12.09.2022

Aktuelles | Stellungnahme: Kritik des Chaos Computer Clubs am E-Rezept

Bezugnehmend zur Stellungnahme des Chaos Computer Clubs (CCC) zum E-Rezept vom 08.09.2022 ordnen wir die genannten Kritikpunkte wie folgt ein:

„Mangelhafte Verfügbarkeit“

An die Verfügbarkeit des E-Rezepts werden sehr hohe Anforderungen gestellt, die mit mehreren Stresstests bestätigt wurden. Die Tests wurden mit bis zu 20 Millionen E-Rezepten pro Tag simuliert; bei flächendeckender Verwendung und ca. 750 Millionen E-Rezepten jährlich gehen wir in der gematik von einer täglichen durchschnittlichen Anzahl von 1,5 bis 2,5 Millionen aus. Die Tests wurden also mit deutlich mehr E-Rezepten als täglich zu erwarten sind durchgeführt, um die Vollauslastung zu simulieren. Die Verfügbarkeit des Fachdienstes wird zudem im Monitoring gemessen und erfüllt seit dem Launch des Dienstes die hohen Anforderungen.

Die medizinische Versorgung ist generell gewährleistet, da als Ersatzverfahren (bei Ausfall von Diensten bzw. Störungen) auf das bisherige Papierformular (Muster 16) zurückgegriffen wird.

„Unzureichendes Verständnis bei Verschlüsselung“

Von den anderen 19 Ländern in Europa, in denen das E-Rezept bereits eingeführt ist, setzt kein einziges auf die „Ende-zu-Ende-Verschlüsselung“. Das E-Rezept soll Mehrwert und echten Nutzen für den Versorgungsalltag bringen. Dafür muss es sowohl sicher als auch praktikabel sein.

Das E-Rezept ist durchgehend verschlüsselt – es wird sicher und verschlüsselt im Verschreibe- und Einlöseprozess übertragen, gespeichert und verarbeitet. Innerhalb der E-Rezept-Server (Fachdienst) wird eine „Vertrauenswürdige Ausführungsumgebung“ (VAU) eingesetzt, um die Sicherheit während der Verarbeitung innerhalb des Dienstes zu garantieren. Hierdurch haben auch Administratoren des Betreibers keinen Zugriff auf die Daten. Die Hersteller von Prozessoren entwickeln diese Technologie laufend weiter; bei Confidential Computing in der Cloud ist sie bspw. zentraler Bestandteil.

Mit Ende-zu-Ende-Verschlüsselung könnte zukünftig z. B. kein in Köln ausgestelltes E-Rezept in Madrid eingelöst werden – was zwischen anderen europäischen Ländern bereits möglich ist und auch für deutsche Versicherte durch die Anbindung an den Europäischen Raum für Gesundheitsdaten künftig möglich werden soll.

„Sicherheitsniveau inakzeptabel“

Der CCC bezieht sich in seiner Stellungnahme auf den geplanten dritten Einlöseweg des E-Rezepts mittels der elektronischen Gesundheitskarte (neben App und Ausdruck).

Zur Sicherheit bei diesem Einlöseweg trägt maßgeblich bei, dass die Apotheke folgende Berechtigungen haben muss:

  • Nachweis mittels SMC-B-Karte (Institutionskarte), dass sie eine berechtigte Apotheke ist,
  • Nachweis, dass die elektronische Gesundheitskarte des Versicherten für das einzulösende E-Rezept vorlag; dies wird durch das Apothekenverwaltungssystem geprüft.

Die vom CCC beschriebenen potentiellen Betrugsmöglichkeiten beziehen sich ausschließlich auf das Vorliegen der eGK (2. Punkt). Hierfür müsste der Apotheker eine bewusste und vorsätzliche Fälschung in seiner Software (Apothekenverwaltungssystem) vornehmen. Der Zugriff auf Rezeptdaten ist jedoch immer nachweisbar und für Versicherte nachvollziehbar, weil die Zugriffe drei Jahre lang gespeichert werden und für die Versicherten über ihre App jederzeit einsehbar sind. Apotheken können also vorsätzliche Zugriffe nicht verheimlichen. Der Gesetzgeber plant die Einführung eines Straftatbestands bei Missbrauch.

 

Das E-Rezept punktet durch Sicherheit und Transparenz

Sichere Infrastruktur: Der Betrieb der sicheren Infrastruktur wird durch verschiedene Komponenten gewährleistet: Der Betreiber des Fachdienstes musste Funktionstests und Stresstests zur Zulassung nachweisen und muss regelmäßig Produktgutachten liefern. Die gematik führt jährliche und auch anlassbezogene Audits durch. Das Security Monitoring ist aufgesetzt, und es bestehen Meldepflichten für den Betreiber.

Volle Transparenz: Die gematik sorgt für Transparenz beim E-Rezept. Jeder, der möchte, kann sich bis ins kleinste Detail informieren:
Konzepte und Spezifikationen sind im Fachportal, auf github und simplifier veröffentlicht. Änderungen und Weiterentwicklungen durchlaufen öffentliche Kommentierungsphasen. Der Quell-Code der App, des Fachdienstes und des Identity Providers sind auf github veröffentlicht.

 

Links zum Fachportal und zu github:

https://fachportal.gematik.de/anwendungen/elektronisches-rezept

https://github.com/gematik/api-erp

https://github.com/gematik/E-Rezept-App-iOS

https://github.com/eRP-FD/

https://github.com/RISE-gemIDP/gemIDP

https://simplifier.net/erezept-workflow