Eingeplante Sicherheitslücken
Kritik am Datenschutz und der Resilienz des E-Rezepts
Nach langen Verzögerungen soll man E-Rezepte seit dem 1. September bundesweit bei Apotheken einlösen können. Wer schlau ist, wartet jedoch noch ab, denn der reibungslose Betrieb ist keinesfalls gesichert. Experten vom CCC bemängeln den Datenschutz und die Ausfallsicherheit.
Nur eine Woche nachdem Apotheken offiziell bundesweit E-Rezepte akzeptieren sollen, hat der Chaos Computer Club (CCC) eine Generalkritik an der Ausfallsicherheit und am Datenschutzniveau des Systems veröffentlicht. Die für die Digitalisierung des Gesundheitssystems zuständige staatliche Agentur Gematik suggeriere einen durchgängigen Schutz der auf den Rezepten gespeicherten Daten, der aber nicht vorhanden sei. Stein des Anstoßes ist, dass die E-Rezepte nicht Ende-zu-Ende verschlüsselt vom ausstellenden Arzt bis zur einlösenden Apotheke wandern, sondern der E-Rezept-Server der Gematik sie unverschlüsselt verarbeitet.
Die E-Rezepte werden dort zentral in einer „vertrauenswürdigen Ausführungsumgebung“ (VAU) gesammelt. Deren Sicherheitsarchitektur „Intel SGX“ sei allerdings veraltet und mehrfach erfolgreich angegriffen worden, schreibt der CCC. Gemeinsam mit der Gesellschaft für Freiheitsrechte klagt er vor Gericht gegen die zentrale Sammlung von Gesundheitsdaten. In der Begründung führen beide Organisationen unter anderem an, dass die Pseudonymisierung unzureichend sei und man die Daten später einzelnen Personen wieder zuordnen könne.