Mehr durch Zufall habe der Heidelberger IT-Experte Dr. Wolfram Stein, der eigentlich mit der Software für Schnellteststationen in Apotheken beschäftigt war, einen Blick auf die Datamatrix-Codes des E-Rezeptes geworfen, schreibt das Apotheken-News-Portal. Dieser Blick habe ihn misstrauisch gemacht.

Die Codes auf den E-Rezepten dienen als Schlüssel zu den eigentlichen Informationen eines E-Rezeptes auf dem zentralen Fachdienstserver innerhalb der Telematikinfrastruktur (TI). Sie werden vom Warenwirtschaftssystem der Apotheke eingelesen und geben Pfad und Berechtigung zum Abrufen der Verordnung wieder. 

Zu viele Informationen machen Codes fehleranfälliger

Einer der Kritikpunkte des IT-Experten: Die Codes enthalten zu viele Informationen. Ungefähr die Hälfte der Zeichen habe er als redundant erkannt. Das klinge zwar nach wenig, werde aber auf Fehlerkorrektur und Lesbarkeit Einfluss haben. 

Die Codes seien außerdem aus  drei unterschiedlichen Formaten gebaut. Das mache sie unnötig komplex und dadurch fehleranfällig. Angesichts der extrem großen Zahl an Rezepten, die täglich ausgestellt werden, steige damit die Gefahr von Problemen in der Anwendung.

Außerdem entspreche der Code grundsätzlich nicht den höchsten Sicherheitsstandards. Sie würden Einfallstore bieten, über die Hacker z.B. in Formularen statt der erfragten Informationen einen Befehl für die dahinterliegende Datenbank eingeben.

Der gematik sei das bekannt, auf dem Entwicklerportal „Github“ habe sie mögliche Angriffe mit fingierten Codes erläutert. Dass sich Hacker aber auf diese Beispielfälle beschränken, ist unwahrscheinlich.

Wie andere Kritiker stört sich auch Dr. Stein daran, dass das E-Rezept ohne Ende-zu-Ende-Verschlüsselung konzipiert ist – es also innerhalb einer vertrauenswürdigen Ausführungsumgebung in der TI ausgelesen werden kann. Bei Ende-zu-Ende-Verschlüsselung könnten nur Ausstellende, Patienten und Apotheker das Rezept lesen. „Als Bürger stört mich das gewaltig, ich will nicht, dass der Staat alle meine Rezepte hat.“ 

Außerdem gebe es noch ein Problem, nämlich dass die gematik auf einen alten Standard (FHIR) setze, der sich technisch wenig weiterentwickelt habe. Nach Dr. Steins Einschätzung, schreibt „Apotheke Adhoc“, gebe es somit zahlreiche Fehlerquellen, die sich erst in einer Massentestung zeigen dürften.  

Der IT-Security-Experte und Diplom-Informatiker Thomas Maus kann diese Kritikpunkte vollständig nachvollziehen. Er sagt: „Auch nach Jahren kritischer Befassung mit der TI werde ich immer wieder negativ überrascht. Die Kette der Pannen ist mittlerweile schon lang – aber die nostalgische Technologieauswahl und gefährlichen Implementierungsentscheidungen nehmen kein Ende.“ Und der Zufallskritiker Dr. Stein fragt sich, wie es sein kann, „dass die bei der gematik mit so viel Geld über so viele Jahre solche Ergebnisse wie diese Spezifikation des E-Rezepts produzieren.“