Sicherheitsmängel bei E-Rezept-App »Erixa«

Rezept, E-Mail, Passwort sowie Name und Metadaten seien für sie einsehbar gewesen, berichten die Tester des Unternehmens Media Test digital auf ihrer Website. Zunächst hatte die Hannoversche »Neue Presse« von den Sicherheitslücken berichtet. Dass die App bisher keine Ende-zu-Ende-Verschlüsselung nutze, sei in Anbetracht der sensiblen Daten, die eine Rezept-App verarbeite, »nicht optimal«, schreiben die Datenschützer. Das Unternehmen Media Test digital sichert nach eigener Aussage weltweit betrieblich genutzte Smartphones und Tablets für Firmenkunden und prüft Apps professionell auf Datenschutz und -sicherheit.

Problematisch fanden die Prüfer demnach auch, dass die Cloud-basierte Anwendung in Teilen nicht den europäischen Datenschutzbestimmungen unterliege. Zur Speicherung der Daten werde der Cloud-Dienst »Azure« des US-Unternehmens Microsoft genutzt, dessen Rechenzentrum sich zwar in Deutschland befinde und damit den hierzulande geltenden, strengeren Datenschutzbestimmungen folgen müsse. Microsoft habe aber dennoch Zugriff und erhebe einige Daten, die damit den EU-Raum verlassen und weniger geschützt sind. Die Tester raten dazu, einen deutschen oder europäischen Cloud-Dienst für die Datenspeicherung und die Ende-zu-Ende-Verschlüsselung zu nutzen.

Als »höchst bedenklich« werteten die Tester, dass im Test Rezeptdaten beim Senden an eine Demo-Apotheke in einem E-Mail-Postfach des Anbieters landeten. Problematisch sei auch, dass sich die App in der Apple-Version die Berechtigung zum Zugriff auf das Mikrofon sichere, ohne dass dies für Anwendungen nötig wäre. Positiv hervorzuheben sei für die Apple-Version, dass diese keine Trackingdienste nutze, also keine Nutzerbewegungen im Internet verfolge. Die Android-Variante verwende solche Dienste allerdings durchaus.

Eine »weitere unschöne Auffälligkeit ist die fehlerhafte und offensichtlich nicht für die die Erixa-App vorgesehene Datenschutzerklärung«, kritisieren die Tester. So sei an einigen Stellen die Rede von »Arbeitszeugnissen« – also Themen, die mit der Übermittlung von E-Rezepten nichts zu tun haben. Die Tester werten dies als »irreführende Erwähnungen«, die wohl darauf zurückzuführen seien, dass der Hersteller sich bei anderen Produkten, die er gleichzeitig anbietet, damit beschäftige. »Hier besteht dringender Handlungsbedarf, um den Nutzern der App eine passende Datenschutzerklärung anzubieten«, heißt es.

»Erixa« wurde von einem Start-Up aus Oberschwaben entwickelt und soll den Dialog zwischen Arzt, Apotheke und Patient vereinfachen.  Mit der App können Ärzte schon jetzt Rezepte erstellen und an Patienten übermitteln. Diese können die Rezepte bei Online- oder lokalen Apotheken einlösen. »Erixa« ist nach Angaben des Entwicklers PSO Prima Smart Office werbefrei, plattformunabhängig, entspricht den Spezifikationen der Gematik und ist ohne vorherige Registrierung nutzbar.  Seit Kurzem kooperiert die Plattform mit dem Dienstleister apotheken.de. PSO-Gründer und -Geschäftsführer Stefan Odenbach kündigte in der »Neuen Presse« an, die Probleme sofort an einen externen Datenschutzbeauftragten weiterzuleiten und die »angesprochenen Punkte im Detail« zu analysieren.