Neuer „Spiegel“-Bericht zu Rezeptdaten

„Verschleierung statt Verschlüsselung“

20.11.2014, 15:55 Uhr


Trotz einstweiliger Verfügungen und gerichtlicher Auseinandersetzungen legt das Nachrichtenmagazin „Der Spiegel“ in seiner Online-Ausgabe nach längerer Pause jetzt in seiner Berichterstattung über den Umgang mit Rezeptdaten nach. Im Fokus steht erneut das Münchner Apothekenrechenzentrum VSA. Bis Mai 2012 soll die Rezeptdatenverarbeitung durch die VSA danach nicht sicher gewesen sein, schreibt der „Spiegel“ und beruft sich auf Datenexperten. In einer ersten Reaktion sieht die VSA im Bericht keine neuen Vorwürfe, will aber noch ausführlich dazu Stellung nehmen.

„Deutsche Rechenzentren verkaufen sensible Rezeptdaten. Eigentlich sollten die Datensätze zu diesem Zweck anonymisiert werden – doch das geschah in der Vergangenheit manchmal offenbar nicht. Fachleute warnen vor vermeintlicher Verschlüsselung“, beginnt der Spiegel seinen Bericht. Wer in der Apotheke ein Rezept einlöse, müsse damit rechnen, dass seine Rezeptdaten hinter seinem Rücken an Marktforschungsfirmen im In- und Ausland weiterverkauft würden.

Laut „Spiegel“ warnen vom Nachrichtenmagazin befragte Computerexperten, dass „das Rechenzentrum VSA möglicherweise noch bis 2012 ein untaugliches Anonymisierungsverfahren eingesetzt habe“. Es geht um das Verfahren SHA-256, das die VSA bis Mai 2012 einsetzte. Laut VSA sei dieses Verfahren bei dessen Einführung State of the Art gewesen und gelte bis heute als ein sicheres Verfahren. Das bezweifeln die vom „Spiegel“ befragten Experten: „Ich finde das Verfahren nicht passend, um eine angemessene Anonymisierung durchzuführen. Ich würde es lieber eine Verschleierung nennen", lässt sich Norbert Pohlmann, Professor für Informatik am Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen zitieren.

SHA-256 sei zwar ein weit verbreitetes Standardverfahren für andere Zwecke, aber zum Schutz von Versichertennummern ungeeignet, so der „Spiegel“. Die Rückrechnung einer Versichertennummer, die mit SHA geschützt ist, dauere mit einem herkömmlichen PC nur wenige Minuten. Mit ein paar einfachen Tricks lasse es sich in Sekunden erledigen.

Im „Spiegel“ widerspricht die VSA dieser Einschätzung: „Es sei nicht wahr, dass ‚das Verfahren SHA-256 bei dessen Einführung bis heute nicht State of the Art gewesen‘ sei. Es stimme auch nicht, dass ‚dieses Verfahren von Experten nicht als sicher bezeichnet‘ werde."

Mit dem seit 2012 von der VSA verwendeten „Trustcenter“-Verfahren mit „Krypto-Box“ und dem Verschlüsselungsverfahren AES zeigt sich der „Spiegel“ einverstanden. Im April 2014 habe die VSA für den Datenverarbeitungsprozess sogar ein ISO-Zertifikat bekommen.

Der letzte ausführliche „Spiegel“-Bericht „Pillendreher als Datendealer“ löste heftige Diskussionen und gerichtliche Auseinandersetzungen aus.


Lothar Klein