Ulrich Kelber
Cyb3rrunn3r@ulrichkelber @bsi @bfdi und wieviele ECHTE Experten sind da drin?? 🤔
Edit: Und kann man deren Expertise bitte vom CCC überprüfen lassen???
DAS ist FÜR MICH die einzige Instanz, deren Meinung ich gelten lassen würde.
@cyb3rrunn3r @bsi @bfdi Da bin ich natürlich Partei. Aber im Toot war ja schon zu lesen, dass wir(!) damals die Sicherheitslücke gesehen haben
Crazy-to-Bike@cyb3rrunn3r @ulrichkelber @bsi @bfdi
Kurz und bündig: Keinerlei #Expertise, dafür um so mehr #Lobbyismus. 🤷🤦🤡🤮🤮🤮
Deshalb wurden die Gremien mit Expertise ja abgesägt 😉
Kurz und bündig: Keinerlei #Expertise, dafür um so mehr #Lobbyismus. 🤷🤦🤡🤮🤮🤮
Deshalb wurden die Gremien mit Expertise ja abgesägt 😉
Frank@cyb3rrunn3r @ulrichkelber @bsi @bfdi
Der CCC würde das nicht tun. Er bescheinigt prinzipiell keine Fehlerfreiheit, er sucht & kommuniziert gefundene Fehler.
Er wäre auch gar nicht in einer demokratisch legitimierten Position für politische Entscheidungen.
@derderwish @ulrichkelber @bsi @bfdi Ging mir auch hauptsächlich um die AHNUNG (in Sachen IT-Sicherheit ☝️), welche der CCC mitbringen würde.
@cyb3rrunn3r @ulrichkelber @bsi @bfdi
True. Aber es geht bei der großen Frage um mehr als nur die Technik.
Und selbst wenn wir das mal ausklammern, ist der CCC mit seiner Arbeit auf Basis von Freiwilligen nicht wirklich für eine kontinuierliche Betreuung davon geeignet.
Aber es wäre für das Gremium & die entwickelnden Firmen ratsam so zu arbeiten, dass der CCC nicht von außen meckern kann. Und das idealerweise durch Qualität statt Geheimniskrämerei. 🫠
@cyb3rrunn3r @ulrichkelber @bsi @bfdi
Also als externe zivilgesellschaftliche Kontrollinstanz und in der Rolle des "Gewissens" macht sich der CCC meistens besser. 🙃
Also als externe zivilgesellschaftliche Kontrollinstanz und in der Rolle des "Gewissens" macht sich der CCC meistens besser. 🙃
Bendo 
@ulrichkelber Geht es um das hier? https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/12_E-Rezept.html
Ich kann zu der folgenden Gesetzesänderung grad keine Presseberichterstattung finden, vielleicht suche ich aber auch nicht nach den korrekten Stichwörtern...
BfDI - Pressemitteilungen - Abruf des E-Rezepts per eGK? Aber sicher!
Der BfDI, Prof. Ulrich Kelber, erteilt der unsicheren Feature-Spezifikationsvariante „Abruf der E-Rezepte in der Apotheke nach Autorisierung“ kein Einvernehmen. Die geplante Schnittstelle ist nicht nach dem Stand der Technik abgesichert und verstößt damit gegen die DSGVO. Er schlägt eine sichere, für die Versicherten, Ärzte und Apotheker vollkommen funktionsgleiche Alternative vor, bei der im Hintergrund andere Verfahren genutzt werden.
wall-e / Daniel@wall_e @ulrichkelber @bsi @bfdi die meinte ich ausdrücklich nicht - gemeint waren schon eher diejenigen, die völlig kenntnisfrei vor sich hin reagieren und hoffen, dass yolo erfolgreich ist.
benny
Cyberhero 🇩🇪
Andreas Tengicki
Lord Siegelbewahrer@ulrichkelber @bsi @bfdi Die Experten sind vom Ministerium für Wahrheit.
- Grüße von Orwell.
Ortwin PinkeEs fehlte in meine Augen schon immer ein Eingang der Expertise unabhängiger Gruppen, wie beispielsweise dem CCC.
Leider sind zu viele Entscheidungen politisch oder gar persönlich (Leuchtturmprojekt) motiviert.
So hätte man eine ePA genauso gut auch schrittweise (auf-)bauen können, mit dem Blick auf Datenschutz und ePrivacy, und diese dann schrittweise ausbauen.
Doch man will immer gleich alles, am Besten jetzt und sofort, und Kritik wird einfach weggeschoben.
Ich frage mich derzeit, inwieweit uns ein Manager vom MediaMarkt da weiter helfen will und soll? 🤔
JarMiL
Silent.Tom@oldperl @ulrichkelber @bsi @bfdi und vor Allem muss es immer was Eigenes sein und mit Goldkante. Wir sind doch nicht das einzige Land, welches ein eRezept oder eine ePa einführen, oder?
Christoph Schnegg@oldperl
Der ePA kannste viel vorwerfen, aber "immer gleich alles" bestimmt nicht. Die bauen seit 23 Jahren daran rum und es ist trotzdem nur Krampf.
(Und wird wegen des zusätzlichen Arbeitsaufwands für Ärzt:innen zu einer Verschlechterung (!) der medizinischen Versorgung führen, weil ärztliche Zeit in die ePA statt in Pat.-Kontakt gehen wird)
@ulrichkelber @bsi @bfdi
@ch_schnegg
Ich werfe der ePA garnichts vor, denn es liegt nicht an der Software, sondern an den Menschen, die sie planen und umsetzen.
T-Rex 🦖🦔🐲 
@ulrichkelber @bsi @bfdi
Ich vermute mal, dass dieses "Expertengremium" aus lauter Fachleuten besteht, die IT schreiben können, aber weder Ahnung von Softwareplanung, Softwareentwicklung, Softwaretesting haben, aber glauben die Sicherheit von Software beurteilen zu können.
Um dei Sichereit von Software zu beurteilen, muss man den Code analysieren können und entsprechende zu dokumentierende Schreibtischtests daran durchführen.
Ich vermute mal, dass dieses "Expertengremium" aus lauter Fachleuten besteht, die IT schreiben können, aber weder Ahnung von Softwareplanung, Softwareentwicklung, Softwaretesting haben, aber glauben die Sicherheit von Software beurteilen zu können.
Um dei Sichereit von Software zu beurteilen, muss man den Code analysieren können und entsprechende zu dokumentierende Schreibtischtests daran durchführen.
facebita@ulrichkelber Schön und gut. Aber wann fangen wir™ mal endlich an, *Lösungen* zu propagieren, anstatt immer nur besserzuwissen, dass nicht funkioniert, was "die anderen"™ machen? Deutschland und Europa ist super gut darin, Grenzen zu erfinden in Welten, die andere entecken. @bsi @bfdi
Peter KönigGerade Deutschland hat mit der Corona Warn App #CWA prozesstechnisch einen Goldstandard entwickelt.
Vergleicht man das Ergebnis von CWA und ePA sowohl technisch als bzgl. des Vertrauens der Bevölkerung, dann wird erkennbar, dass die #ePA wissentlich in die Grütze gefahren wurde:
Wir hatten eine geeignete Blaupause! Mir scheint aber, dass es einflussreiche Kreise gibt, die auch aus einer Fehlentwicklung (dann vielleicht sogar mehr) Profit schlagen können ..
@peter_koenig Aber niemand interessiert sich für den Goldstandard. Das ist das Problem! Die Leute lästern über den Überwachungsstaat. Aber sie tun das auf Tiktok, Meta, Telegram. – Kritik als Ausdruck von Bequemlichkeit. @ulrichkelber @bsi @bfdi
skellig@facebita @peter_koenig @ulrichkelber @bsi @bfdi
"Kritik als Ausdruck von Bequemlichkeit." der Kommentar ist komplett daneben. Vielleicht schaust du dir die Kritik mal genauer an, da gibt es sehr wohl Verbesserungsvorschläge, und das schon in einem sehr frühen Stadium der ePA-Planung. Mal davon abgesehen, dass ich von den Verantwortlichen erwarten würde dass sie die ePA gleich sicher entwerfen würden.
"Kritik als Ausdruck von Bequemlichkeit." der Kommentar ist komplett daneben. Vielleicht schaust du dir die Kritik mal genauer an, da gibt es sehr wohl Verbesserungsvorschläge, und das schon in einem sehr frühen Stadium der ePA-Planung. Mal davon abgesehen, dass ich von den Verantwortlichen erwarten würde dass sie die ePA gleich sicher entwerfen würden.
@skellig Ich bin ja in der Sache vollkommen auf Deiner Linie. Ich mache ja seit Jahren "in Datenschutz". Nur: Es interessiert de facto keine Sau. "Hauptsache bequem und man kann meckern, nein, sich empören!" scheint das Motto zu sein. @peter_koenig @ulrichkelber @bsi @bfdi
Plan23@peter_koenig @facebita @ulrichkelber @bsi @bfdi Das erinnert mich an einem Podcast, wo eine vom Corona-Warn-App Team bemängelt hat, warum nicht schon viel früher bei der CWA das Feature eingebunden wurde das man mit einem QR Code in einem Restaurants Einchecken kann. Wie es schon lange bei der Luca-App der Fall war. Sie kam zum Schluss dass das so Politische gewollt war, und man deswegen das Feature verzögert implementiert.
@peter_koenig @facebita @ulrichkelber @bsi @bfdi Und über die Diskussion der ePa und ihren Sicherheitslücken fällt mir ein Beitrag von Focus Online ein da heißt es...
Während viele Bundesländer trotz zuletzt bekannt gewordener Sicherheitsprobleme weiterhin Luca als Kontaktnachverfolgungs-App in der Corona-Krise verwenden wollen [...]
genofire@ulrichkelber @facebita @bsi @bfdi und diese Ideen werden schon beim Vorgängermodell der heutigen Patientenakte vom CCC Thematisiert.
Aus meiner Sicht, gibt es keine Grenzen, sondern nur Unwillen sich mit IT-Sicherheit (und Datenschutz) auseinanderzusetzen. Wahrscheinlich weil es die Großen US-Datenkraken vormachen (zur Gewinn Maximierung) und so in vielen das Bewusstsein haben, das man selbst Datenreichtum ansammeln muss (um es weiter zu verkaufen):
https://www.heise.de/news/Lauterbach-zu-Gesundheitsdaten-Google-Meta-und-OpenAI-melden-Interesse-an-10179936.html
Es ist wirklich traurig, wenn eine Regierung auch so Denkt (und dafür Möglichkeit schaft).
Aus meiner Sicht, gibt es keine Grenzen, sondern nur Unwillen sich mit IT-Sicherheit (und Datenschutz) auseinanderzusetzen. Wahrscheinlich weil es die Großen US-Datenkraken vormachen (zur Gewinn Maximierung) und so in vielen das Bewusstsein haben, das man selbst Datenreichtum ansammeln muss (um es weiter zu verkaufen):
https://www.heise.de/news/Lauterbach-zu-Gesundheitsdaten-Google-Meta-und-OpenAI-melden-Interesse-an-10179936.html
Es ist wirklich traurig, wenn eine Regierung auch so Denkt (und dafür Möglichkeit schaft).
Kirsten Bock💫Gesetze können geändert werden. Echter Grundrechtsschutz wird hart codiert. Es ist immer eine Systementscheidung.
Flexi Bell 
Joar, ist ja immer so.
Als rauskam, dass die Geheimdienste alles und jeden verbotenerweise überwachen, war die Reaktion darauf, dass es ihnen erlaubt wurde.
(Ich glaube, man findet sehr viele weitere Beispiele.)
Böse Menschen sprechen deshalb auch von #Demokratie -Simulation.
Ryek DarkenerIch habe irgendwo einmal gelesen, dass sich geltendes Recht an geltende Randbedingungen (zum Beispiel physikalísche Tatsachen) zu halten hat. Und dass – falls nicht – Verfassungsklagen gute Aussicht auf Erfolg haben. Das ist ja aktuell sowieso der Trend: Verfassungsklagen wegen magischer Politikvorstellungen.
Jetzt müssen wir nur noch auf eine Regierung warten, die die Urteile auch umsetzt.
Sapere AudeTja, man kennt ja die Berufsbezeichnung "Eggspädde" vornehmlich aus den gängigen Talk-Formaten.
Bestimmt kann man diesen Abschluss an irgendeiner windigen Privatuni erwerben. 🦧
Tobias Denkinger@textbook
"Bestimmt kann man diesen Abschluss an irgendeiner windigen Privatuni erwerben."
Schön wär's. Aktuell ist es noch viel schlimmer: jeder kann sich Experte nennen. An einer windigen Privatuni gäbe es wenigstens irgendwelche Standards.
@ulrichkelber @bsi @bfdi @carl
@ulrichkelber @bsi @bfdi so ein Zufall, ich bin Experte. Wo kann ich mich da melden und sagen, daß es nix taugt.
Lasse Gismo - 🇮🇱🇺🇦🇸🇩
M Schommer@ulrichkelber
Organisierte Verantwortungslosigkeit, Level: Bundesregierung.
Filou 🍀☮️
Kevin Karhan 
@ulrichkelber @bfdi allein das ist falsch!
Ich mag' zwar das @bsi / #BSI ständig.kritisieren, aber besser die machen ne fachlich fundierte Entscheidung als irgendwelche #Internetausdrucker und #Cyberfaschisten samt #Polizeistaat-Fans der #CDU / #CSU…
Sunny2 | 🖤🕯#Natenom🚴🏻🐘
candy in the wind@ulrichkelber @bsi @bfdi hängt die Vergütung der Experten evtl. davon ab, dass sie bestimmte Gefahren nicht verstehen?
DD0UL ✅@ulrichkelber @bsi @bfdi analog bei der Urheberrechtsabgabe. Nachdem ein Gericht feststellte, dass es keine Rechstsgrundlage gibt, nach der die Verlage 50% der Gelder bekommen sollen wurde das Gesetz schnell geändert.
Lardier@ulrichkelber @bsi @bfdi
Ende 2027 tritt der Cyber Resilience Act (#CRA) in Kraft. Bei uns in der Firma laufen die Vorbereitungen schon auf Hochtouren und die sind sehr aufwändig. Dabei müssen wir nur Industriekomponenten sicher betreiben und Geräteeinstellungen vor unbefugten Zugriff schützen.
Fällt die #ePA bzw. die involvierte Infrastruktur auch unter den CRA? Dann würden verschiedene Entscheidungsträger rechtlich belangbar werden.
Ende 2027 tritt der Cyber Resilience Act (#CRA) in Kraft. Bei uns in der Firma laufen die Vorbereitungen schon auf Hochtouren und die sind sehr aufwändig. Dabei müssen wir nur Industriekomponenten sicher betreiben und Geräteeinstellungen vor unbefugten Zugriff schützen.
Fällt die #ePA bzw. die involvierte Infrastruktur auch unter den CRA? Dann würden verschiedene Entscheidungsträger rechtlich belangbar werden.