Sehe gerade die Bundespressekonferenz.
Ich würde das mal als eine Niederlage von Karl Lauterbach bezeichnen. Wenn du deine großen Worte erst mit "Wir fixen da noch rum, bevor das live geht" einleiten musst, dann ist das nicht "die neue Epoche" von der du noch philosophierst. #ePA
Vieles von dem, was Lauterbach erzählt ist Bullshit. Du kannst nicht nur nach ePA diagnostizieren, weil du immer tagesaktuell diagnostizieren musst, weil es immer um die Tagesform geht.
Nicht um die Aktenlage. Was ist denn das für eine Vorstellung.
"Die Sicherheit der ePA für alle hat für uns oberste Priorität"
Vergesst das. Lauterbach hat seit Ende Dezember nicht mehr mit uns gesprochen. Kein Kontakt mit "dem CCC" geschweige denn mit mir.
Ich bin nicht Teil des CCC, also fehlen mindestens meine Probleme. Versuch dich nicht mit Federn zu schmücken, die du nicht verstehst.
Das "nach vorne bringen" von Projekten geht am schnellsten, wenn du den Scheiß einfach gleich richtig machst.
Wenn du wiederholt Murks machst, wird das nicht besser, wenn du lange drüber redest, dass du jetzt endlich vorwärts kommen müsstest. Mach deinen Scheiß einfach richtig.
Wir haben keine Akte unter Hoheit der Patient(*innen). Vergesst das.
Es geht nicht um perfekte Produkte, es geht um technsiches Handwerk aus dem letzten Jahrhundert. Abgehangene Technik.
Ihr beschäftigt euch nicht mal ansatzweise mit dem, bei wem ihr euch genau bedanken sollt.
"Dem CCC" danken geht sehr weit an der Konstellation der Leute vorbei, die an dem Thema mitgewirkt haben. Die EUREN Job gemacht haben, die EURE Qualitätssicherung gemacht haben.
Die Pilotphase ist nicht für die Prüfung von Sicherheitsaspekten da. Du kannst eine ePA für Modellregionen nicht mit echten Daten mit Sicherheitsmängeln auf die Bevölkerung loslassen.
Ab dem ersten echten Datensatz muss das sicher sein. Nicht nachher.
Zugegeben: Das einzige, wo sie sich wirklich Mühe gegeben haben, war bei der Tatsache, dass Krankenkassen die Daten der ePA nicht einsehen können*
* ausgenommen Abrechungsdaten etc.
Aber ansonsten sind alle Vektoren quasi egal.
"Die Daten werden nie von Unternehmen ausgewertet"
Strohmann Argument. Die Fragestellung wird neutral bewertet. Ob da Big Tech dahinter steckt, ist egal. "Gemeinwohl"
"Wurden schon mal alle Arztpraxen befragt, ob sie schon mal was auf Kleinanzeigen verkauft haben"
Kudos an Miriam Dahlinger vom SZ Dossier.
"Wir screenen nicht Ebay nach Angeboten für Kartenlesegeräte durch"
Ja genau das haben wir gemacht, literally.
Das ist das Problem.
"Es ist richtig, dass für eine einzelne ePA nie eine 100 % ige Sicherheit gegeben werden kann"
(Karl Lauterbach)
Das ist vielleicht wichtig. Der Mißbrauch einer ePA ist schlimmer, als nur einer Praxis, weil sie patientenindividuell alle Daten ALLER Praxen im Zugriff hat. Nicht die einzelnen Daten einer Praxis.
Die Schuld an Sicherheitsproblemen für die gesamte ePA für alle werden nicht die tragen, die architektonische Probleme erzeugt haben, sie wird diffundiert auf die schwächsten Glieder der Kette. Am Ende wird jede einzelne Arztpraxis, deren IT leckt (was sie wird) "schuld" sein, wenn mehr als eine Akte abfließt. "Die ePA ist sicher", so heißt es ja.
Weiß nicht, was davon die Ärzteschaft hält.
Wie auch immer, das patriarchale Gehabe der Herren in der Bundespressekonferenz reflektiert das Gesundheitswesen nicht. Es spiegelt nicht die Breite der Bevölkerung wieder. Ich höre sehr viel Desinformation. Ich höre sehr viel IT-Inkompetenz.
Vertrauenswürdig ist das nicht. Es ist keine ePA für alle. Sorry.
Solange zumindest basale digitale Kompetenz nicht verpflichtend ist für Menschen, die mit Digitalisierung umgehen – vergleichbar mit Schulpflicht oder Führerscheinprüfung – wird alles in Deutschland zum Thema Digitalisierung so bleiben wie in den letzten 40 Jahren IT.
Wenn keiner was weiß, dann kann auch keinem was passieren. Kommt mir irgendwie bekannt vor.
@sabinegruetzmacher @nblr @StefanMuenz @bkastl
Wir reden über 25 Jahre alte Lücken wie SQL Injection, 20 Jahre abgekündigte Algorithmen wie MD5 und Anfängerfehler wie Counter als IDs. Und nicht im Bild erratbare Passwörter auf der Karte.
https://23.social/@thomasfricke/113725175187545598
Das wäre bei einem Scan oder einem Audit des Codes sofort aufgefallen.
Ich habe mal 200 SQL Injections an einem Nachmittag gefixt. 2007 oder so...
Attached: 1 image 25 years of SQL injection celebrated on stage by @[email protected] and Martin Tschirsich at #38c3 for the German #ePA
@StefanMuenz @sabinegruetzmacher @nblr @bkastl
Es gibt ja nicht mal eine brauchbare Bedrohungsanalyse. Wenn jemand einen Counter gefunden hat, ist es trivialst, den rauf und runterzuzählen. Das ist kein Webshop.
Das alles hätte gemacht werden müssen:
Disclaimer: dieser Teil der Sicherheitsarchitektur von #OpenDesk ist auf meinen Mist gewachsen. Deswegen dürfen in so betriebenen Umgebungen nicht nur Dokumente bis VsNFD sondern bis Geheim gespeichert werden.
@StefanMuenz point taken. Aber: wenn du jedes interview von Martin oder mir in der letzten Zeit verfolgen möchtest: Dort war nie die Rede von “alles stoppen, alle widersprechen”. Es war immer die Rede von einer Abwägung.
Kannste jetzt wegen einem Toot ignorieren, der einen spezifischen Kontext hat, aber hey 🤷♀️
@bkastl gnihihi. Ebay, das unterschätzte Hackertool. Wird Zeit, Ebay zu verbieten.
"Wir screenen nicht Ebay nach Angeboten für Biometriegeräte durch"
Its multimodal functionality, combined with its portability, security features, and ease of use, make it an indispensable tool for any operation that demands the highest level of identity verification and data security.
ePA - eklige Patientenakte.
Bianca Kastl
Richard
zucker & 🐢
Debora Weber-Wulff
Cyb3rrunn3r 
⭐️
🍀 Egghat НетBойне 🍀
~n
sp3ctre
lindesbs #FckAFD
Kevin Karhan 
Ryek Darkener
Peter Däubler
Paul J Wege
Martin
RedAlert (Michael)
Stefan Münz
Sabine Grützmacher -alt-
Thomas Fricke (he/his)
Martin Schröder 🇺🇳
Oliver Pfleiderer 🇬🇱
Gemini
David Weichert
kantorkel
mirabilos
Der Emil
C.Suthorn 
Siguza
skaphle
Moeveninsel
SuperIlu
CaptainMalu