Das E-Rezept ist seit Anfang 2025 Pflicht, arbeitet aber nicht zuverlässig. Auf dem 39C3 sieht man deutlich, wie anfällig die Telematik ist.
Seit einem Jahr ist das E-Rezept kein Testlauf mehr, sondern de facto der Standard. Und genau deshalb kann man jeden Aussetzer nicht mehr einfach wegerklären. Das Rezept ist da, aber wie inzwischen oft üblich nicht abrufbar. Die Signatur hängt. Die Verbindung bricht weg. In der Apotheke zählt nicht, wieso es nicht geht und was das Problem ist, sondern ob die Telematik ordnungsgemäß funktioniert oder nicht. Das Ganze kommt nicht überraschend. Schon vor sieben Jahren haben die ersten Ärzte vor einer vorschnellen Einführung der neuen Technik eindringlich gewarnt.
Telematik macht wegen der Dateiverwaltung Probleme
Die Dateiverwaltung KIM verspricht, sensible Daten verschlüsselt zu übermitteln, damit Unbefugte sie nicht abfangen und einsehen können. Doch beim Thema Sicherheit hapert es gewaltig, wie der IT-Sicherheitsforscher Christoph Saatjohann kürzlich auf dem 39. Chaos Communication Congress in Hamburg vorführte.
Im Alltag entsteht durch die immer wieder aufkommenden Probleme mehr Arbeit. Man muss schauen, ob alle Systeme bei der Gematik online sind. Man muss prüfen, ob es Störungen im System gibt und ob man sein E-Rezept sofort einlösen könnte. Am besten gleich, noch bevor man zum Arzt geht, was natürlich nicht geht. Wenn man dringend ein Rezept braucht, muss man schließlich wissen, ob man sich auf das E-Rezept verlassen kann oder ob man die Arzthelferin lieber gleich um ein Papierrezept wie früher bittet. Denn zuverlässig sind die Systeme nicht. Selbst die Deutsche Bahn ist zuverlässiger, was das Zuspätkommen betrifft, als dass man sein E-Rezept problemlos erhält.
Und dann bleibt einem die einfache Tatsache im Hinterkopf, dass das ganze System nicht mit einem Ausfallschutz versehen ist. Apotheken und Ärzte müssen Ausfallschutz als Soft- und Hardwarepaket bei Drittanbietern dazukaufen oder mieten.
KIM soll einfach funktionieren und wird damit zur Blackbox
KIM ist eine Art der Datenverarbeitung, die im Alltag gar nicht wahrgenommen werden soll. Die Praxis schickt, die Gegenstelle empfängt – fertig. Alles, was nach Sicherheit aussieht, passiert unsichtbar in Modulen und Zertifikaten. Dadurch wird es zur Blackbox. Wenn dort etwas schiefläuft, wirkt es nicht wie ein Angriff, sondern wie ein ganz normales Technikproblem. Und das klicken die Mitarbeiterinnen und Mitarbeiter im Zweifel einfach weg.
Der Congress des CCC macht aus einem Fachthema ein öffentliches Problem. Was sonst in Randnotizen versickert wäre, ist diesmal zum Glück auf der großen Bühne gelandet. Auf dem 39C3 wurde KIM 1.5 vor Publikum und mit Mitschnitt öffentlich auseinandergenommen. Ab da ist es keine interne Diskussion mehr, die unsere verantwortlichen Politiker einfach wegdiskutieren können, sondern etwas, das sich jeder anschauen kann.
Eine E-Mail reicht und der Betrieb läuft im Kreis
Es geht nicht darum, festzustellen, dass es Schwachstellen gibt. Es geht um die Wirkung. Beim „KIM of Death“ genügt eine gezielt falsch formatierte Nachricht, um das Client-Modul beim Abruf zum Absturz zu bringen. Weil der Client beim Neustart genau diese Nachricht erneut abholt, läuft der Betrieb in einer Schleife. Das ist keine große Show und auch kein DDoS, sondern eine ganz banale Dienstverweigerung der Infrastruktur der Telematik. Solange man die blockierende Nachricht nicht aus dem System entfernt, hängt die Praxis.
Keine Zeit für sich wiederholende Ausfälle vorhanden
In der Arztpraxis hat man dafür keine Zeit. Da wird nicht erst sauber analysiert, da muss es wieder laufen. Genau deshalb ist so ein Fehler technisch gesehen peinlich, er zeugt von Inkompetenz und Ignoranz.
Die glattere Oberfläche und die geringere Kontrolle erinnern an das langersehnte Säubern. Große Dateien bis 500 MB, weniger Rückfragen von schlecht geschulten Nutzern und weniger technische Details, die überhaupt noch zu sehen sind. Das mag für den Alltag bequem sein. Für die Sicherheit ist es jedoch das Gegenteil. Wenn man weniger sieht, kann man weniger prüfen. Wenn etwas schiefgeht, stehst du vor einer Blackbox, die dir nur ein rätselhaftes „geht nicht“ antwortet.
Telematik wird durch neue KIM-Version auch nicht zuverlässiger
Dazu kommt der nächste Pflichtwechsel. KIM 1.0 wird ab dem 1. Januar 2026 nicht mehr unterstützt, da die Telematikinfrastruktur (TI) auf das ECC-Verfahren umstellt. Kryptografisch kann man das begründen. In der Fläche ist es jedoch wieder ein üblicherweise schlecht durchdachter Stichtag, der nicht nach einer sauberen Migration aussieht, sondern nach Stress im Betrieb. Gestern lief es noch, morgen geht irgendetwas nicht mehr und die Praxis muss herausfinden, welches Modul der Flaschenhals ist. Am Ende muss sie sich möglicherweise sogar Techniker ins Haus holen, um die Probleme zu beseitigen.
Rezept und KIM basieren auf derselben Logik, sind aber an zwei Stellen sichtbar
Beim E-Rezept sind Ausfälle und Umwege die Folge. Bei KIM merkt man es an der Blackbox im Hintergrund. Beides basiert auf derselben Telematik-Logik. Sie ist zentral, komplex und abhängig von Komponenten, die im Alltag niemand sauber nachvollziehen kann, weil sie einem die Kontrolle bewusst abnehmen.
Und genau deshalb wirkt diese Digitalisierung so oft wie eine Katastrophe. Nicht, weil Technik per se schlecht wäre, sondern weil man die völlig falsche Reihenfolge eingeschlagen hat. Man macht die Technik verpflichtend, bevor sie robust ist. Man vereinfacht die Abläufe, bevor das System durchschaubar ist. Und wenn die Probleme öffentlich werden, kommt die Aufklärung nicht aus dem System selbst, sondern von außen, von einer Bühne, weil man anders keine Veränderung bewirken kann.
