Mittlerweile soll man E-Rezepte bundesweit bei Apotheken einlösen können. Theoretisch … der 1. September 2022 war der offizielle Stichtag. Also gute Nachrichten vom E-Rezept? Eher nicht. Denn praktisch zeitgleich hat sich der Chaos Computer Club (CCC) mit dem E-Rezept beschäftigt und war von Datenschutz und Ausfallsicherheit „not amused“ …
Vor allem wird bemängelt, dass die E-Rezepte nicht Ende-zu-Ende verschlüsselt vom Arzt zur Apotheke wandern, sondern der E-Rezept-Server der Gematik sie unverschlüsselt verarbeitet. Wörtlich schreibt der CCC: „Die gematik verspricht, die Daten in einer „vertrauenswürdigen Ausführungsumgebung“ (VAU) zu verarbeiten … handelt es sich bei dieser VAU um eine veraltete und mehrfach erfolgreich angegriffene Technologie mit dem Namen „Intel SGX“ , die primär für Kopierschutz eingesetzt wird.“
Die gematik rechtfertigt das Vorgehen ausdrücklich. Chief Security Officer Holm Diening wird mit den Worten zitiert: „Logisch, dass solche Maßnahmen im Client bei Vorsatz überwindbar sind. […] Wir verlagern also von Prävention zu Detektion + Reaktion. Nicht aus Versehen, sondern bewusst.“ Was der CCC wiederum süffisant kommentiert: „Nach dieser Logik bräuchte die gematik ihre Rechenzentren nicht abzuschließen, weil Einbruch ja verboten ist“.
Die Forderung des CCC: „Die gematik muss sich klar zu einer Ende-zu-Ende-Verschlüsselung bekennen, die diesen Namen verdient. Mündige Patienten sollen die (selbst erzeugten) Schlüssel für ihre Gesundheitsdaten in die Hand bekommen.“ Verständlich, irgendwie. Ich denke, ich werde beim guten alten rosa Papier-Rezept bleiben, bis das mal ausdiskutiert ist. Auch wenn dann vielleicht die 2030er-Jahre schon angefangen haben …