E-Rezept: Einfallstor für Cyber-Kriminelle?

Die Apothekenlandschaft digitalisiert sich zunehmend: Gerade erst wurde securPharm eingeführt, da hält auch schon das E-Rezept Einzug. Es überrascht nicht wirklich, dass die fortschreitende Digitalisierung von neuen Risiken – insbesondere in Form von Internet- oder Cyber-Kriminalität – begleitet wird. Diese gilt längst als professionelles Geschäft, das international betrieben wird. "Cybercrime ist eines der Kriminalitätsphänomene, das sich besonders dynamisch verändert. Täter passen sich flexibel an technische und gesellschaftliche Entwicklungen an, agieren global und greifen dort an, wo es sich aus ihrer Sicht finanziell lohnt", warnt das Bundeskriminalamt (BKA) auf seiner Website. Tatsächlich wächst die Gefahr für Unternehmen, Opfer von Cyber-Angriffen durch hochprofessionelle, global vernetzt agierende Täter zu werden.

Davon betroffen sind auch Apotheken, alleine dadurch, dass sie Software-Lösungen nutzen, die Qualität von Medikamenten prüfen oder (zumindest bald) E-Rezepte bedienen. Leichtsinn und Laissez faire sind im Umgang mit moderner Technik also nicht angebracht – gerade auch weil Apotheken mit sensiblen Gesundheitsdaten umgehen. Geraten solche in die falschen Hände, müssen innerhalb von 72 Stunden die Behörden und potenziell betroffene Kunden informiert werden! Geschieht dies nicht, entscheidet die zuständige Staatsanwaltschaft, ob Ermittlungen aufgenommen werden müssen – gegen die Apotheke wohlgemerkt (!) wegen der Verletzung des Datenschutzes.

Nun soll hier keine Panik verbreitet werden: Apotheken werden kaum gezielt angegriffen. Im Jahr 2016 gab es einen aufsehenerregenden Fall in München, der sich aber letztlich – zumindest, was den materiellen Schaden anbetrifft – als harmlos entpuppte: Zur besten Wiesn-Zeit wurde eine Apotheke in der Münchner Innenstadt gehackt. Ziel des Angriffs war jedoch kein Datendiebstahl, sondern das TV-Programm im Schaufensterbereich. Der Angreifer änderte das Angebot von medizinischen Informationen auf pornografische Inhalte – sehr zur Belustigung etlicher Passanten. Die pikante Attacke verursachte allerdings Schäden in der IT und sorgte für bundesweite Aufmerksamkeit in den Medien, die von der Münchner "Porno-Apotheke" berichteten.

Solche zielgerichteten Attacken auf einzelne Apotheken sind freilich die Ausnahme. Von hoher Relevanz für Unternehmen aller Branchen und Größen – also auch Apotheken – sind hingegen breit gestreute Ransomware-Angriffe und zielgerichtete Angriffe auf große IT-Dienstleister. Hier besteht immer die Gefahr, dass deren Kunden durch einen Domino-Effekt ebenfalls gefährdet werden.

Was hilft gegen solche Angriffe? Zunächst gilt es, die gesamte Apotheken-Software stets auf dem aktuellen Stand zu halten. Das betrifft nicht nur Virenscanner und die Firewall, sondern auch alle anderen Programme. Zudem sollte man im Umgang mit der IT grundsätzlich Vorsicht walten lassen: E-Mails von unbekannten Absendern haben sich in der Vergangenheit schon des Öfteren als Angriffe herausgestellt.

Dass Kriminelle häufig aktuelle Entwicklungen nutzen, um ihr illegales Handwerk auszuüben, mussten Mitte 2021 viele Menschen in Frankreich feststellen: Bei einem Hacker-Angriff auf den öffentlichen Gesundheitsdienst wurden die Daten von sage und schreibe 1,4 Millionen Bürgern gestohlen (Quelle: Deutsche Presseagentur – dpa). Von dem Angriff betroffen waren überwiegend Menschen aus dem Großraum Paris, die auf das Corona-Virus getestet wurden. Die Attacke hatte auf einen Bereich abgezielt, in dem Labordaten zur Weitergabe an Krankenversicherungen und Gesundheitsbehörden zur Kontaktnachverfolgung abgespeichert wurden. Die Angreifer erbeuteten bei ihrer Attacke die Namen der Betroffenen, deren Krankenversicherungsnummern sowie Testergebnisse. Es wurde Strafanzeige erstattet.

Durch das E-Rezept, das möglichst bald flächendeckend eingeführt werden soll, werden die Angriffsflächen für Internet-Kriminelle grundsätzlich größer: Damit reicht der digitale Datenfluss dann von den Arztpraxen über die E-Rezept-Fachdienste und Apotheken bis hin zu den Rechenzentren und Krankenkassen. Zudem sollen künftig nicht nur apothekenpflichtige Medikamente mit einem E-Rezept erhältlich sein. Bis 2026, so die Planung, gilt das digitale Rezept für alle Rezept-Typen. Ein weiterer potenzieller Schwachpunkt ist die gematik-App, weil auch sie von Cyber-Kriminellen gehackt werden kann. Dass die Testphase offensichtlich nicht so läuft, wie es eigentlich geplant war und die Standesorganisationen deshalb schwerwiegende Bedenken gegen eine zügige Einführung äußern, unterstreicht, dass das E-Rezept in punkto Cyber-Sicherheit durchaus zur Achillesferse werden könnte.

Der Umgang mit der neuen Technik erfordert in Apotheken einiges an Vorbereitungen und zusätzlichen Vorsichtsmaßnahmen. Ganz grundsätzlich sollte eine stabile und leistungsstarke Internetverbindung vorhanden sein. Die Einrichtung einer redundanten Internetleitung, die mehr Sicherheit vor Ausfällen bietet, ist empfehlenswert. Vor dem Einstieg ins E-Rezept sollten Sie als Apothekenleiter/-inhaber unbedingt sicherstellen, dass Ihr Rezeptabrechner und Ihre Software "E-Rezept-ready" sind. Darüber hinaus braucht es natürlich einen Anschluss an die Telematik-Infrastruktur und mindestens einen elektronischen Heilberufsausweis (EHBA).

Neue Technik fördert immer auch Bedenken der Mitarbeiter ans Tageslicht. Diese können mit Testläufen entkräftet werden. Zudem lassen sich mithilfe von "Dummies" – ausgedruckten Tokens – im Rahmen von Tests Handlungsroutinen einüben, die einen fehlerfreien Umgang mit dem E-Rezept im Alltag trainieren.

Technische Innovationen verändern außerdem die Risikostruktur einer Apotheke. Deshalb ist anzuraten, im Zuge solcher Umstellungen auch Ihre Apotheken-Policen zu überprüfen. Möglicherweise sollten Haftpflicht und Werteschutz um Cyber-Komponenten ergänzt werden.

Welche Möglichkeiten bieten das E-Rezept und die gematik-App für Patienten und Apotheken, die durch die Digitalisierung der Verordnungen ja bekanntlich entlastet werden sollen?
Nachfolgend ein kurzer Abriss aus Sicht einer Apotheke, die am E-Rezept-Testlauf teilgenommen hat:

E-Rezepte können wie traditionelle Muster-16-Vordrucke entweder in Papierform in einer Apotheke vor Ort eingelöst werden, die Kunden können aber auch online auswählen, in welcher Offizin sie ihre Medikamente abholen möchten. Ebenfalls möglich ist die Auslieferung per Botendienst. Das ist vor allem für ältere Menschen, die nicht gut zu Fuß sind, eine spürbare Erleichterung. Ergänzt werden diese Möglichkeiten von einer Chat- und Messenger-Funktion für Anfragen rund um die Einreichung des Rezepts.

Dabei soll es aber nicht bleiben: In Zukunft sollen Rezepte auch für nahe Angehörige (Partner, Kinder, Eltern) empfangen und verwaltet werden können. Eine Weiterleitung an Freunde und Verwandte ist ebenfalls vorgesehen. Auch die Verfügbarkeit von Medikamenten soll grundsätzlich abgefragt werden können. Erleichtert werden soll zudem die Suche nach passenden lokalen Apotheken. Alle Services und Erklärungen werden mehrsprachig (englisch, türkisch, russisch, arabisch, polnisch) angeboten. Perspektivisch könnte die verlässliche, flächendeckende Arzneimittelversorgung durch Abholautomaten in Verbindung mit einem Kommissionierer nochmals smarter gestaltet werden – ein Service, der (noch) Zukunftsmusik ist und einiges an rechtlichem Feinschliff auch gegenüber Versandbetreibern bedarf.

Michael Jeinsen, Diplom-Politologe und -Pädagoge, zertifizierter Berater Heilwesen (IHK), IHK-Dozent für Maklerfortbildung, 12209 Berlin, E-Mail: berlin@die-apothekerhelfer.de