English (Aktiv: Deutsch)

Calendar

E-Rezept: Sicherheit nicht ausreichend, Datenschutz mangelhaft

2022-09-08 16:38:44, erdgeist

Sicherheitsforscher des Chaos Computer Clubs (CCC) haben sich anlässlich der Einführung des E-Rezepts mit dessen Technik auseinandergesetzt. Was sie dabei entdeckten: im Klartext gespeicherte medizinische Gesundheitsdaten, Verfügbarkeit und Datenschutz mangelhaft und beim Abruf des E-Rezeptes nur ein Witz statt ordentlicher Sicherheit.

In einigen Arztpraxen beginnt am Donnerstag die schrittweise Einführung des E-Rezepts. Bis zum Frühjar 2023 soll es den bekannten rotrosa-farbigen Papierzettel verpflichtend ersetzen. Verantwortlich für das Konzept des E-Rezeptes ist die gematik.

Die gematik ist eine von den Spitzenorganisationen des Gesundheitswesens gegründete Gesellschaft, deren Aufgabe die Entwicklung technischer Spezifikationen der erforderlichen Datenformate, Dienste und Komponenten für die Telematikinfrastruktur (TI) ist. Schon in der Vergangenheit mussten sich Mitglieder des CCC mit halbgaren Lösungen der gematik auseinandersetzen. So attackierte der Club erfolgreich die Ausgabe der Praxisausweise und bemängelte die elektronische Gesundheitskarte (eGK) sowie die elektronische Patientenakte (ePA).

Auch eine aktuelle Analyse des E-Rezeptes lässt die gematik nicht gut aussehen, obwohl die Vorlaufzeit lang, die Kosten enorm sind und die Umsetzung nun unmittelbar beginnen soll. Dennoch krankt das E-Rezept an vielen Problemen:

Mangelhafte Verfügbarkeit

Experten des CCC kritisieren, dass sich Verfügbarkeitsanforderungen an den Sektor „Medikamentenversorgung“ der Kritischen Infrastrukturen (Kritis) mit dem vorliegenden E-Rezept-System nicht realisieren lassen: Bei einem Ausfall zentraler Dienste der Telematikinfrastruktur, wie zuletzt im Jahr 2020, wäre es wochenlang unmöglich, E-Rezepte einzulösen. Ob bei einer wie geplant verpflichtenden Einführung des E-Rezeptes die Papierverfahren für den Havarie- oder Katastrophenfall bestehen bleiben, ist ungewiss.

Unzureichendes Verständnis bei Verschlüsselung

Zudem bemängeln die CCC-Experten, dass beim E-Rezept an zentraler Stelle medizinische Daten im Klartext anfallen. Eine Ende-zu-Ende-Verschlüsselung, wie sie längst industrieüblich ist, sieht die gematik beim E-Rezept nicht vor. Stattdessen müht sie sich mit täuschenden Formulierungen, um genau diesen Anschein zu erwecken:

„Die E-Rezepte werden von der Arztpraxis verschlüsselt an einen zentralen Dienst übertragen, dort verschlüsselt gespeichert und verarbeitet und wieder verschlüsselt von der Apotheke abgerufen. Damit sind die E-Rezepte vor unbefugtem Zugriff geschützt.“

Der entscheidende Teil – die Verarbeitung – erfolgt unverschlüsselt. Die gematik verspricht, die Daten in einer „vertrauenswürdigen Ausführungsumgebung“ (VAU) zu verarbeiten. Überprüfen lässt sich dies als Anwenderin jedoch nicht, bei einem gut designten System muss sie dem Server nicht blind vertrauen. Zudem handelt es sich bei dieser VAU um eine veraltete und mehrfach erfolgreich angegriffene Technologie mit dem Namen „Intel SGX“ , die primär für Kopierschutz eingesetzt wird.

Damit sitzt die zu 51 Prozent dem Staat gehörende gematik auf einem riesigen Berg Daten, und alles was diese Daten schützt, ist das Prinzip Hoffnung und veraltete Intel-Technologie. Da die gematik die Soft- und Hardware selber spezifiziert, könnte durch eine entsprechende Anpassung auf diese Daten zugegriffen werden, etwa nach einer Gesetzesänderung. „Wo ein Trog ist, sammeln sich die Schweine“, lehrt uns das Bundesverfassungsgericht, leider vielfach die Vergangenheit und zuletzt erneut die Realität: So klagt der CCC zusammen mit der Gesellschaft für Freiheitsrechte gegen die zentrale Sammlung von Gesundheitsdaten durch das neue Digitale-Versorgungs-Gesetz.

Nicht aus Versehen: Sicherheitsniveau inakzeptabel

Um das E-Rezept mit der elektronischen Gesundheitskarte (eGK) in einer Apotheke abzurufen, reicht die Krankenversichertennummer. Das kritisieren die CCC-Forscher als nicht akzeptabel. „Das ist ein Sicherheitsniveau, wie wir es vor fünfzehn Jahren bei Kreditkarten hatten und das dort inzwischen sogar verboten wurde“, sagte Fabian „fluepke“ Luepke, ein Sicherheitsforscher des CCC. Die Präsenz der eGK wird nur im Frontend und somit nur unzureichend geprüft, wie selbst die gematik offen in ihrer Spezifikation eingesteht:

„Der E-Rezept-Fachdienst kann daher weder die Integrität noch die Authentizität eines Prüfungsnachweise überprüfen. Es liegt in der Verantwortung des AVS [Apothekenverwaltungssystems], die Abläufe […] gemäß den Anforderungen der gematik umzusetzen.“

Holm Diening, „Chief Security Officer“ der gematik, rechtfertigt das Vorgehen, Prüfungen nur im Frontend zu vollziehen. Das sei gar Absicht:

„Logisch, dass solche Maßnahmen im Client bei Vorsatz überwindbar sind. […] Wir verlagern also von Prävention zu Detektion + Reaktion. Nicht aus Versehen, sondern bewusst.“

Es wird also ganz bewusst auf Prüfungen im Backend – also auf dem zentralen Datenlager der gematik – verzichtet und sich lediglich darauf verlassen, dass die (Online-)Apotheke die Präsenz der eGK schon irgendwie prüft. „Nach dieser Logik bräuchte die gematik ihre Rechenzentren nicht abzuschließen, weil Einbruch ja verboten ist“, so Luepke weiter.

Selbst für simple Betrügereien sind Tür und Tor offen: Ein Mitarbeiter aus dem Bereich der Online-Versandapotheken kann beispielsweise bei bekannt gewordenen Versichertennummern Prominenter Zugriff auf deren Verschreibungen nehmen und sie an die Boulevardpresse verkaufen.

Es gibt zwar ein Auditlog, was Patientinnen möglicherweise eine missbräuliche Datenabfrage durch Apotheken aufzeigen könnte. Dieses regelmäßig zu prüfen, bedeutet jedoch erheblichen Aufwand und setzt ein technisches Verständnis voraus. Welche Strafe Apotheken droht und ob sie sich einfach mit einem Angriff auf ihre Systeme entschuldigen können, ist unklar.

Forderungen

Die gematik muss sich klar zu einer Ende-zu-Ende-Verschlüsselung bekennen, die diesen Namen verdient. Die mündige Patientin soll die (selbst erzeugten) Schlüssel für ihre Gesundheitsdaten in die Hand bekommen.

Um das Projekt kurzfristig noch zu retten, sollte auf einen Upload des E-Rezeptes gänzlich verzichtet werden und stattdessen der Patientin eine vollständige Version des E-Rezepts menschen- und maschinenlesbar ausgehändigt werden. Im Gegensatz dazu verlinkt der bisherige QR-Code lediglich auf die zentral gespeicherte Vollversion des Rezepts.

Auch bei einem Ausfall eines zentralen Systems sollten Rezepte weiterhin eingelöst werden können. Das mehrfache Einlösen eines Rezeptes kann unterbunden werden, ohne dabei Inhalte der Verschreibung an einen zentralen Dienst zu übertragen. Missbräuliches Verhalten der Patientin kann leicht im Nachhinein detektiert und sanktioniert werden.

Das BSI und der BfDI sollten künftig die Spezifikationen kritischer begutachten und sich nicht von Formulierungen wie „durchgängig verschlüsselt“ täuschen lassen.

Strukturell sollte sich die gematik dahingehend wandeln, Patientinneninteressen besser bereits während der Entscheidungsfindung zu repräsentieren. Denn das E-Rezept ist nur eins von vielen Beispielen, bei denen die gematik vermeintlich kryptographisch sichere Verfahren durch schlechte bis bösartige Spezifikationen aufgeweicht hat.

Links und weiterführende Informationen