- DAZ.online
- News
- Spektrum
- Braucht das E-Rezept eine...
Gematik vs. CCC-Experte
Braucht das E-Rezept eine Ende-zu-Ende-Verschlüsselung?
Eine Ende-zu-Ende-Verschlüsselung bei der Übertragung von E-Rezepten von der Arztpraxis in die Apotheke wird es nicht geben. Das stößt auf Kritik – auch beim Deutschen Apothekerverband. Der Sicherheitsbeauftragte der Gematik, Holm Diening, verteidigt im Gespräch mit der DAZ das Alternativkonzept. Ein Mitglied des Chaos Computer Clubs hält dagegen.
Seit Juni 2020 liegen die Spezifikationen für das E-Rezept vor. Ein wesentlicher Kritikpunkt: Die Gematik verzichtet auf eine sogenannte Ende-zu-Ende-Verschlüsselung bei der Übertragung von der Praxis in die Apotheke. Dabei wäre der Datensatz über alle Übertragungsstationen hinweg codiert, nur der Empfänger kann das Paket entschlüsseln.
Mehr zum Thema
Kritik an den E-Rezept-App-Spezifikationen – was sagt der Gematik-Sicherheitschef dazu?
„Die Ende-zu-Ende-Verschlüsselung würde uns nicht weiterbringen“
Sind die Verordnungsdaten von E-Rezepten einsehbar?
Fehlende Ende-zu-Ende-Verschlüsselung
Gegenüber der DAZ versucht der Sicherheitsbeauftragte der Gematik, Holm Diening, die Bedenken zu zerstreuen. „Die sogenannte vertrauenswürdige Ausführungsumgebung, die wir nun konzipiert haben, wird ein gleichwertiges Datenschutzniveau gewährleisten, wie die Ende-zu-Ende-Verschlüsselung und gleichzeitig garantieren, dass wir mit automatisierbaren Prozessen die Übertragung von Rezeptdaten optimieren“, sagte er. „Selbstverständlich wird ausgeschlossen, dass der Betreiber des Fachdienstes auf Patienten- und Verordnungsdaten zugreifen kann. Wie wir dies erreichen, werden wir als Quellcode offenlegen.“
Unter anderem der Deutsche Apothekerverband (DAV) hatte sich für eine Ende-zu-Ende-Verschlüsselung beim E-Rezept stark gemacht. Aus Dienings Sicht wäre der Einsatz in der Telematikinfrastruktur jedoch nicht zielführend. Denn es gehe nicht darum, lediglich das Muster-16-Rezeptblatt zu digitalisieren und zu versenden, sondern die Übertragung von Verordnungen zu optimieren und vor allem sicherer zu machen. „Dafür muss es möglich sein, dass im Rahmen der vertrauenswürdigen Ausführungsumgebung das E-Rezept auf bestimmte Eigenschaften überprüft wird: Wurde es vom Praxisverwaltungssystem syntaktisch korrekt erstellt? Ist es von der Apotheke bereits abgerufen worden? Muss es nachträglich unter Umständen storniert oder ersetzt werden? Diese Fragen lassen sich bei einer Ende-zu-Ende-Verschlüsselung überhaupt nicht klären“, betont der Experte im DAZ-Interview.
Vollständige Kontrolle und Sicherheit
Martin Tschirsich sieht das völlig anders. Der Experte für Internetsicherheit ist Mitglied im Chaos Computer Club und beschäftigt sich vorrangig mit den aktuellen und zukünftigen digitalen Gesundheitsanwendungen. Die Entscheidung der Gematik, auf eine Ende-zu-Ende-Verschlüsselung zu verzichten, nennt er bedauerlich. „Ende-zu-Ende-Sicherheit gibt dem Patienten die vollständige Kontrolle über die Sicherheit seiner Daten“, so Tschirsich im Gespräch mit der DAZ.
Vertrauen kann es nur temporär geben
Beim Einsatz anderer Technologien müsse der Patient schlicht Vertrauen in das System haben. Doch Vertrauen sei immer abhängig von den aktuellen gesetzgeberischen Grundlagen und den Konstellationen sowie Interessen der jeweiligen Betreiber der Telematikinfrastruktur und des E-Rezept-Fachdienstes. All diese Faktoren müsse man stets als temporär betrachten, betont Tschirsich.
Von den Patienten wird nun erwartet, dass sie dem E-Rezept und der Infrastruktur vertrauen. „Also Vertrauen in bislang wenig praxiserprobte Sicherheitslösungen und auf die Einhaltung aller Zusagen durch den Betreiber, was beispielsweise die Löschfristen angeht“, so Tschirsich. Auch wenn die Gematik betont, man setze bei Fragen zur Sicherheit schon jetzt in der Entwicklungsphase durch Offenlegung der Quellcodes auf die externe Expertise, könne dies die Zweifel von IT-Experten nicht ausräumen: „Die jetzt angekündigten Bemühungen wie Offenlegung von Sicherheitsgutachten und des Quellcodes der Anwendung können fehlendes Vertrauen nicht ausgleichen.“
---------------------------------------------------------------------------------------------------
Hinweis: Den vollständigen Beitrag lesen Sie in der aktuellen Ausgabe der DAZ.
0 Kommentare
Das Kommentieren ist aktuell nicht möglich.