DAZ aktuell

„Die Ende-zu-Ende-Verschlüsselung würde uns nicht weiterbringen“

Kritik an den E-Rezept-App-Spezifikationen – was sagt der Gematik-Sicherheitschef dazu?

eda | Dass die Zur Rose-Tochter ­e­Health-Tec neben dem US-Konzern IBM an der Ausarbeitung des deutschen E-Rezept-Fachdienstes beteiligt ist, sorgt für Aufregung in der Apothekerschaft. Doch es existieren noch weitere Aspekte rund um die elektronischen Verordnungen, die dem Berufsstand Bauchschmerzen bereiten. Dazu gehört, dass es keine Ende-zu-Ende-Verschlüsselung geben wird, wie sie der Deutsche Apothekerverband (DAV) bis zuletzt gefordert hatte (AZ 2020, Nr. 44, S. 3). Ist damit die Sicherheitsarchitektur des E-Rezepts in Gefahr? Nein, sagt der Leiter Sicherheit der Gematik, Holm Diening, im Interview mit der DAZ. Doch ein Vertreter des Chaos Computer Clubs (CCC) hält dagegen.

DAZ: Die Spezifikationen für die E-Rezept-App liegen seit Juni 2020 vor. Ein Aspekt, der in verschiedenen Medien für Aufsehen und Diskussionsstoff sorgte, ist die Tatsache, dass es bei der Übertragung von E-Rezepten zwischen Arztpraxen und Apotheken keine Ende-zu-Ende-Verschlüsselung geben wird. Wie argumentieren Sie den Kritikern gegenüber?

Diening: Wichtig ist, zunächst klarzustellen, dass es bei den Spezifikationen nicht darum geht, etwas kategorisch auszuschließen, sondern zu definieren, wie man stattdessen ein entsprechendes Sicherheitsziel erreicht. Die sogenannte vertrauenswürdige Ausführungsumgebung, die wir nun konzipiert haben, wird ein gleichwertiges Datenschutzniveau gewährleisten wie die Ende-zu-Ende-Verschlüs­selung und gleichzeitig garantieren, dass wir mit automatisierbaren Prozessen die Übertragung von Rezept­daten optimieren. Es soll um die Verringerung von Bearbeitungsaufwand und Fehlerrate gehen. Selbstverständlich wird ausgeschlossen, dass der Betreiber des Fachdienstes auf Patienten- und Verordnungsdaten zugreifen kann. Wie wir dies erreichen, werden wir als Quellcode offenlegen. Eine Referenzimplementierung des E-Rezeptes befindet sich schon jetzt auf unserer Webseite.

Foto: Gematik / Die Hoffotografen GmbH Berlin

Holm Diening ist seit 2012 für die Gematik tätig und verantwortete zunächst den Aufbau des anbieterübergreifenden Informationssicherheitsmanagementsystems (ISMS) der Telematikinfrastruktur. Seit 2015 leitet er die Abteilung Datenschutz und Informationssicherheit, seit 2020 in der Funktion als Leiter Sicherheit.

DAZ: Blickt man auf die E-Rezept-Modellprojekte, dann ergeben sich ja die unterschiedlichsten Lösungsansätze: GERDA in Baden-Württemberg impliziert eine zentrale Lösung, mit einem Server, auf dem die Rezeptdaten abgelegt werden und von dem sie beim Einlösen des Rezept-Tokens in der Apotheke dann abgerufen werden. Bei der „Zukunftsregion Digitale Gesundheit“ (ZDG), dem E-Rezept-Pilotprojekt in Berlin/Brandenburg, geht es hingegen um eine dezentrale Ende-zu-Ende-Verschlüsselung. Musste sich die Gematik zwischen einem der beiden Konzepte entscheiden im Hinblick auf die Spezifikationen?

Diening: Wie Sie richtig anmerken: Das sind Modellprojekte, in denen zeitlich und regional begrenzt Erfahrungen gewonnen werden sollen. Uns bei der Gematik geht es aber um die Digitalisierung des Gesundheitswesens für mehr als 80 Millionen Menschen. Das heißt, es müssen Daten zwischen den unterschiedlichsten Institutionen ausgetauscht werden – und zwar nicht nur bundesweit, sondern zukünftig auch in Europa, damit deutsche Patienten beispielsweise ihre Rezepte in Frankreich einlösen können.

DAZ: In der IT-Branche wird der Schritt weg von der Ende-zu-Ende-Verschlüsselung aber durchaus skeptisch gesehen. Für den Deutschen Apothekerverband (DAV) wäre dies die favorisierte Sicherheitsarchitektur gewesen. Andererseits wird von der Übertragung vertraulicher Daten über Messenger-Dienste grundsätzlich abgeraten – auch wenn diese mit einer Ende-zu-Ende-Verschlüsselung arbeiten. Wie passt dies zusammen?

Diening: Bei einer Ende-zu-Ende-Verschlüsselung bleiben die Daten über alle Übertragungsstationen hinweg verschlüsselt, und nur Absender und Empfänger können auf sie zugreifen und sie lesen. Zwischendurch hat also niemand Zugriff. Trotzdem ist über Meta-Daten einsehbar, von wem und an wen, wann und wo etwas übertragen wird. Unabhängig davon würde uns die Ende-zu-Ende-Verschlüsselung beim E-Rezept in der Telematikinfrastruktur nicht weiterbringen.

DAZ: Weshalb?

Diening: Weil es uns ja nicht darum geht, lediglich das Muster-16-Rezeptblatt zu digitalisieren und zu versenden, sondern die Übertragung von Verordnungen zu optimieren und vor allem sicherer zu machen. Dafür muss es möglich sein, dass im Rahmen der vertrauenswürdigen Ausführungs­umgebung das E-Rezept auf bestimmte Eigenschaften überprüft wird: Wurde es vom Praxisverwaltungssystem syntaktisch korrekt erstellt? Ist es von der Apotheke bereits abgerufen worden? Muss es nachträglich unter Umständen storniert oder ersetzt werden? Diese Fragen lassen sich bei einer Ende-zu-Ende-Verschlüsselung überhaupt nicht klären. Außerdem ist es notwendig, dass eine auf internationalen Standards basierende Anbindung geschaffen wird.

DAZ: Nun stellt die vertrauenswürdige Ausführungsumgebung ja gewissermaßen einen zentralen Computerspeicher dar, der örtlich lokalisierbar ist. Jetzt gehen wir mal von einem Stromausfall aus …

Diening: Die vertrauenswürdige Ausführungsumgebung verteilt sich auf mehr als einen Standort und legt die Informationen als redundante Datenpakete ab. Es müsste also schon ein europaweiter Stromausfall sein, dass Patienten überhaupt nicht mehr auf ihre E-Rezepte zugreifen könnten. Ein eher unrealistisches Szenario.

„Uns bei der Gematik geht es um die Digitalisierung des Gesundheitswesens für mehr als 80 Millionen Menschen.“

Holm Diening, Leiter Sicherheit

DAZ: Wie sieht es bei einer Hacker-­Attacke aus? Zuletzt wurde beispielsweise das Robert Koch-Institut Opfer eines DDoS-Angriffs, bei dem eine Flut sinnloser Anfragen die Server in die Knie zwingen.

Diening: Bezüglich solcher Anomalien findet bei uns ein permanentes Monitoring statt. Wir tun extrem viel dafür, dass genau solche Angriffe nicht von Erfolg gekrönt sind. Selbst, wenn es zu dem unwahrscheinlichen Fall kommt, dass der E-Rezept-Dienst vor­übergehend nicht zu erreichen ist, sollte dies noch kein Problem für die Versorgung darstellen.

DAZ: Spätestens seit der Einführung von SecurPharm sind die Apotheker leidgeplagt, was den – auch nur temporären – Ausfall zentraler Server angeht. Da, wo Digitalisierung eigentlich für Vereinfachung und Convenience sorgen soll, ergibt sich plötzlich ein noch größeres Hindernis.

Diening: Wenn alle Stricke reißen, können die Ärzte immer noch ersatzweise ein Muster-16-Rezept ausstellen. Schließlich kann ein IT-Problem ja auch an ganz anderen Stellen auftreten, z. B. auf der Seite der Praxis.

„Wenn alle Stricke reißen, können die Ärzte immer noch ersatzweise ein Muster-16-Rezept ausstellen.“

Holm Diening, Leiter Sicherheit

DAZ: Hinsichtlich des Makelverbotes gibt es Stimmen, die fordern, dass man auch den „Schlüssel“ des E-Rezeptes, also den QR-Code bzw. Token, besonders schützen sollte. Was halten Sie davon?

Diening: Der Token dient ja dazu, dass der Patient überhaupt in die Lage versetzt wird, frei auszuwählen, wann, wo und durch wen das E-Rezept eingelöst werden soll. Schon in der Praxis entscheidet der Patient, ob der Arzt ihm den QR-Code nur über die E-Rezept-App oder zusätzlich als Papierausdruck übermittelt. Aus der App heraus lässt sich dann die Be­lieferung eines Arzneimittels in der Apotheke unverbindlich anfragen. Mit dem Papierausdruck geht das – wie bisher – im persönlichen Gespräch mit dem Apothekenpersonal. Mit der Anfrage erfolgt allerdings noch nicht die Einlösung. Diese greift erst, wenn sich der Versicherte tatsächlich für eine verbindliche Einlösung in der jeweiligen Apotheke entscheidet, egal ob über die App oder mit dem Papierausdruck. Gleichzeitig wird dann ausgeschlossen, dass weitere Einlösungen des­selben Rezeptes in anderen Apotheken stattfinden.

DAZ: Herr Diening, vielen Dank für das Gespräch. |

„Sicherheitsgutachten und Quellcodes können fehlendes Vertrauen nicht ausgleichen“

Dass die Gematik bei der Übermittlung von Rezept- und Patientendaten keinen dezentralen Ansatz verfolgt, sehen IT-Experten mitunter kritisch. Wenn Informationen auf zentralen Servern liegen, die die Gematik als „vertrauenswürdige Ausführungsumgebung“ bezeichnet, dann sei die vollständige Kontrolle durch die Patienten zumindest als eingeschränkt zu bewerten. Als Goldstandard definieren Vertreter des Chaos Computer Clubs (CCC) nach wie vor die Ende-zu-Ende-Verschlüsselung – oder, wie sie es nennen: die Ende-zu-Ende-Sicherheit.

Martin Tschirsich

Martin Tschirsich ist CCC-MItglied und beschäftigt sich vorrangig mit den aktuellen und zukünftigen digitalen Gesundheitsanwendungen. Die Entscheidung der Gematik, das E-Rezept ohne Ende-zu-Ende-Sicherheit umzusetzen, findet er „bedauerlich“. „Ende-zu-Ende-Sicherheit gibt dem Patienten die vollständige Kontrolle über die Sicherheit seiner Daten“, so Tschirsich im Gespräch mit der DAZ.

Die meisten anderen technischen Lösungen müssten auf Vertrauen beruhen. Passenderweise betitelt die Gematik ihre zentrale Serverlösung als „vertrauenswürdige Ausführungsumgebung“.

Doch Vertrauen sei immer abhängig von den aktuellen gesetzgeberischen Grundlagen und den Konstellationen sowie Interessen der jeweiligen Betreiber der Telematikinfrastruktur und des E-Rezeptfachdienstes. All diese Faktoren müsse man stets als temporär betrachten. Die Ideallösung sei daher, betont Tschirsich, dass sich Patienten langfristig und unabhängig auf die sichere Übertragung ihrer Daten verlassen könnten.

Foto: imago images/Martin Müller

Logo des CCC

Die syntaktische Prüfung des E-­Rezeptes ist für das CCC-Mitglied kein Grund, auf eine verschlüsselte Übertragung von Sender zu Empfänger verzichten zu müssen. Im Gegenteil: Die meisten Messenger-Dienste, die mit Ende-zu-Ende-Sicherheit arbeiten, würden bei Chats die Eingabe der Nutzer syntaktisch prüfen und zwar vor der Übertragung an den Empfänger. Bezogen auf das E-Rezept müsste es ermöglicht werden, dass auf „Arztseite“ also schon in der Praxissoftware die formalen Anforderungen an die Verschreibung überprüft werden, bevor die Daten in die Telematikinfrastruktur übertragen werden. Daher ist die Erklärung mit der syntaktischen Prüfung für Tschirsich allein nicht ausreichend: „Das ist schade, denn allen derzeitig bekannten Anwendungsfällen steht eine Ende-zu-Ende-Sicherheit nicht im Weg.“

Von den Patienten wird nun erwartet, dass sie dem E-Rezept und der Infrastruktur vertrauen. „Also Vertrauen in bislang wenig praxiserprobte Sicherheitslösungen und auf die Einhaltung aller Zusagen durch den Betreiber, was beispielsweise die Löschfristen angeht“, stellt Martin Tschirsich zur Diskussion. Auch, wenn die Gematik betont, man setze bei Fragen zur Sicherheit schon jetzt in der Entwicklungsphase durch Offenlegung der Quellcodes auf die externe Expertise könne dies die Zweifel von IT-Experten wie Tschirsich nicht ausräumen: „Die jetzt angekündigten Bemühungen wie Offenlegung von Sicherheitsgutachten und des Quellcodes der Anwendung können fehlendes Vertrauen nicht ausgleichen.“

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.