Streit um Sicherheit bei E-Rezept

Gematik kontert CCC

, Uhr
Die Gematik unter CEO Dr. Markus Leyck Dieken weist Bedenken von Flüpke (rechts) zurück.
Berlin -

Veralteter Standard, fehlender Ausfallschutz, unzureichende Datensicherheit: Seitens des Chaos Computer Club (CCC) kam massive Kritik am E-Rezept. Die Gematik weist die von Flüpke bei der Zukunftskonferenz VISION.A powered by APOTHEKE ADHOC erhobenen Vorwürfe zurück.

Bei Ausfall: Papierrezept

Flüpke hatte erklärt, dass es aufgrund der zentralen Speicherung einen sogenannten „Single Point of Failure“ gebe: Wenn es hier Probleme gebe, könnte es zum kompletten Ausfall kommen – und keine E-Rezepte ausgestellt oder verarbeitet werden.

An die Verfügbarkeit des E-Rezepts werden laut Gematik sehr hohe Anforderungen gestellt; mehrere Stresstests hätten dies bestätigt: So sei der Abruf von bis zu 20 Millionen E-Rezepten pro Tag simuliert worden – was etwa dem Zehnfachen der zu erwartenden Vollast entspricht: „Bei flächendeckender Verwendung und circa 750 Millionen E-Rezepten jährlich gehen wir in der Gematik von einer täglichen durchschnittlichen Anzahl von 1,5 bis 2,5 Millionen aus“, heißt es in einer Stellungnahme. „Die Tests wurden also mit deutlich mehr E-Rezepten als täglich zu erwarten sind durchgeführt, um die Vollauslastung zu simulieren.“

Zudem werde die Verfügbarkeit des Fachdienstes im Monitoring gemessen; seit dem Launch des Dienstes würden die hohen Anforderungen erfüllt. Und falls es doch zum Ausfall käme, sei eine Lösung vorgesehen: „Die medizinische Versorgung ist generell gewährleistet, da als Ersatzverfahren (bei Ausfall von Diensten beziehungsweise Störungen) auf das bisherige Papierformular (Muster 16) zurückgegriffen wird.“

Verschlüsselung als Hemmnis

Flüpke hatte kritisiert, dass die Daten zum E-Rezept innerhalb der zentralen Struktur, also dem Fachdienst, unverschlüsselt verarbeitet würden. Zwar finde dies innerhalb einer sogenannten „vertrauenswürdigen Ausführungsumgebung“ statt. Die Technologie sei aber veraltet und schon mehrfach angegriffen und daher von Intel abgekoppelt worden, so Flüpke.

Schon bei VISION.A hatte Gematik-CEO Dr. Markus Leyck Dieken erklärt, dass eine komplette „Ende-zu-Ende-Verschlüsselung“ überzogen sei und das E-Rezept unpraktikabel mache. Auch in den anderen 19 Ländern in Europa, in denen das E-Rezept bereits eingeführt sei, wird laut Gematik darauf verzichtet:„ Das E-Rezept soll Mehrwert und echten Nutzen für den Versorgungsalltag bringen. Dafür muss es sowohl sicher als auch praktikabel sein.“ Mit Ende-zu-Ende-Verschlüsselung könne beispielsweise ein in Köln ausgestelltes E-Rezept nicht in Madrid eingelöst werden – was aber durch Anbindung an den Europäischen Raum für Gesundheitsdaten künftig möglich werden solle.

Die Sicherheitsbedenken teilt die Gematik nicht: Während das E-Rezept durchgehend sicher und verschlüsselt im Verschreibe- und Einlöseprozess übertragen, gespeichert und verarbeitet werde, garantiere innerhalb der E-Rezept-Server (Fachdienst) die „Vertrauenswürdige Ausführungsumgebung“ (VAU) die Sicherheit während der Verarbeitung: „Hierdurch haben auch Administratoren des Betreibers keinen Zugriff auf die Daten. Die Hersteller von Prozessoren entwickeln diese Technologie laufend weiter; bei Confidential Computing in der Cloud ist sie beispielsweise zentraler Bestandteil.“

Der Betrieb der sicheren Infrastruktur werde durch verschiedene Komponenten gewährleistet: „Der Betreiber des Fachdienstes musste Funktionstests und Stresstests zur Zulassung nachweisen und muss regelmäßig Produktgutachten liefern. Die Gematik führt jährliche und auch anlassbezogene Audits durch. Das Security Monitoring ist aufgesetzt, und es bestehen Meldepflichten für den Betreiber.“

Kein heimlicher Zugriff durch Apotheken

Bei Einlösung eines E-Rezepts über die bisherige Versichertenkarte könnte die Apotheke laut Flüpke auch dann noch in die Daten des Kunden gucken, wenn dieser die Apotheke längst schon verlassen habe. Er fürchtet hier neue Business-Modelle, aber auch den Missbrauch von Daten.

„Hierfür müsste der Apotheker eine bewusste und vorsätzliche Fälschung in seiner Software (Apothekenverwaltungssystem) vornehmen“, so die Gematik. Der Zugriff auf Rezeptdaten sei jedoch immer nachweisbar und für Versicherte nachvollziehbar, weil die Zugriffe drei Jahre lang gespeichert würden und für die Versicherten über ihre App jederzeit einsehbar sei. „Apotheken können also vorsätzliche Zugriffe nicht verheimlichen. Der Gesetzgeber plant die Einführung eines Straftatbestands bei Missbrauch.“

E-Rezept Warenwirtschaft/EDV
Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Flüpke (CCC) zum E-Rezept: Apotheken als Schwachstelle
Chaos Computer Club kritisiert Gematik
Flüpke (CCC) zum E-Rezept: Apotheken als Schwachstelle
E-Rezept: Testurteil „Nicht so geil“
Flüpke seziert TI-Architektur
E-Rezept: Testurteil „Nicht so geil“
Leyck Dieken: BMG plant Strafen für E-Rezept-Missbrauch
Gematik-Chef bei VISION.A
Leyck Dieken: BMG plant Strafen für E-Rezept-Missbrauch
Neuere Artikel zum Thema
KoCoBox geknackt – 400 Mio. für nichts?
CCC: Konnektorentausch überflüssig
KoCoBox geknackt – 400 Mio. für nichts?
Konnektor geknackt – Schwachstelle beim E-Rezept?
Flüpke (CCC) entschlüsselt TI-Speicher
Konnektor geknackt – Schwachstelle beim E-Rezept?
Gematik sucht nach eGK-Lösung
E-Rezept
Gematik sucht nach eGK-Lösung
E-Rezept: Datenschützer gegen eGK-Verfahren
Missbrauch zu leicht möglich
E-Rezept: Datenschützer gegen eGK-Verfahren
Gematik-App: Counter im TI-Dashboard
Mehr Tempo beim E-Rezept
Gematik-App: Counter im TI-Dashboard
Gesund.de rechnet mit 79 Millionen E-Rezepten 2023
Umfrage
Gesund.de rechnet mit 79 Millionen E-Rezepten 2023
E-Rezept: Jede dritte Apotheke braucht Hilfe
Zwischenfazit im Förderprogramm
E-Rezept: Jede dritte Apotheke braucht Hilfe
Im Notdienst: Rx ohne Rezept / Streit bei Migasa / Probleme bei Zertifikaten
adhoc24 vom 13.09.2022
Im Notdienst: Rx ohne Rezept / Streit bei Migasa / Probleme bei Zertifikaten
Mehr zum Thema
Einlöseweg für E-Rezept
Kein CardLink über Gematik-App
Digitalisierung
E-Rezept-Enthusiasten: Neuer Vorstand, neue Ziele
Rollout
PKV-E-Rezept nur mit Kostenbeleg
Mehr aus Ressort
Von 22 Uhr bis 6 Uhr
Gematik: Nächtliche Wartungsarbeiten am Wochenende
Verrechnung für erstes E-Rezept via CardLink
10-Euro-Rabatt: Shop Apotheke erlässt Zuzahlung
Chroniker sind essenziell
Apotheker warnt: „Arzt-Apotheker-Synergie nicht sprengen“

APOTHEKE ADHOC Debatte

Newsletter

Hinweis zum Newsletter & Datenschutz