2D-Barcodes Schwachstellen beim E-Rezept

e-Health , Apps und Internet Autor: Anouschka Wasner

Abhören können nicht nur Ärzte, sondern auch Hacker – technische Mängel im Code des E-Rezeptes machen’s möglich. Abhören können nicht nur Ärzte, sondern auch Hacker – technische Mängel im Code des E-Rezeptes machen’s möglich. © iStock/VectorCookies

Die 2D-Barcodes auf den E-Rezepten sind „nicht auf der Höhe der Zeit“. Das schreibt der Online-Dienst „Apotheke Adhoc“ und beruft sich hierbei auf einen IT-Experten. Andere bestätigen.

Mehr durch Zufall habe der Heidelberger IT-Experte Dr. Wolfram Stein, der eigentlich mit der Software für Schnellteststationen in Apotheken beschäftigt war, einen Blick auf die Datamatrix-Codes des E-Rezeptes geworfen, schreibt das Apotheken-News-Portal. Dieser Blick habe ihn misstrauisch gemacht.

Die Codes auf den E-Rezepten dienen als Schlüssel zu den eigentlichen Informationen eines E-Rezeptes auf dem zentralen Fachdienstserver innerhalb der Telematikinfrastruktur (TI). Sie werden vom Warenwirtschaftssystem der Apotheke eingelesen und geben Pfad und Berechtigung zum Abrufen der Verordnung wieder. 

Zu viele Informationen machen Codes fehleranfälliger

Einer der Kritikpunkte des IT-Experten: Die Codes enthalten zu viele Informationen. Ungefähr die Hälfte der Zeichen habe er als redundant erkannt. Das klinge zwar nach wenig, werde aber auf Fehlerkorrektur und Lesbarkeit Einfluss haben. 

Die Codes seien außerdem aus  drei unterschiedlichen Formaten gebaut. Das mache sie unnötig komplex und dadurch fehleranfällig. Angesichts der extrem großen Zahl an Rezepten, die täglich ausgestellt werden, steige damit die Gefahr von Problemen in der Anwendung.

Außerdem entspreche der Code grundsätzlich nicht den höchsten Sicherheitsstandards. Sie würden Einfallstore bieten, über die Hacker z.B. in Formularen statt der erfragten Informationen einen Befehl für die dahinterliegende Datenbank eingeben.

Der gematik sei das bekannt, auf dem Entwicklerportal „Github“ habe sie mögliche Angriffe mit fingierten Codes erläutert. Dass sich Hacker aber auf diese Beispielfälle beschränken, ist unwahrscheinlich.

Wie andere Kritiker stört sich auch Dr. Stein daran, dass das E-Rezept ohne Ende-zu-Ende-Verschlüsselung konzipiert ist – es also innerhalb einer vertrauenswürdigen Ausführungsumgebung in der TI ausgelesen werden kann. Bei Ende-zu-Ende-Verschlüsselung könnten nur Ausstellende, Patienten und Apotheker das Rezept lesen. „Als Bürger stört mich das gewaltig, ich will nicht, dass der Staat alle meine Rezepte hat.“ 

Außerdem gebe es noch ein Problem, nämlich dass die gematik auf einen alten Standard (FHIR) setze, der sich technisch wenig weiterentwickelt habe. Nach Dr. Steins Einschätzung, schreibt „Apotheke Adhoc“, gebe es somit zahlreiche Fehlerquellen, die sich erst in einer Massentestung zeigen dürften.  

Der IT-Security-Experte und Diplom-Informatiker Thomas Maus kann diese Kritikpunkte vollständig nachvollziehen. Er sagt: „Auch nach Jahren kritischer Befassung mit der TI werde ich immer wieder negativ überrascht. Die Kette der Pannen ist mittlerweile schon lang – aber die nostalgische Technologieauswahl und gefährlichen Implementierungsentscheidungen nehmen kein Ende.“ Und der Zufallskritiker Dr. Stein fragt sich, wie es sein kann, „dass die bei der gematik mit so viel Geld über so viele Jahre solche Ergebnisse wie diese Spezifikation des E-Rezepts produzieren.“

E-Rezept: Wer kann und will schon mal testen?

Nachdem in Berlin und Brandenburg „nur einige Praxen und Apotheken“ Erfahrungen mit dem E-Rezept sammeln konnten, weitet die gematik den Testbetrieb aus. Ab dem 1.12.2021 kann das E-Rezept bundesweit „in ausgewählten Pilotpraxen und -apotheken der Softwarehersteller“ erprobt werden. Dafür bedarf es einer Anmeldung bei der gematik. Sie wiederholt: „An der bundesweit verpflichtenden Einführung zum 1. Januar 2022 für diejenigen, die dazu technisch in der Lage sind, E-Rezepte zu erstellen bzw. einzulösen, ändert sich nichts.“ Nach der Installation der entsprechenden PVS-Updates seien die Praxen „E-Rezept-ready“.

mt

Medical-Tribune-Bericht