„Das könnte enorme finanzielle Schäden verursachen“

Sicherheitslücken bei CardLink: „Gedisa sitzt auf einem Pulverfass“

, Uhr
Berlin -

Anfang November fragte Stefan Eckardt, Diplom-Betriebswirt bei der Herz-Apotheke am Siegbogen in Siegen-Weidenau, bei der Gedisa nach, inwiefern Apotheken vor Sicherheitslücken in der Telematik (TI) geschützt sind. Nach einem schriftlichen Hin und Her wurde Eckardt endlich angerufen – und bleibt schockiert zurück.

„Als CardLink schließlich für alle Apotheken freigeschaltet wurde, fiel mir auf, dass es zu Beginn eine hohe Anzahl an Anfragen gab, obwohl nur wenige Rezepte verfügbar waren“, erklärt der Diplom-Betriebswirt. „Viele Kunden haben mehrmals täglich – teilweise fünf- bis siebenmal – überprüft, ob das Rezept bereits auf der Karte hinterlegt war.“

Dabei sei es schon problematisch, dass Apotheken für jede Abfrage Gebühren zahlen müssten. „Doch meine eigentliche Sorge ist eine andere: Was, wenn jemand böse Absichten hat? Man stelle sich vor, jemand besitzt zehn eGKs, egal ob echt oder manipuliert, und sendet damit ständig Anfragen an eine Apotheke. Dann müsste die Apotheke für jede einzelne Absage 50 Cent berappen. Das könnte enorme finanzielle Schäden verursachen. Wenn ich der Apotheke am Tag 1000 Anfragen schicke und das mal zwei Wochen am Stück durchziehe, dann hat die Apotheke richtig Spaß.“

Apotheken sollen Auffälligkeiten melden

Um diese Sorgen auszuräumen, wendete sich Eckardt im November an die Gedisa und bat um kurzfristiges Feedback. Anfänglich habe er nur Standardantworten und Verweise auf FAQ erhalten. „Wenn ich dann wieder nachgefragt habe, ‚Ich hätte es gerne konkret – ab wann wird denn was unternommen?‘, hieß es von Seiten der Gedisa schriftlich: ‚Wenn eine erhöhte Anzahl an Abfragen bei einer Karte festgestellt wird, könnte diese gesperrt werden.‘ Was eine ‚erhöhte Anzahl‘ sei, konnte mir dann aber niemand erklären.“

Doch damit wollte er sich nicht zufriedengeben und bat um ein Gespräch mit einem Techniker, das schließlich Anfang Januar stattfand. „Er hat mir dann im Laufe des Gesprächs gesagt, dass es keinerlei Sicherheitsmechanismen in diese Richtung gebe.“ Eckardt sah seine Befürchtungen bestätigt. „Die Auskunft der Gedisa war dann: ‚Naja, da müssen Sie als Apotheke halt immer darauf achten.‘“

Der Techniker schlug vor, man solle bei auffälligen Mustern Gedisa benachrichtigen. „Wenn eine Apotheke beispielsweise morgens 40 Anfragen hat und mittags plötzlich 150, dann liegt auf der Hand, dass etwas schiefläuft. In diesem Fall solle man sich telefonisch melden“, habe es geheißen. Eckardt hält diese Herangehensweise für unrealistisch: „Es ist völlig blauäugig zu denken, dass wir im Tagesgeschäft die Manpower hätten, da jetzt jemanden hinzusetzen, der quasi unser CardLink-Portfolio der Gedisa überwacht und guckt, ob da irgendwas Komisches passiert.“

Verantwortung bei der Gedisa

Die einzige echte Möglichkeit sei, eine E-Mail zu schreiben. „Telefonisch ist erfahrungsgemäß selten jemand zeitnah zu erreichen. Dann kriege ich irgendwann Stunden später eine Antwort, dass ein Ticket in Auftrag gegeben wird. Und dann meldet sich vielleicht mal nach zwei Tagen jemand per E-Mail. Da ist das Kind dann längst in den Brunnen gefallen.“

Eckardt sieht die Verantwortung eindeutig bei Gedisa: „Es ist nicht meine Aufgabe, alle halbe Stunde zu kontrollieren, ob komische Vorgänge auf meinem Konto stattfinden. Ich erwarte von einem Anbieter einer so sensiblen Technik, dass es ein Sicherheitsnetz gibt. Wenn beispielsweise eine Apotheke im Durchschnitt 20 Anfragen pro Tag erhält und plötzlich 200 Anfragen eingehen, sollte es zumindest eine Meldung von Seiten der Gedisa an die Apotheke geben, die darauf hinweist: ‚Hey, schaut mal, da stimmt etwas nicht.‘“

Immerhin habe der Techniker konstruktiv auf die Anregungen reagiert: „Er meinte, dass ein solches System eine gute Idee wäre. Das könnte er mal an die Technik intern weitergeben.“ Dennoch zeigt sich Eckardt überrascht: „In Zeiten, in denen Cyberkriminalität eines der größten Probleme ist, ist es erschreckend, wie blauäugig und unvorbereitet Gedisa auf derartige Eventualitäten reagiert.“

„Die sitzen auf einem Pulverfass“

Eckardt stellt klar, dass es nicht seine Absicht sei, schlafende Hunde zu wecken. „Aber, wie gesagt, es ist relativ einfach, mit einer Handvoll Karten einem Wettbewerber gezielt Schaden zuzufügen, wenn man es darauf anlegt. Ganz zu schweigen davon, was passieren könnte, wenn jemand das professionell organisiert und automatisiert.“

Derzeit sei es möglich, mit einer einzigen Gesundheitskarte unbegrenzt Transaktionen pro Tag durchzuführen, vorausgesetzt, es werde ein Paket mit unbegrenztem Datenvolumen genutzt. „Da hängen mehrere tausend Apotheken dran. Die sitzen auf einem Pulverfass, ganz ehrlich.“

Die Gedisa agiere ohnehin fragwürdig, kritisiert Eckardt. „Sie verlangen für jede Abfrage 50 Cent, empfehlen uns dann, ein unbegrenztes Datenvolumen zu buchen – und letztendlich stellt sich heraus, dass genau das potenziell das wirtschaftliche Todesurteil für Apotheken bedeuten könnte.“

Guter Journalismus ist unbezahlbar.
Jetzt bei APOTHEKE ADHOC plus anmelden, für 0 Euro.
Melden Sie sich kostenfrei an und
lesen Sie weiter.
Bitte geben Sie eine gültige E-Mail-Adresse ein.
Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Mehr aus Ressort
26,4 Millionen Versicherte ausgestattet
ePA: AOK-Versicherte können starten