Vor fast einem Jahr berichteten wir, dass neben der kürzlich eingeführten elektronischen Patientenakte das E-Rezept zukünftig den Versorgungsalltag erleichtern soll.

Zur Erinnerung:

Das E-Rezept ist das rosafarbene Papier in Form eines QR-Codes in einer App auf dem Smartphone der Patient*innen. In unserem Beitrag kritisierten wir insbesondere, dass der Entwickler des E-Rezepts, die gematik GmbH, in der Informationssicherheit nachbessern muss, bevor das E-Rezept auch aus der Perspektive des Datenschutzes rechtssicher eingesetzt werden kann.

Nun hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Freigabe für das E-Rezept erteilt. In einer Pressemitteilung vom 01.07.2021 bestätigte das BSI die Informationssicherheit der E-Rezept-App. BSI-Präsident Arne Schönbohm sagt dazu:

„Das E-Rezept ist ein echter Meilenstein in der Digitalisierung des Gesundheitswesens. Es wird vielen Patientinnen und Patienten das Leben erleichtern und ihnen viele beschwerliche Wege ersparen. Informationssicherheit ist ein wesentlicher Vertrauensfaktor für die Bürgerinnen und Bürger, insbesondere, wenn sensible medizinische Daten verarbeitet werden. Das BSI hat die gematik von Anfang an bei der Gestaltung sicherer elektronischer Prozesse für das E-Rezept unterstützt. So tragen wir zu einer sicheren Digitalisierung bei.“

E-Rezept ab 1. Januar 2022 verpflichtend

Ein vom BSI beauftragtes externes Sicherheitsgutachten, welches das Frontend des E-Rezepts bewertet, gab grünes Licht für die regionale Testphase. Die gematik stellte daraufhin die E-Rezept-App in den App-Stores zur Verfügung. Seit Anfang Juli wird das E-Rezept in 50 Arztpraxen und 120 Apotheken in Berlin-Brandenburg getestet. Ab dem 1. Oktober 2021 können Praxen das E-Rezept bundesweit freiwillig anbieten, bevor die Ausstellung des E-Rezept ab 1. Januar 2022 für alle Ärzt*innen und Apotheker*innen verpflichtend wird.

Ob die Daten, welche im Rahmen des E-Rezepts verarbeitet werden, ausreichend geschützt sind, ist für viele Versicherte ein wichtiges Anliegen. Um dem gerecht zu werden, hat die gematik mehrere externe Gutachten in Auftrag gegeben. Die gematik hat das Gutachten des BSI aus Transparenzgründen veröffentlicht. Zudem wurde eine Zusammenfassung aus den Produktgutachten des E-Rezept-Servers und des Identity Providers sowie die Ergebnisse des Penetrationstests für das E-Rezept der Öffentlichkeit zur Verfügung gestellt. Die Dokumente können hier abgerufen werden.

Kurz zusammengefasst

Laut des Produktgutachtens „eRezept-Frontend des Versicherten“ wurden in Bezug auf die gematik-Anforderungen keine Sicherheitslücken festgestellt (Produktgutachten, Abschnitt 3.9). Die acht Empfehlungen der Gutachter werden laut Angaben der gematik derzeit umgesetzt.

Bei der Prüfung des E-Rezepts nach den Anforderungen der BSI-Prüfvorschrift wurden nach Aussage der Gutachter 23 Anforderungen nicht erfüllt. Die von den Gutachtern durchgeführten Risikoanalysen zu den jeweiligen Abweichungen ergaben ein akzeptables Risiko. Das BSI kritisiert dies und erläutert in seinem Bestätigungsschreiben, dass die Bewertung des Risikos als „akzeptabel“ nicht ausreichend sei. Vielmehr sei eine differenzierte Angabe der Höhe des Restrisikos und eine transparente Beschreibung, wie der Gutachter zu dieser Einstufung kommt, notwendig. Zudem verlangt das BSI die Behebung von zehn der 23 Abweichungen. Für einen Probebetrieb seien diese Restrisiken nach Aussage des BSI aber hinnehmbar, wenn die Teilnehmer*innen der Testphase über die niedrigen Sicherheitsrisiken informiert würden. Die geforderte Information für die Teilnehmer*innen der Testphase besteht bereits in den App-Stores.

Zudem plant die gematik die Umsetzung zusätzlicher Maßnahmen, um die zehn Abweichungen bis zum 31.12.2021 zu beheben und die vom BSI geforderten Nachbesserungen in einem überarbeiteten Gutachten vorzulegen.

Diese Offenheit schafft Vertrauen. Sobald die Nachbesserungen erfolgt sind, steht der bundesweiten Nutzung des E-Rezepts vorerst nichts mehr im Weg. Es bleibt abzuwarten, ob die gematik die technischen und organisatorischen Maßnahmen des E-Rezepts stets dem aktuellen Stand der Technik anpassen wird. Im Dezember 2019 verschaffte sich der Chaos Computer Club Zugang zu dem Telematik-Netzwerk, um zu beweisen, wie unzureichend das Netzwerk geschützt ist. Dies sollte dem Chaos Computer Club nicht erneut gelingen.

Ausblick

Wer das E-Rezept in Zukunft nutzen möchte, benötigt dafür die Freischaltung von der Krankenkasse, eine NFC-fähige elektronische Gesundheitskarte sowie ein NFC-fähiges Smartphone mit mindestens iOS 14 oder Android 6. Die NFC-Technologie kennen Nutzer von der bargeld- und kontaktlosen Bezahlmöglichkeit mit der Giro- und Kreditkarte. Alle Krankenkassen sind gesetzlich dazu verpflichtet die elektronischen Gesundheitskarten mit der kontaktlosen Schnittstelle auszustatten. Je nach Krankenkasse werden die NFC-fähigen Gesundheitskarten automatisch versendet, wenn bspw. die Gültigkeit der alten Karte abgelaufen ist. Alternativ können die Versicherten eigeninitiativ die neue Gesundheitskarte bei ihrer Krankenkasse anfordern. Wer die technischen Voraussetzungen für das E-Rezept nicht erfüllt, hat die Möglichkeit sich den QR-Code von der Arztpraxis ausdrucken zu lassen. Das Rezept kann auch mittels des ausgedruckten QR-Codes bei der Apotheke eingelöst werden. Das rosafarbene Papierrezept soll nur noch in Ausnahmefällen, z.B. in Not- oder Störfällen ausgestellt werden.

| | | , , , , ,