1 19 Table of Contents 21 108

Zahnärztliche Mitteilungen Nr. 14

zm 111, Nr. 14, 16.7.2021, (1318) U m zu klären, ob die von ihr entwickelte E-Rezept- App sicher ist, hat die gematik bei der Wirtschafts- prüfungsgesellschaft PricewaterhouseCoopers (PwC) ein externes Gutachten zur Prüfung der Anwen- dungen in Auftrag gegeben. Das Bundesamt für Sicherheit in der Informationstechnik (BS)I hat die Informations- sicherheit der App bestätigt und die Freigabe für den Test- betrieb zum 1. Juli erteilt. Allerdings weist das Amt darauf hin, „dass die Teilnehmer im Testbetrieb darüber infor- miert werden, dass die App noch nicht fertig ist und noch Restrisiken bestehen, die vom BSI im eingeschränkten Testbetrieb als nicht kritisch gesehen werden“. DIE PATIENTENDATEN KANN MAN KNACKEN Bei der Sicherheitsüberprüfung der App analysierte PwC die technisch implementierten Anforderungen hinsichtlich ihrer Wirksamkeit und bewertete deren Effektivität. Hierbei konnte kein Versagen festgestellt werden, heißt es im Gut- achten. Ebenso wenig wurden Sicherheitsmängel identifi- ziert, die den gesetzten Anforderungen gemäß Prüfgrund- lage widersprechen. Dennoch gibt PwC Empfehlungen zur Umsetzung, die aber nicht näher ausgeführt werden. Beim Durchlesen des veröffentlichten Gutachtens fällt außerdem auf, dass PwC auch Mängel benennt, die die Sicherheit der Patientendaten betreffen, hier die zwei gravierendsten: Beispiel Screenshots In der iOS-App (iPhone) ist es etwa möglich, Screenshots zu erstellen. So kann der Nutzer sensible Daten abfotogra- fieren und in der Fotobibliothek speichern, wo sie nicht mehr geschützt sind. PWC empfiehlt, diese Funktion zu deaktivieren oder aber die Nutzer explizit auf die Risiken hinzuweisen. Beispiel Rating-Limit Für die iOS-App und die Android-App (Smartphone) im- plementieren sowohl der Fachdienst als auch der Identity- Provider kein Rate Limiting. Das bedeutet, dass beliebig viele Anfragen an den Server geschickt werden können. PWC zufolge kann dies zu einer Überlastung des Servers führen und erleichtert es einem Hacker, andere Angriffe durchzuführen. Für die iOS-App rät PWC die Anzahl der Anfragen pro IP-Adresse und Zeiteinheit zu begrenzen. Für die Android-App „sollte zu jedem Zeitpunkt ein ver- schlüsselter Kommunikationskanal genutzt werden“. Ob die gematik diese Lücken schließen kann und will, bleibt abzuwarten. Die Möglichkeit des Abfotografierens sensibler Patientendaten bleibt trotzdem bestehen. Wie will man verhindern, dass eine Aufnahme vom Handy ge- macht wird? ak KASSENZAHNÄRZTLICHE BUNDESVEREINIGUNG DIE GEMATIK MUSS NACHARBEITEN! Die Zustimmung des Bundesamts für Sicherheit in der Informationspolitik (BSI) zum externen Sicherheitsgutachten der Prüfungsgesellschaft PwC zur E-Rezepte-App bewertet die Kassenzahnärztliche Bundesvereinigung (KZBV) als gutes Signal für das E-Rezept. Allerdings wird die Freigabe nur für die Testphase und unter dem Vorbehalt einer Information aller Testteilnehmer über Restrisiken erteilt. Das zeige, dass die gematik noch nacharbeiten muss, damit der verpflichtende, bundesweite Start des E-Rezepts wie geplant erfolgen kann. Die KZBV kritisiert, dass die gematik ihr das Sicherheitsgutachten vorab nicht zur Verfügung gestellt hat. Auf den ersten Blick bleibt das Gutachten der PwC damit hinter den Erwartungen zurück. Die Akzeptanz von identifizierten Mängeln sei teilweise nicht nachvollziehbar und das BSI komme hinsichtlich der Risiken zu einer anderen Einschätzung. Deshalb sei es gut, dass das BSI die Anforderungen nochmal geschärft habe: Das werde das Vertrauen in die E-Rezepte-App bei den Versicherten stärken.“ Im Vorfeld hatte sich die KZBV für eine systemische Sicherheits- prüfung beim E-Rezept eingesetzt und ein Sicherheitsgutachten über die E-Rezept-Anwendung gefordert, das dessen Sicherheit insgesamt bestätigt. Insofern begrüßt die KZBV, dass das BSI in seiner Stellungnahme zum Produktgutachten zur E-Rezept-App auch die Produktgutachten der beiden Fachdienste E-Rezept ein- bezieht, um daraus eine erste Bewertung der Gesamtsicherheit gemäß § 360 Abs. 10 SGB V zu treffen. GEMATIK-GUTACHTEN E-Rezept: Ist die App sicher? Zum Start des E-Rezepts und der dazugehörigen App am 1. Juli hat die gematik ein externes Gutachten veröffentlicht, das belegen soll, wie sicher und vertrauenswürdig die Anwendungen sind. Doch im Gutachten sind einige Sicherheitslücken benannt worden. Auch die KZBV sieht noch Nachbesserungsbedarf. Foto: AdobeStock_ Feodora 20 | POLITIK

RkJQdWJsaXNoZXIy MjMxMzg=