Gematik: CCC warnt vor "mangelhaftem" E-Rezept
In Deutschland wird schrittweise das E-Rezept ausgerollt – und der Chaos Computer Club (CCC) hat zentrale Kritikpunkte zu der seiner Ansicht nach "mangelhaften" Digitalisierungsmaßnahme gesammelt. Die Sicherheitsforscher formulieren zudem Forderungen(öffnet im neuen Fenster) , mit denen ein sicheres und datenschutzkonformes E-Rezept möglich wäre.
Das E-Rezept wird von dem Telematik-Infrastrukturdienstleister im Gesundheitswesen, Gematik, entwickelt und betrieben. Die Kritik des CCC richtet sich direkt an den Dienstleister. So sprechen die Forscher von "halbgaren Lösungen der Gematik" im Zusammenhang mit dem E-Rezept.
Keine echte Ende-zu-Ende-Verschlüsselung
Beispielsweise führe die Gematik mit ihren Formulierungen über Verschlüsselung in die Irre. Während weite Teile des Transports " verschlüsselt " seien, passiere die Verarbeitung nicht verschlüsselt, sondern in einer "vertrauenswürdigen Ausführungsumgebung" (VAU) – in diesem Fall dem geknackten Intel SGX . Mit dieser Erweiterung der CPU wird laut CCC eher Kopierschutz erzwungen als kritische Infrastruktur betrieben. Echte Ende-zu-Ende-Verschlüsselung, wie sie Industriestandard sei, gebe es nicht.
Mangelhafte Überprüfung
Auch werden laut Spezifikation(öffnet im neuen Fenster) und CCC zentrale Merkmale eines E-Rezepts nur im Frontend und nicht im Backend überprüft. Dieser Darstellung stimmt auch Holm Diening, Chief Security Officer der Gematik, auf Twitter zu(öffnet im neuen Fenster) . "Nach dieser Logik bräuchte die Gematik ihre Rechenzentren nicht abzuschließen, weil Einbruch ja verboten ist" , sagte ein CCC-Hacker mit dem Pseudonym Fluepke.
Der CCC verweist zudem auf die Betrugsmöglichkeiten mit dem E-Rezept: "Ein Mitarbeiter aus dem Bereich der Online-Versandapotheken kann beispielsweise bei bekannt gewordenen Versichertennummern Prominenter Zugriff auf deren Verschreibungen nehmen und sie an die Boulevardpresse verkaufen." Strafen diesbezüglich seien unklar und Auditlogs nicht direkt hilfreich.
Die Hacker des CCC stellen folgende Forderungen auf: Die Gematik müsse "sich klar zu einer Ende-zu-Ende-Verschlüsselung bekennen" . Für eine kurzfristige Rettung des Projekts solle "auf einen Upload des E-Rezeptes gänzlich verzichtet werden und stattdessen der Patientin eine vollständige Version des E-Rezepts menschen- und maschinenlesbar ausgehändigt werden" . Das System solle ausfallsicher umgebaut werden, so dass der Wegfall zentraler Systeme nicht zu fehlenden Medikamenten führe.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.