Gematik: CCC warnt vor "mangelhaftem" E-Rezept

Der Chaos Computer Club hat sich die technische Umsetzung des E-Rezeptes angeschaut und stellt Forderungen zu besserer IT-Sicherheit auf.

Artikel veröffentlicht am , Lennart Mühlenmeier
Ab dem Frühjahr 2023 soll es Medikamente nur noch mit E-Rezept geben.
Ab dem Frühjahr 2023 soll es Medikamente nur noch mit E-Rezept geben. (Bild: Roberto Sorin/Unsplash-Lizenz)

In Deutschland wird schrittweise das E-Rezept ausgerollt - und der Chaos Computer Club (CCC) hat zentrale Kritikpunkte zu der seiner Ansicht nach "mangelhaften" Digitalisierungsmaßnahme gesammelt. Die Sicherheitsforscher formulieren zudem Forderungen, mit denen ein sicheres und datenschutzkonformes E-Rezept möglich wäre.

Stellenmarkt
  1. IT-Referent*in (m/w/d)
    Bundesnetzagentur, Bonn, Berlin, Cottbus, Mainz, Saarbrücken
  2. Produktmanager für Software (m/w/d)
    MVTec Software GmbH, München
Detailsuche

Das E-Rezept wird von dem Telematik-Infrastrukturdienstleister im Gesundheitswesen, Gematik, entwickelt und betrieben. Die Kritik des CCC richtet sich direkt an den Dienstleister. So sprechen die Forscher von "halbgaren Lösungen der Gematik" im Zusammenhang mit dem E-Rezept.

Keine echte Ende-zu-Ende-Verschlüsselung

Beispielsweise führe die Gematik mit ihren Formulierungen über Verschlüsselung in die Irre. Während weite Teile des Transports "verschlüsselt" seien, passiere die Verarbeitung nicht verschlüsselt, sondern in einer "vertrauenswürdigen Ausführungsumgebung" (VAU) - in diesem Fall dem geknackten Intel SGX. Mit dieser Erweiterung der CPU wird laut CCC eher Kopierschutz erzwungen als kritische Infrastruktur betrieben. Echte Ende-zu-Ende-Verschlüsselung, wie sie Industriestandard sei, gebe es nicht.

Mangelhafte Überprüfung

Auch werden laut Spezifikation und CCC zentrale Merkmale eines E-Rezepts nur im Frontend und nicht im Backend überprüft. Dieser Darstellung stimmt auch Holm Diening, Chief Security Officer der Gematik, auf Twitter zu. "Nach dieser Logik bräuchte die Gematik ihre Rechenzentren nicht abzuschließen, weil Einbruch ja verboten ist", sagte ein CCC-Hacker mit dem Pseudonym Fluepke.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    24.-28.10.2022, virtuell
  2. Deep Dive: Data Architecture mit Spark und Cloud Native: virtueller Ein-Tages-Workshop
    01.02.2023, Virtuell
Weitere IT-Trainings

Der CCC verweist zudem auf die Betrugsmöglichkeiten mit dem E-Rezept: "Ein Mitarbeiter aus dem Bereich der Online-Versandapotheken kann beispielsweise bei bekannt gewordenen Versichertennummern Prominenter Zugriff auf deren Verschreibungen nehmen und sie an die Boulevardpresse verkaufen." Strafen diesbezüglich seien unklar und Auditlogs nicht direkt hilfreich.

Die Hacker des CCC stellen folgende Forderungen auf: Die Gematik müsse "sich klar zu einer Ende-zu-Ende-Verschlüsselung bekennen". Für eine kurzfristige Rettung des Projekts solle "auf einen Upload des E-Rezeptes gänzlich verzichtet werden und stattdessen der Patientin eine vollständige Version des E-Rezepts menschen- und maschinenlesbar ausgehändigt werden". Das System solle ausfallsicher umgebaut werden, so dass der Wegfall zentraler Systeme nicht zu fehlenden Medikamenten führe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Streaming
Amazon zeigt neuen Fire TV Cube

Das neue Spitzenmodell der Fire-TV-Produktfamilie wurde beschleunigt und hat deutlich mehr Anschlüsse als bisher. Zudem wird eine neue Fire-TV-Fernbedienung angeboten.

Streaming: Amazon zeigt neuen Fire TV Cube
Artikel
  1. Berufsschule für die IT-Branche: Leider nicht mal ausreichend
    Berufsschule für die IT-Branche
    Leider nicht mal "ausreichend"

    Lehrmaterial wie aus einem Schüleralbtraum, ein veralteter Rahmenlehrplan und nette Lehrer, denen aber die Praxis fehlt - mein Fazit aus drei Jahren als Berufsschullehrer.
    Ein Erfahrungsbericht von Rene Koch

  2. Tim Cook: Apple will Entwicklung in München weiter ausbauen
    Tim Cook
    Apple will Entwicklung in München weiter ausbauen

    Laut Konzernchef Cook ist der Standort München wegen der Mobilfunktechnik für Apple "sehr, sehr wichtig". Doch da ist noch mehr.

  3. Indiegogo: Ein Computer, der sich nur auf Schreibmarathons fokussiert
    Indiegogo
    Ein Computer, der sich nur auf Schreibmarathons fokussiert

    Der Freewrite Alpha ist mit internem Speicher und mechanischer Tastatur etwas mehr als eine analoge Schreibmaschine - aber auch nicht viel mehr.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Controller GoW Ragnarök Edition vorbestellbar • Saturn Technik-Booster • Viewsonic Curved 27" FHD 240 Hz günstig wie nie: 179,90€ • MindStar (Gigabyte RTX 3060 Ti 499€, ASRock RX 6800 579€) • AMD Ryzen 7000 jetzt bestellbar • Alternate (KF DDR5-5600 16GB 96,90€) [Werbung]
    •  /