eRiXa: Erst kritisiert, dann zertifiziert

Die Vorkommnisse im November vergangenen Jahres erscheinen nicht nur für Stefan Odenbach selbst, sondern auch für Unbeteiligte äußerst merkwürdig: Odenbach, der mit seiner Firma PSO die E-Rezept-App „eRiXa“ entwickelt und anbietet, wird von einem Redakteur der Hannoveraner Tageszeitung „Neue Presse“ mit Testergebnissen konfrontiert, die der App Schwachstellen beim Datenschutz attestieren sollen. Der Artikel steht zu dem Zeitpunkt praktisch vor seiner Finalisierung – der Journalist will nur noch einige Statements übernehmen. Für Odenbach ergeben sich jedoch gleich mehrere Fragen: Seit wann interessiert sich die norddeutsche Lokalpresse für sein schwäbisches Unternehmen? Und vor allem: Weshalb liegen einer Zeitungsredaktion detaillierte Testergebnisse vor, die er bis dato selbst nicht kannte und die seiner E-Rezept-App „große Schwachstellen“ hinsichtlich des Datenschutzes nachweisen sollen? Nach wie vor ist ungeklärt, ob es sich hierbei um den gezielten Cyber-Angriff eines Mitbewerbers handelt oder um versuchte Rufschädigung. Denn fest steht: Solch ein Test gibt es nicht umsonst - fünfstellige Beträge sind für einmalige Aktionen in der Branche üblich. Doch zunächst muss Odenbach auf die Fragen des Pressevertreters antworten, der seine Story alsbald veröffentlichen möchte.

„eRiXa“ sei „eher abschreckend als Vorfreude erweckend“ – damit leitet der Zeitungsartikel ein, und mit diesem Vorwurf muss sich Odenbach damals auseinandersetzen. Vor allem geht es bei „eRiXa“ um Arzneimittelverordnungsdaten, die zwischen Ärzten und Patienten ausgetauscht werden. „eRiXa“ ermöglicht, dass Patienten ihre elektronischen Rezepte in Apotheken einlösen können – vor allem dann, wenn E-Rezepte im Laufe dieses Jahres flächendeckend eingeführt werden. Darüber hinaus bietet die App eine Chatfunktion an sowie den Transfer von Arztbriefen und Diagnosen. Insgesamt ist „eRiXa“ inzwischen so ausgereift, dass Patienten über die Plattform Ärzte kontaktieren und die Verordnungen anschließend direkt in eine Vor-Ort-Apotheke ihrer Wahl leiten können. Ermöglicht wird dies vor allem durch die seit Oktober bestehende Kooperation zwischen „eRiXa“ und apotheken.de, einem Tochterunternehmen des Deutschen Apothekerverlages.

Die App-Tester der Hannoveraner Firma MediaTest digital geben in ihrem Prüfbericht vom November jedoch an, dass sie beim Datenverkehr von Rezepten, E-Mails, Passwörtern, Namen und Metadaten mitlesen konnten. Ein zentraler Vorwurf aus dem Artikel, der sich inzwischen als falsch herausgestellt hat. Odenbach selbst liegen zum damaligen Zeitpunkt die Testergebnisse nicht vor, dafür zitiert ihm der Redakteur aus den entsprechenden Passagen. Die Datenschutzexperten halten es demnach für kritisch, dass „eRiXa“ den Microsoft Cloud-Dienst „Azure“ verwendet, weil der US-Konzern Microsoft angeblich Zugriff auf „einige Daten“ hätte. Gleichzeitig wird im Zeitungsartikel relativiert, dass sich das Rechenzentrum jedoch in der EU befinde, „wo der Datenschutz strikter als in den USA ist“. Tatsache ist jedoch, dass die eigentlichen Rezeptdaten auf Hochsicherheitsservern eines TÜV-zertifizierten Rechenzentrums bei Nürnberg liegen. Im Gespräch mit DAZ.online kündigt Odenbach zudem an, dass für das erste Quartal 2021 geplant ist, von "Azure" zum deutschen Rechenzentrum IONOS mit Standorten in Frankfurt und Berlin umzuziehen

MediaTest-Geschäftsführer Sebastian Wolters kommt im Zeitungsartikel zu Wort. Er moniert auch die fehlende Ende-zu-Ende-Verschlüsselung bei der App, obwohl ihm bekannt sein müsste, dass es die von Bundesgesundheitsminister Jens Spahn beauftragte Gematik war, die sich genau gegen diese Sicherheitstechnologie entschieden hat und stattdessen eine Punkt-zu-Punkt-Verschlüsselung bei der Übertragung von Rezeptdaten bevorzugt. Ein Umstand, der Odenbach dazu animierte, seine App auf Grundlage dieser Spezifikation weiterzuentwickeln.