eine missbräuliche Datenabfrage durch Apotheken aufzeigen könnte. Dieses regelmäßig zu prüfen, bedeutet jedoch erheblichen Aufwand und setzt ein technisches Verständnis voraus. Welche Strafe Apotheken droht und ob sie sich einfach mit einem Angriff auf ihre Systeme entschuldigen können, ist unklar, so Flüpke.

Auch gegen diese Bedenken kontert die Gematik.

„Hierfür müsste der Apotheker eine bewusste und vorsätzliche Fälschung in seiner Software (Apothekenverwaltungssystem) vornehmen“, so die Gematik. Der Zugriff auf Rezeptdaten sei jedoch immer nachweisbar und für Versicherte nachvollziehbar, weil die Zugriffe drei Jahre lang gespeichert würden und für die Versicherten über ihre App jederzeit einsehbar sei. „Apotheken können also vorsätzliche Zugriffe nicht verheimlichen. Der Gesetzgeber plant die Einführung eines Straftatbestands bei Missbrauch.“

Ob die Einführung eines Straftatbestandes Missbrauch verhindert, bleibt fraglich?

Forderungen des CCC
  • E-Rezept nicht hochladen und stattdessen sollten den Patienten eine vollständige Version des E-Rezepts menschen- und maschinenlesbar ausgehändigt werden. Im Gegensatz dazu verlinkt der bisherige QR-Code lediglich auf die zentral gespeicherte Vollversion des Rezepts.
  • Ende-zu-Ende-Verschlüsselung. Der mündige Patient soll die (selbst erzeugten) Schlüssel für ihre Gesundheitsdaten in die Hand bekommen.
  • E-Rezept auf der Karte speichern

Flüpke fordert weiterhin: Auch bei einem Ausfall eines zentralen Systems sollten Rezepte weiterhin eingelöst werden können. Das mehrfache Einlösen eines Rezeptes kann unterbunden werden, ohne dabei Inhalte der Verschreibung an einen zentralen Dienst zu übertragen. Missbräuliches Verhalten der Patientin kann leicht im Nachhinein detektiert und sanktioniert werden.

Das BSI und der BfDI sollten künftig die Spezifikationen kritischer begutachten und sich nicht von Formulierungen wie „durchgängig verschlüsselt“ täuschen lassen. Strukturell sollte sich die Gematik dahingehend wandeln, Patienteninteressen besser bereits während der Entscheidungsfindung zu repräsentieren. Denn das E-Rezept ist nur eins von vielen Beispielen, bei denen die Gematik vermeintlich kryptographisch sichere Verfahren durch schlechte bis bösartige Spezifikationen aufgeweicht hat, so Flüpke.