CCC kritisiert Datenschutz beim E-Rezept, Gematik reagiert auf Kritik

Inhaltsverzeichnis

Da der "Königsweg" für das E-Rezept, die App, so kompliziert ist, arbeitet die für die Digitalisierung des Gesundheitswesens zuständige Gematik mit Hochdruck an einem weiteren Transportweg für das E-Rezept. Die Anmeldung in der App erfordert von Versicherten sowohl eine NFC-fähige Gesundheitskarte (eGK) samt Authentifizierung bei der Krankenkasse für den Erhalt der PIN sowie ein NFC-fähiges Smartphone. Dabei zeigten sich verschiedene Schwierigkeiten – so lasse unter anderem die nötige eGK samt PIN länger auf sich warten.

Weil der Prozess insgesamt sehr aufwendig ist, hatte ein schleswig-holsteinischer Hersteller in seinem Praxisverwaltungssystem (PVS) zunächst eine Funktion entwickelt, bei der das 2D-Token für den Abruf des E-Rezepts aus dem PVS heraus über eine unverschlüsselte E-Mail an Patienten und Apotheken versendet wurden. Das Abruf-Token selbst enthält keine Patientendaten und so glaubte man, es sei unproblematisch, dass es auf den Mail-Servern im Klartext vorliegt.

Nicht bedacht wurde aber, dass mithilfe von "Apps aus dem Apothekenumfeld" über das Token die Inhalte des E-Rezepts von jedermann ausgelesen werden können. Das "Sicherheitskonzept einer geschlossenen Benutzergruppe" war damit gescheitert. Die Datenschutzbeauftragte des Landes Schleswig-Holstein wies auf diese Lücke hin. Daraufhin wurde der Mail-Versand unterbunden. Dies nahm die Kassenärztliche Vereinigung Westfalen-Lippe (KVWL) zum Anlass, zu fordern, dass das E-Rezept im November über die eGK eingelöst werden kann. Die vorläufige Spezifikation der Gematik dazu ist online.

Statt die verschiedenen vorhandenen kryptografischen Authentifizierungsmöglichkeiten der eGK direkt zu nutzen, wird in diesem Konzept das Versichertenstammdatenmanagement (VSDM) genutzt, um die Präsenz der eGK in der Apotheke zu prüfen. Dieser Prozess, der normalerweise für die Arztpraxen zur Prüfung des Versichertennachweises gedacht war, produziert auf der eGK einen sogenannten Prüfnachweis. Dieser Prüfnachweis dient dem Arzt bei der Abrechnung als Nachweis, dass der Patient – beziehungsweise die eGK – tatsächlich in der Praxis war. Nur die jeweilige Krankenkasse verfügt über das Schlüsselmaterial, diesen Prüfnachweis auf Echtheit zu prüfen.

Der E-Rezept-Fachdienst gibt die Inhalte aller zentral vorliegenden E-Rezepte mit dem Status "offen" eines Patienten – neben Name, Anschrift, Geburtsdatum die Medikation, die unmittelbaren Rückschluss auf die Diagnosen zulässt – heraus, wenn die Apotheken-Software die Krankenversichertennummer und einen Prüfnachweis präsentiert, der nicht älter als zwei Minuten ist. Akzeptiert werden dabei Prüfnachweise mit den Status 1 und 2.

Verantwortung liegt derzeit bei den Apotheken

In diesem Ablauf scheinen sich weitere Sicherheitsprobleme ergeben zu haben. Prüfungsnachweise dienen nach Aussagen der Gematik dazu, dem Apotheker im Verdachtsfall eines ungerechtfertigten Zugriffs nachzuweisen, dass er tatsächlich die eGK vorliegen hatte. Wer Zugriff auf die notwendige Technik hat, könne laut CCC lediglich mit der Versichertennummer und einem Prüfungsnachweis Zugang zu den E-Rezept-Daten erhalten. Demzufolge kann nach den vorläufigen Spezifikationen "weder die Integrität noch die Authentizität eines Prüfungsnachweise" überprüft werden.

Ein Apotheker oder Dritter könnte mittels SMC-B auf den E-Rezept-Server mit einem selbsterzeugten und nicht authentischen Prüfnachweis zugreifen. Dies liege in der Verantwortung der Apothekenverwaltungssysteme. Auf eine Prüfung der Daten auf den Gematik-Servern werde demnach verzichtet und sich darauf verlassen, dass die Apotheken das Vorhandensein der eGK prüfen. Der Gematik-Geschäftsführer Leyck Dieken betonte laut Apotheke Adhoc, dass er derzeit nicht davon ausgehe, dass Apotheken die in Zusammenhang mit dem TI-Anschluss entstandenen technischen Möglichkeiten ausnutzen könnten.

Weitere Sicherheitsbedenken liegen laut Fluepke in einer fehlenden Ende-zu-Ende-Verschlüsselung bei der Verarbeitung des E-Rezepts. Die E-Rezepte werden laut noch nicht veröffentlichter Spezifikationen "an einen zentralen Dienst übertragen, dort verschlüsselt gespeichert und verarbeitet und wieder verschlüsselt von der Apotheke abgerufen. Damit sind die E-Rezepte vor unbefugtem Zugriff geschützt."

"It's not a bug, it's a feature"

Diese Sicherheitslücke sei laut Leyck Dieken allerdings nicht übersehen worden, man habe sich ein Beispiel an anderen Ländern genommen: "Die Fernentgegennahme des Rezepts ist der Hauptvorteil [...]. Deswegen ist dieses Produkt bewusst nicht Ende-zu-Ende verschlüsselt. Weil wir es wollten, dass auf diese Daten für die Patienten noch einmal zugegriffen wird." Ansonsten könne mit den Daten auch keine Forschung betrieben werden: "Strukturierte Daten werden wir nie haben, wenn wir Ende-zu-Ende verschlüsseln."

CCC fordert Schlüssel für Gesundheitsdaten

Zwar könnten diese missbräuchlichen Datenabfragen durch die Apothekenverwaltungssystem (AVS) aufgezeichnet werden, allerdings sei eine regelmäßige Prüfung laut CCC aufwendig und setze technisches Verständnis voraus. Daher fordert der CCC, dass Patienten einen Schlüssel für ihre Gesundheitsdaten erhalten, der auch selbst generiert werden kann und dass eine Ende-zu-Ende-Verschlüsselung umgesetzt werden.

Sofern sich Unbefugte über die AVS Zugriff auf die TI verschaffen, haften die Apotheken. Das Bundesgesundheitsministerium (BMG) arbeitet laut Adhoc Apotheke derzeit an Sanktionsmöglichkeiten.

Gematik reagiert auf Kritik

Inzwischen hat die Gematik auf die Kritik des Chaos Computer Clubs reagiert. Zu dem Kritikpunkt, die Verschlüsselung "unzureichend" zu verstehen, äußerte sie, dass 19 weitere europäische Länder beim E-Rezept ebenfalls keine Ende-zu-Ende-Verschlüsselung einsetzen würden. Zudem könne ein "in Köln ausgestelltes E-Rezept" nicht etwa in Madrid eingelöst werden. Nach Angaben der Gematik ist das E-Rezept "durchgehend verschlüsselt" – auf den E-Rezept-Servern werde eine "vertrauenswürdige Ausführungsumgebung" (VAU) eingesetzt. Administratoren hätten dabei keinen Zugriff auf die Daten.

Zur Kritik am Sicherheitsniveau beim Einlösen des E-Rezepts mit der elektronischen Gesundheitskarte verweist die Gematik auf die für Apotheker notwendige Institutionskarte, die einer Apotheke den Zugriff auf die Rezeptdaten ermöglicht. Ob tatsächlich die elektronische Gesundheitskarte (eGK) des Patienten vorlag, werde durch das Apothekenverwaltungssystem geprüft. Jeder Zugriff der Apotheker auf die Patientendaten sei nachweisbar und würde bis zu drei Jahre lang gespeichert. Demnach könnten sie "vorsätzliche Zugriffe" nicht verheimlichen; Sanktionsmöglichkeiten sind vonseiten des Gesetzgebers bereits in Arbeit.

Digitalisierungsstrategie in Arbeit

Die Gematik, die sich zu 51 Prozent in der Hand des BMG befindet, soll laut CCC die Interessen der Patienten während der Entscheidungsfindung repräsentieren. In der Vergangenheit wurde immer wieder kritisiert, dass bei der Digitalisierung über die Köpfe der Ärzte hinweg entschieden werde. Erst kürzlich hat das BMG bekannt gegeben, eine Digitalisierungsstrategie mithilfe eines partizipativen Prozesses entwickeln zu wollen. Vom Bundesamt für Sicherheit in der Informationstechnik und dem BfDI erwartet der CCC zudem einen kritischeren Blick auf die Spezifikationen.

Gematik-Chef kritisiert Datenschützer und Krankenkassen

Gleichzeitig äußerte Leyck Dieken Kritik an dem Bundesdatenschutzbeauftragten, da dieser "alle anderen Lösungen für unzulässig hält" deren Grundlage die Datenschutzgrundverordnung sei, wie Apotheke Adhoc berichtet. Eine vierschrittige Authentifizierung, wie sie derzeit bei der Anmeldung in der E-Rezept-App der Fall ist, mache das System unbrauchbar. Zudem äußerte er demnach Kritik an den Krankenkassen, da lediglich 0,3 Prozent der PINs für die NFC-fähigen elektronischen Gesundheitskarten verteilt worden seien, die bereits 60 Prozent der Versicherten besitzen würden. Ursächlich für die schleppende Vergabe von PINs ist laut Leyck Dieken, dass die Kassen eigene E-Rezept-Modelle durchsetzen wollen.

(mack)