Abruf von E-Rezept: SMS-Code bei Cardlink soll Missbrauch verhindern
Beim Cardlink-Verfahren sollen Versicherte Online-Apotheke aus der Ferne nutzen, um ihr E-Rezept einzulösen. Was es dabei mit dem SMS-Code auf sich hat.
(Bild: nimito/Shutterstock.com)
Mit dem Cardlink-Verfahren, das in den nächsten Wochen kommen soll, erhoffen sich Online-Apotheken Zugang zum E-Rezept. Auf diese Weise können Versicherte beispielsweise entfernte Dienste, wie eine Online-Apotheke nutzen, um etwa ihr E-Rezept einzulösen. Versender hatten diese Lösung für das E-Rezept gefordert, da Versicherte aktuell ein Foto des E-Rezept-Ausdrucks an die Online-Apotheke schicken müssen.
Diskutiert wurde bei diesem Verfahren, dass neben der elektronischen Gesundheitskarte, die an das Smartphone gehalten wird, ein SMS-Code zum Einsatz kommt. Zumindest als zweiter Faktor wurde dieser von Sparkassen vor Jahren beerdigt.
Cardlink nicht als zweiter Faktor gedacht
Anders als bei den Banken kommt die SMS beim Cardlink-Verfahren jedoch nicht als zweiter Faktor zum Einsatz, dennoch bestätigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber heise online, dass das Verfahren nur vorübergehend gelten solle. Das BSI hat der Gematik – die die finalen Spezifikationen für Cardlink für das erste Quartal verspricht – empfohlen, "den Einsatz nur übergangsweise bis zur flächendeckenden Ausrollung der Gesundheits-ID in Betracht zu ziehen", heißt es in der Antwort eines BSI-Sprechers.
"Die SMS bei Cardlink ist nicht als zweiter Faktor gedacht, sondern erhöht das Entdeckungsrisiko ganz im Sinne der Gelegenheitstheorie zur negativen Generalprävention. Die Zugriffe werden entsprechend umfangreich protokolliert. Im direkten Vergleich zum analogen Einlöseweg durch Stecken der Gesundheitskarte vor Ort kann ein missbräuchlicher Abruf von E-Rezepten besser nachvollzogen werden", erklärt Martin Tschirsich.
Zwar wird das Konzept für Cardlink durch die Gematik spezifiziert, allerdings sind die "anwendungsbezogenen Anteile", beispielsweise das Einlösen des E-Rezepts mittels Cardlink, "nicht direkt Teil der Regulierung", ebenso wenig wie die zugehörigen Empfehlungen in den Implementierungsleitfäden, so der Sprecher. Beides entspreche "nicht dem Stand der Technik".
GesundheitsID sicherer
Daher empfiehlt das BSI, das E-Rezept "in der durch das BSI bestätigten, gesetzlich garantierten Form mit elektronischer Gesundheitskarte und PIN-Eingabe zu nutzen", bis Versicherte von ihren Krankenkassen eine Gesundheits-ID erhalten haben.
Verdeutlicht, dass der SMS-Code nicht als zweiter Faktor gedacht ist und gestrichen, dass die PIN der elektronischen Gesundheitskarte analog zum SMS-Code ist. Einschätzung von Sicherheitsexperten Martin Tschirsich ergänzt.
(mack)