Reaktion der Gematik auf E-Rezept-App-Prüfung

Im Rahmen der App-Aktionswochen habe ich am 12. Oktober die E-Rezept-App der Gematik auf ihr Datensendeverhalten überprüft. Den Test gibt es hier: E-Rezept-App Gematik: SafetyNet-Checks und Tracking via Google Firebase Analytics.

Einen Tag später erfolgte die Reaktion der Gematik per E-Mail:

Guten Tag Herr Kuketz,

Ihr Blogeintrag vom 12. Oktober zur E-Rezept App hat zu einer Nachfrage von anderen Nutzern geführt. Ich möchte nur ungerne anderen Personen Informationen zu Ihrem Blog-Beitrag zukommen lassen, bevor Sie diese erhalten.

Zunächst zu Ihrem schlechten Benutzererlebnis, dem Problem beim Lesen der Gesundheitskarte: wir kennen Ihr Test-Setup nicht, aber ein Ansatz wären fehlende NFC Treiber in Lineage. Bei Interesse könnten wir Ihnen auch aktuelle Builds ohne Certificate-Pinning zukommen lassen.
Falls Sie oder andere interessierte Parteien Unterstützung möchten, um unsere App auf Herz und Nieren zu prüfen, können Sie sich jederzeit an app-feedback@gematik.de wenden. Sie finden unseren Sourcecode bei Interesse übrigens unter: https://github.com/gematik/.

Ihre weiteren Erkenntnisse aus Ihrem Blog möchte ich bei der Gelegenheit kurz kommentieren:

SafetyNet
Wir sind durch BSI TR-03161 „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ gehalten, u.a. die Geräteintegrität zu prüfen. Wir werden die Datenschutzhinweise entsprechend erweitern.

„Fehlende Gerätesicherung“
Diese ermitteln wir selbst lokal über KeyguardManager.isDeviceSecure (https://developer.android.com/reference/android/app/KeyguardManager).

Firebase Analytics
Diese Kommunikation findet durch das Google ML Kit statt. Diese Kommunikation ist ohne Anlass; wir nutzen das ML Kit für das Lesen des Data Matrix Codes. Warum das ML Kit überhaupt mit Firebase Analytics kommuniziert, ist uns unbekannt. Auf jeden Fall ist es nicht durch uns initiiert.
Wir verlegen die Instanziierung hinter eine Benutzerinformation und erweitern die Datenschutzbestimmungen.

Vielen Dank nochmals für Ihr kritisches Auge auf unsere Arbeit.

Beste Grüße aus Berlin

Marcel Basquitt
Product Owner E-Rezept App

Insgesamt werte ich das als positive Reaktion, die in dieser Art eher selten vorkommt. Auf die Nachfrage, ob ich die Reaktion/Antwort auf dem Blog veröffentlichen darf erhielt ich folgende E-Mail:

[…]
meine Antwort/Mail darf gerne veröffentlicht werden. Wir streben höchstmögliche Transparenz an. Nur so lässt sich Vertrauen schaffen.
[…]

Der Umgang mit Kritik ist also aus meiner Sicht bzw. in diesem Fall vorbildlich.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡