CardLink: Experte warnt vor Sicherheitslücken Laura Schulz, 08.06.2024 08:15 Uhr
Im besten Fall funktionieren die digitalisierten Systeme im Gesundheitswesen interoperabel, also ohne Hürden in den Schnittstellen für die verschiedenen Anbieter. Dass das bei den von der Gematik vorgegebenen Spezifikationen bezüglich CardLink nicht unbedingt der Fall ist, brachte Branchenexperte Dr. Detlef Hühnlein bereits ein. Der Chef der IT-Firma Ecsec arbeitet mit seinem Projekt Epotheke bereits an einer Branchenlösung für die Apotheken vor Ort und wartet selbst noch auf seine CardLink-Zulassung durch die Gematik.
Die erste CardLink-Zulassung wurde bekanntermaßen an DocMorris vergeben, anschließend an die Firma eHealth Experts, die ihre Lösung wiederum an Shop Apotheke verkauft hat. Mit im Spiel sind noch Hühnlein, der bereits für die App-Lösung von Maxmo-Apotheker Oliver Dienst im Boot ist, und das Unternehmen Service Health ERx von Manuel Blechschmidt. Unter anderem Hühnlein und Blechschmidt haben sich in einer CardLink-Taskforce zusammengetan, um das Thema Interoperabilität ernsthaft anzugehen und von gemeinsamen Erfahrungen zu profitieren.
Wie die Arbeit der Taskforce in Zusammenarbeit mit anderen Playern, aber auch der Gematik, ergab, zeigt die Spezifikation, die die Grundlage für alle CardLink-Lösungen am Markt bildet, erhebliche Lücken. Hühnlein spricht hier von „substanziellen Spezifikationslücken“ bei einer Schnittstelle. Diese müssten durch die CardLink-Hersteller geschlossen werden, „um einen halbwegs spezifikationsähnlichen Ablauf zu ermöglichen“. Am Rande des E-Rezept-Summits sprach Hühnlein bereits die aus seiner Sicht fehlerhafte und unvollständige Arbeit der Gematik-Expert:innen im Rahmen des auf die Schnelle in die Wege geleiteten Verfahrens an.
Demzufolge sei es nun an den Herstellern, die Fehler der Gematik auszubügeln: „Es ist offensichtlich, dass dies ohne weitere Abstimmungen unter den Herstellern die Interoperabilität beim eHealth-CardLink-Verfahren wirkungsvoll verhindern wird, so dass auch keine diskriminierungsfreie Anbindung im Sinne von § 360 (16) Satz 2 Nr. 4 SGB V möglich wäre.“
Unbrauchbar und widersprüchlich
Doch mit dieser offenbar unmöglich zu erfüllenden Prämisse sei es nicht getan: Die CardLink-Spezifikation sei noch „an vielen Stellen technisch verbesserungswürdig“ und „leider technisch unbrauchbar“, „da widersprüchliche und somit nicht erfüllbare“ Spezifikationen enthalten seien. Diese Unzulänglichkeiten könnten auch zu „zu potenziellen Sicherheitsproblemen“ führen, so Hühnlein, da die Hersteller zu viele Hürden umgehen müssten.
„Vor diesem Hintergrund ist nun aus meiner Sicht der Zeitpunkt gekommen, dass sich die Gematik hier nicht weiter ‚wegduckt‘, sondern hier Ihre gesetzlich verankerte Aufgabe wahrnimmt, um die eHealth-CardLink-Spezifikation im gewohnt konstruktiven Dialog mit den Herstellern umgehend zu korrigieren, möglicherweise zu ergänzen und sehr zeitnah im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer neuen Version zu veröffentlichen“, so Hühnlein. Innerhalb der Taskforce werde nun eine korrigierte Fassung entwickelt.