E-Rezept-App der Gematik

Was steckt hinter der Open-Source-Strategie?

Berlin - 31.08.2021, 07:00 Uhr

Das GitHub-Repository der E-Rezept-App (Android). (c / Screenshot: GitHub - gematik / DAZ)

Das GitHub-Repository der E-Rezept-App (Android). (c / Screenshot: GitHub - gematik / DAZ)


Gematik: finanzielle Anreize nicht erforderlich

Die Gematik verzichtet darauf, von dieser Möglichkeit Gebrauch zu machen. Zwar sei man „hoch­interessiert an Meldungen von Schwachstellen, die Sicherheitsforschende in unseren Anwendungen gefunden haben“, erklärt eine Sprecherin auf Nachfrage. Durch die Veröffentlichung des Sourcecodes werde diese Community auch kontinuierlich in die weitere Verbesserung der Softwarekom­ponenten integriert. Geplant sei zudem, „noch in diesem Jahr eine Policy für das Coordinated Vul­nerability Disclosure zu veröffentlichen“, in der die Regeln für eine Meldung, Bewertung, Behebung und anschließende Veröffentlichung von gefundenen Schwachstellen niedergeschrieben sind. „Eine finanzielle Incentivierung über sogenannte Bug Bounties wird durch dieses Vorgehen nicht erforderlich sein.“

Das heißt: Die Quellcodes sind zwar für jedermann zugänglich, doch dass sie sich wirklich jemand anschaut, sei sehr unwahrscheinlich, so Tschirsich. „Das ist extrem aufwendig, und die Zeit, die man reinsteckt, wird nicht honoriert.“ Für die sogenannte Security Community fehle schlicht der Anreiz, sich damit zu befassen.

Knackpunkt Identifikation

Unabhängig von den technischen Aspekten sieht Tschirsich seit Langem ein weiteres, besonders schwerwiegendes Problem – und das betrifft die „Schlüsselvergabe“ zu den Verordnungsdaten der Versicherten. Hier öffneten die Krankenkassen Angreifern ein Tor, indem sie bei der Ausgabe der NFC-fähigen Gesundheitskarten und der Persönlichen Identifika­tionsnummern (PIN) auf Verfahren setzten, die nicht geeignet seien, die Identität einer Person sicher festzustellen.

Wie leicht es ist, sich in ein vermeintlich sicheres System einzuschleichen, hat der IT-Fachmann zuletzt demonstriert, als er sich gemeinsam mit Dr. André Zilch Zugang zum DAV-Portal verschaffte. Auch als es Mitgliedern des CCC im Dezember 2019 gelungen war, die Telematikinfrastruktur zu knacken, war Tschirsich beteiligt gewesen. In beiden Fällen nutzten die IT-Spezialisten nicht etwa eine technische Lücke, sondern verschafften sich Zugang, indem sie Schwachstellen bei der „Schlüsselvergabe“ identifizierten. Im Fall des DAV-Portals etwa gaben sie sich als Apotheker aus und gelangten so an einen Zugangscode.

Ein vergleichbares Problem besteht auch bei der E-Rezept-App, meint Tschirsich. Um diese vollumfänglich nutzen zu können, benötigt jeder Versicherte eine NFC-fähige Gesundheitskarte plus eine PIN von seiner Krankenkasse. Viele Kassen, insbesondere große Versicherer, bieten für die Identifikation bei Beantragung der NFC-fähigen Karte ein sogenanntes Robo-Ident-Verfahren an. „Das ist wie ein Video-Identifikationsverfahren, nur ohne menschliches Zutun“, erläutert Tschirsich gegenüber der AZ. Im Klartext: Ob die Person, die sich als der Versicherte XY ausgibt, auch wirklich XY ist, überprüft lediglich ein Roboter.

Sowohl Video-Ident als auch Robo-Ident seien zwar von der Gematik abgesegnet, laut dem Bundesdatenschutzbeauftragen aber unzulässig, da sie den sehr hohen Schutzbedarf nicht gewährleisten können. Die Kassen setzten sich schlicht über die Vorschriften hinweg – ein Einfallstor für Angreifer. 



Christina Müller, Apothekerin und Redakteurin, Deutsche Apotheker Zeitung (cm)
redaktion@daz.online


Diesen Artikel teilen:


1 Kommentar

Gematik APP kontra Apotheke vor Ort

von Andreas Neumann am 31.08.2021 um 9:29 Uhr

Subtil eingefädelt: Enteignung der Marktanteile der Apotheken vor Ort mittels eRezept und GematikAPP, weitergleitet an große europäische Versandapotheken. Und weil Jens das so fein gemacht hat, bekommt er auch einen großen Bonus vom Finanzkapital. Diese hochkarätige Korruption wird ihr Geheimnis erst viel später in seinen gesellschaftlichen Auswirkungen öffentlich machen. Die Messen sind dann schon längst gesungen, wenn eine öffentliche Vor-Ort-Apotheke nach der anderen für immer schließt....

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.