gematik-Gutachten

E-Rezept: Ist die App sicher?

Zum Start des E-Rezepts und der dazugehörigen App am 1. Juli hat die gematik ein externes Gutachten veröffentlicht, das belegen soll, wie sicher und vertrauenswürdig die Anwendungen sind. Doch im Gutachten sind einige Sicherheitslücken enannt worden. Auch die KZBV sieht noch Nachbesserungsbedarf.

Adobestock_Feedora

Um zu klären, ob die von ihr entwickelte E-Rezept App sicher ist, hat die gematik bei der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PwC) ein externes Gutachten zur Prüfung der Anwendungen in Auftrag gegeben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Informationssicherheit der App bestätigt und die Freigabe für den Testbetrieb zum 1. Juli erteilt. Allerdings weist das Amt darauf hin, „dass die Teilnehmer im Testbetrieb darüber informiert werden, dass die App noch nicht fertig ist und noch Restrisiken bestehen, die vom BSI im eingeschränkten Testbetrieb als nicht kritisch gesehen werden“.

KASSENZAHNÄRZTLICHE BUNDESVEREINIGUNG

DIE GEMATIK MUSS NACHARBEITEN

Die Zustimmung des Bundesamts für Sicherheit in der Informationspolitik (BSI) zum externen Sicherheitsgutachten der Prüfungsgesellschaft PwC zur E-Rezepte-App bewertet die Kassenzahnärztliche Bundesvereinigung (KZBV) als gutes Signal für das E-Rezept. Allerdings wird die Freigabe nur für die Testphase und unter dem Vorbehalt einer Information aller Testteilnehmer über Restrisiken erteilt. Das zeige, dass die gematik noch nacharbeiten muss, damit der verpflichtende, bundesweite Start des E-Rezepts wie geplant erfolgen kann.

Die KZBV kritisiert, dass die gematik ihr das Sicherheitsgutachten vorab nicht zur Verfügung gestellt hat. Auf den ersten Blick bleibt das Gutachten der PwC damit hinter den Erwartungen zurück. Die Akzeptanz von identifizierten Mängeln sei teilweise nicht nachvollziehbar und das BSI komme hinsichtlich der Risiken zu einer anderen Einschätzung. Deshalb sei es gut, dass das BSI die Anforderungen nochmal geschärft habe: Das werde das Vertrauen in die E-Rezepte-App bei den Versicherten stärken.“

Im Vorfeld hatte sich die KZBV für eine systemische Sicherheits prüfung beim E-Rezept eingesetzt und ein Sicherheitsgutachten über die E-Rezept-Anwendung gefordert, das dessen Sicherheit insgesamt bestätigt. Insofern begrüßt die KZBV, dass das BSI in seiner Stellungnahme zum Produktgutachten zur E-Rezept-App auch die Produktgutachten der beiden Fachdienste E-Rezept ein bezieht, um daraus eine erste Bewertung der Gesamtsicherheit gemäß § 360 Abs. 10 GB V zu treffen.

Bei der Sicherheitsüberprüfung der App analysierte PwC die technisch implementierten Anforderungen hinsichtlich ihrer Wirksamkeit und bewertete deren Effektivität. Hierbei konnte kein Versagen festgestellt werden, heißt es im Gutachten.

DIE PATIENTENDATEN KANN MAN KNACKEN

Ebenso wenig wurden Sicherheitsmängel identifiziert, die den gesetzten Anforderungen gemäß Prüfgrundlage widersprechen. Dennoch gibt PwC Empfehlungen zur Umsetzung, die aber nicht näher ausgeführt werden. Beim Durchlesen des veröffentlichten Gutachtens fällt außerdem auf, dass PwC auch Mängel benennt, die die Sicherheit der Patientendaten betreffen, hier die zwei gravierendsten:

Beispiel Screenshots

In der iOS-App (iPhone) ist es etwa möglich, Screenshots zu erstellen. So kann der Nutzer sensible Daten abfotografieren und in der Fotobibliothek speichern, wo sie nicht mehr geschützt sind. PWC empfiehlt, diese Funktion zu deaktivieren oder aber die Nutzer explizit auf die Risiken hinzuweisen.

Beispiel Rating-Limit

Für die iOS-App und die Android-App (Smartphone) implementieren sowohl der Fachdienst als auch der Identity Provider kein Rate Limiting. Das bedeutet, dass beliebig viele Anfragen an den Server geschickt werden können. PWC zufolge kann dies zu einer Überlastung des Servers führen und erleichtert es einem Hacker, andere Angriffe durchzuführen. Für die iOS-App rät PWC die Anzahl der Anfragen pro IP-Adresse und Zeiteinheit zu begrenzen. Für die Android-App „sollte zu jedem Zeitpunkt ein verschlüsselter Kommunikationskanal genutzt werden“. Ob die gematik diese Lücken schließen kann und will, bleibt abzuwarten. Die Möglichkeit des Abfotografierens sensibler Patientendaten bleibt trotzdem bestehen. Wie will man verhindern, dass eine Aufnahme vom Handy gemacht wird?

68645456842621684262468426256864546 6864547 6842628
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare