Zweifel an Card-Link-Spezifikation |
 |  | Alexander Müller |
 |
07.06.2024 15:32 Uhr |
Im laufenden Zulassungsverfahren hat sich ein massives Problem mit der Card-Link-Spezifikation gezeigt. / Foto: I-Viewfinder
Die Versender hatten bei der Einführung des neuen Wegs zum Einlösen von E-Rezepten einen Vorsprung. Schließlich hatten sie die technische Vorlage selbst geschrieben. So konnte Doc Morris schon Anfang April die Zulassung für die eigene Anwendung erhalten, Konkurrenz Redcare folgte wenig später.
Die Vernetzung tausender Vor-Ort-Apotheken mit verschiedenen Systemen ist ungleich komplizierter. Die Anbieter tauschen sich daher regelmäßig über die Herausforderungen aus, auch Vertreter der Gematik nehmen an diesen Runden teil.
Einer der Protagonisten ist Detlef Hühnlein, Geschäftsführer der ecsec GmbH. Seine »epotheke« ist ein Card-Link-Dienst gemäß der Spezifikation der Gematik. Zudem bietet seine Firma ein »Software Development Kit« (SDK) zur einfachen Integration einer eigenen Apotheken-App. Damit sollen die Apotheken die Plattform-Problematik umgehen können und als einzelner Anbieter nach außen auftreten.
Doch im laufenden Zulassungsverfahren dieser und anderer Lösungen wurde ein massives Problem mit der Spezifikation identifiziert. »Auf Basis dieser Spezifikation ist es nicht möglich, ein funktionierendes und robustes System zu bauen«, so Hühnlein gegenüber der PZ. Ein Teil der API-Spezifikation sei schlicht technisch kaputt.
Es seien in der Vorlage der Gematik »erkennbar handwerkliche Fehler«, etwa sich ausschließende Schemata, die aber alle erfüllt werden müssten. Wie konnte es dazu kommen? »Entweder die Gematik und die Sicherheitsgutachter haben es nicht gemerkt oder es wurde bewusst ignoriert«, so Hühnlein. Beides wäre im Grunde ein Skandal.
Denn Hühnlein zufolge betrifft das Problem möglicherweise auch die bislang erteilten Zulassungen. »Auf die Schemavalidierung eingehender Nachrichten zu verzichten, ist bekanntlich keine gute Idee. Das kann ein Sicherheitsproblem werden.« Wenn bei der Implementierung auf die Schemavalidierung verzichtet wurde, hätten es Angreifer jedenfalls sehr viel leichter, einen Fehler im System zu produzieren und für weitergehende Angriffsvektoren zu nutzen.
Falls die bisherigen Hersteller aber vom Gematik-Schema abgewichen sind, hätten sie gemäß der Anforderung A_25160 eine Referenzimplementierung bereitstellen müssen, welche zwischen der herstellerspezifischen Schnittstelle und der Gematik-Schnittstelle vermittelt. Es ist nicht bekannt, welcher der beiden gleichermaßen unglücklichen Pfade bei den Zulassungen der Versender beschritten wurde, oder ob die Problematik den Sicherheitsgutachtern und der Gematik bei den Zulassungstests vielleicht gar nicht aufgefallen ist.
Für Hühnlein und seine Mitstreiter ist damit ein Punkt erreicht, an dem die Gematik sich nicht mehr wegducken könne. »Vielmehr muss jetzt sehr bald eine korrigierte Spezifikation von der Gematik veröffentlicht werden, damit die laufenden Zulassungsprozesse für die Vor-Ort-Apotheken nicht noch weiter verzögert werden«, fordert er.
Darüber hinaus müssten die bereits abgeschlossenen Zulassungsprozesse für die Versender überprüft und möglicherweise ergänzt oder neu aufgesetzt werden – unter Umständen müssten dort existierende Schwachstellen in den laufenden Card-Link-Diensten behoben oder gar erteilte Zulassungen wieder entzogen werden. Ob praktisch ausnutzbare Schwachstellen existieren und welche weiteren Maßnahmen notwendig sind, muss zeitnah von den Anbietern und der Gematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik geklärt werden.
