Kongress Archive - Tobis Bude

ePA - Widerspruch zum 15. Januar 2025 erforderlich

Grundsätzlich bin ich eigentlich offen dafür Prozesse zu digitalisieren und die Idee einer elektronische Patientenakte (ePA) finde ich auch weiterhin charmant.
Aber ich würde hier immer eine Abstufung machen.
1. Wird beispielsweise das lokale Rathaus aufgemacht, sind halt meine persönlichen Adressdaten, mein Familienstatus und vielleicht meine Gewerbeanmeldung oder auch mein Bußgeldstatus öffentlich. Na gut, das muss zwar nicht jeder wissen, aber das sind Daten die nicht ultrageheim sind.
2. Wird dagegen das Finanzamt um ihre Daten erleichtert wird es schon spannender. Dannn weiß man schon mehr über mich: Wem spende ich Geld, welche Immobilien besitze ich eventuell, was verdiene ich und welchen Beruf übe ich aus. Durchaus schon Daten, die man eher im engeren Kreis teilt und nicht an die große Glocke hängt.
3. Verliert dagegen die Krankenkasse mal meine Daten wird es schon deutlich blöder. Unter Umständen wissen sie oberflächlich meinen Krankenverlauf oder zumindest bei welchen Ärzten ich war. Da die am Ende ja die Behandlungen bezahlen. Schon mal deutlich kritischer, da man vielleicht auch im engeren Freundeskreis nicht alles miteinander teilt.
4. Wird allerdings nun eine elektronische Patientenakte von mir und allen anderen Bürgern in Deutschland erstellt und zentral gespeichert wird es nochmal deutlich gefährlicher. Wenn hier auch ein Arztbrief oder Behandlungsverläufe drinstehen ist das für meinen behandelnden Arzt durchaus sinnvoll, aber für die breite Öffentlichkeit definitiv nicht vorgesehen. Bestimmte Krankheitsbilder bespricht man vielleicht noch nicht mal mit der eigenen Familie (zumindest nicht sofort). Das wäre für mich also der Supergau.

Nun wird die ePA leider von der Gematik vorangetrieben und leider so stümperhaft, dass jede Firma sofort Insolvenz anmelden könnte wegen der ganzen Schadensersatzforderungen. Aber hier geht es um unser Gesundheitssystem. Das basiert auf Vertrauen und das Vertrauen sollte auch soweit gegeben sein, dass wirklich nur die berechtigten Personen (Patient, Behandler und von mir aus Krankenkasse) Zugriff auf die Patientendaten haben. Jetzt bin ich ja aktuell selbst in der Situation, dass ich mich mit dem Thema "Depression" herumschlagen muss. Grundsätzlich hätte ich die Idee der ePA cool gefunden. Einmal erzählen was ich habe und dann wird es aufgeschrieben. Dann kann der nächste es erstmal durchlesen und noch ergänzende Fragen stellen. So wird sich dann mit der Zeit eine umfangfreiche Akte bilden von mehreren Personen und ich als Patient muss nicht ständig wieder doch manche unangenehmen Dinge benennen. Gleichzeitig bin ich nun seit 20 Jahren Informatiker und habe schon einige Dinge gesehen, die kaputt gehen können. Da sind Viren und Trojaner das kleinere Übel. Wenn Daten abfließen wird es aber richtig kacke. Hier geht es nicht um Geschäftsdaten, welche die Konkurrenz nutzen kann, sondern um Gesundheitsdaten. Auch wenn ich aktuell mit dem Thema Depression relativ offen umgehe, wird es nicht jeder tun wollen. Im Zweifel wird es immer auch irgendwann mal negative Konsequenzen nach sich ziehen. Deshalb muss sowas Sensibles wie eine elektronische Patientenakte (ePA) unbedingt sicher betrieben werden können.
Aus diesem Grund hab ich mich dann die letzten Tage auch dafür entschlossen einen Widerspruch gegen die ePA bei meiner Krankenkasse zu beantragen. Als digitaler Nomade habe ich vor längerer Zeit mal ein Konto bei der AOK beantragt und neulich wieder aktiviert. Der Zugang ist immer noch sehr holprig, aber darüber hab ich dann meinen Widerspruch eingereicht. Das Widerspruch geht aber vermutlich auch auf anderem Wege (Fax, Brief, Besuch in der örtlichen Geschäftsstelle). Ihr solltet vermutlich einen Brief von der Krankenkasse bekommen haben.
Ich finde es ein Unding so etwas aufzuzwingen, in dem man bewusst widersprechen muss. Wenn es weniger kritisch wäre und weniger Sicherheitslücken hätte, wäre ein automatischer Opt-In sinnvoll. Aber bei den aktuellen Lücken ist es zu gefährlich.

Auf dem 38C3 gab es dazu natürlich auch einen Vortrag darüber. Ist recht spannend gemacht.

38C3 - Wir wissen wo dein Auto steht - Volksdaten von Volkswagen

Seit Jahren regen wir uns auf, wenn der Staat zuviele Daten über uns erhebt. Und dann sorgt ein Automobilhersteller dafür, dass er alle Daten mal erhebt und durch schlampige Implementierung wieder verliert. Ihr habt nichts zu verbergen? Ja ich auch nicht. Trotzdem finde ich die Auswertungen interessant, dass man nun weiß, dass auch der MAD oder BND solche Fahrzeuge fährt. Wenn man die Daten dann noch genauer hat, kann man ja wie gesagt auch Profil für ein einzelnes Fahrzeug erstellen. Hier hätte von vornherein gleich eine Funktion eingebaut werden müssen, dass die Geo Daten spätestens nach 24 Stunden wieder gelöscht werden. Dann kann man im Zweifel trotzdem noch den letzten Tag nachvollziehen, aber eben nicht mehr alles komplett.
Hoffentlich wird das ein paar Konsequenzen nach sich ziehen. Denn Autofahren sollte weiterhin einigermaßen anonym möglich sein. Sonst wirds blöd.

Rückblick zum 37C3

Letztes Jahr war vom 27.12. - 30.12.2023 wieder der alljährliche Chaos Communcation Congress. Nach Corona auch endlich wieder in einer realen Umgebung. Das hat einfach gefehlt. Auch wenn die IT-Nerds oft viel im Cyber Raum machen, vieles geht einfach nach wie vor gut im echten Leben besser. Bei einem Tschunk, beim Gespräch in einer Engelschicht oder bei einer echten Reaktion während einem Vortrag. Es gibt einige Vorträge, die erwähnenswert sind. Die Liste wird noch ausgefüllt:

Allerdings ist es auch immer wieder spannend beim Faxgeräteclub vorbei zu schauen. Leute, die in irgendeiner Form für die öffentliche Verwaltung arbeiten und dabei einen IT-Hintergrund haben. Während die letzten Treffen (auf dem Camp im Sommer) eher so ein grober Austausch war, ging es diesmal etwas mehr zur Sache. Sicher um die 50-80 Leute sind in einem Raum zusammengekommen und so hat man sich mal grob zusammengesetzt. Da waren ganz normale Admins da, dann aber auch Leute, die für Opencode arbeiten und offene Programme entwickeln. Wieder andere machen was OKLabs und entwickeln kleinere Karten mit öffentlichen Daten, die sie über die Informationsfreiheitsanfragen bekommen.

An einem Abend gab es mal einen kleinen Workshop wo man grob weitergesponnen hat, wie man die Verwaltung besser machen kann (aus IT Sicht). Oft entwickeln halt doch irgendwelche Leute ohne technischen Sachverstand Gesetze, die dann realitätsfern sind. Beispielsweise die Registermodernisierung. Eine zentrale Datenstelle mit allen Stammdaten von allen Bürgern wäre nicht gut. Wir hatten da vor 90 Jahren einen Österreicher, welche ganze Gruppen unserer damaligen Gesellschaft ausgelöscht hat. Hätte er damals schon die Datenbanken von heute gehabt, wäre das noch viel einfacher gewesen. Genau deshalb sind zentrale Datenbanken nicht erstrebenswert. Gleichzeitig haben wir eben auch heute schon im Meldewesen standortübergreifend die Möglichkeit Daten einzusehen. Das ist ja auch OK, da sich Bürger auch mal in einem anderen Wohnort anmelden.
Gleichzeitig ist es aber auch erstrebenswert, dass viele staatlichen Anträge nicht mehr umständlich per Papier beantragt werden müssen, sondern vieles digital läuft. Hier kommen wir dann aber auch wieder schnell in die Gegebenheiten, dass die IT-Infrastruktur plötzlich viele Lücken aufweisen kann. Wenn gleichzeitig, dann automatisiert Daten über Bürger von anderen Ämtern abgefragt werden können, wird das vermutlich nicht so leicht auffallen. Es ist also nicht so einfach. Da wir hier von Bürgerdaten (also auch die Daten von dir und mir) reden, müssen wir damit sehr sensibel umgehen.
Die Papierform hat hier definitiv noch den Vorteil, dass immer noch ein Mitarbeiter drüber schaut und zuviele Anfragen einfach länger dauern... Wir hatten eine Stunde angesetzt und eine Lösung war nicht zu erwarten. Aber es ist spannend, was für Fragen wir uns hier alle stellen müssen.
Praktischerweise ist es vermutlich am besten, wenn wir in allen Behörden und Verwaltungen die IT auf einen standardisierten Sicherheitslevel anheben. Dann ist die Grundlage geschaffen um auch mal vertrauliche Vorgänge vernünftig zu digitalisieren. Wenn dann eine einzelne Behörde mal gehackt wird, können keine Datendumps von anderen Behörden mehr abgezogen werden.

Das wird alles noch spannend und hoffen wir, dass die politische Lage die nächsten Jahre noch normal sein wird um solche Projekte angehen zu können. Wenn der braune Rotz (die AfD) weiter an Macht gewinnt, hat sich das Ganze eh erstmal erledigt.

Anbei ein paar Bilder vom 37C3 und aus Hamburg. An einem Nachmittag bin ich mal rausgegangen und bin an der Elbe entlang gelaufen.

Der 37C3 findet endlich wieder in Hamburg statt

Nach 3 Jahren Ausfall wegen Corona findet der 37C3 endlich wieder live und in Farbe im neu renovierten CCH in Hamburg statt. Ein paar Infos dazu gibts hier. Tickets gibt es noch nicht, werden aber wohl bald wieder verkauft.
Dazu wurden hier Dinge geschrieben.

Ich freu mich auf den Congress und schaue gespannt auf diese Zeit bis dahin.

Eindrücke vom Chaos Communication Camp 2023

Das alle 4 Jahre stattfindende Chaos Communication Camp war dieses Jahr bereits zum 3. Mal im alten Ziegeleipark in Mildenberg bei Zehdenick. Das Gelände ist wirklich genial. Es gibt eine alte Museumsbahn, die auch im regulären Museumsbetrieb verwendet wird und natürlich allerlei alte interessante Gemäuer die noch aus der Ziegelherstellung stammen. Aber ansonsten auch viel Freifläche, die aufgrund des Camps dann mit allerlei Zelten und Krams zugestellt war.
Ich war ja bereits 2019 das erste Mal mit Monkel und ein paar anderen Bekannten aus Calw und Stuttgart da und fand es einfach gigantisch. Klar die Musik ist nicht so mein Fall, meistens nur Electronic Gedöns. Aber beim Späti läuft meistens noch Punkrock aus der Konserve und ab und an gibt es sogar auch mal Live Bands auf der Bühne. Nachts ist aber auch besonders die vielen Lichtspiele wunderschön. Das Ganze ist einfach gigantisch schön. Tagsüber gibt es ein buntes Programm aus Lötworkshops, man konnte sich mit der Badge beschäftigen, wenn man eine vorbestellt hatte (das hat mir dieses Jahr, weil das mit dem Ticket erst kurz vor knapp noch geklappt hat, nicht mehr gereicht), aber auch natürlich viele Vorträge. Zum Beispiel die Stories von einem Incident Responder oder auch mal über das Entdecken von Social Engineering
Es gab auch einen Workshop als Selbsthilfegruppe für Verwaltungsfachangestellte mit IT-Hintergrund. Als Betroffener war ich natürlich dort. Es war spannend zu hören was die anderen zu sagen haben. Viele sind beim Bund, manche beim Land, andere wiederum bei Gerichten. Am Ende bleibt aber zu sagen: Sie alle haben den Wunsch die IT zu vereinheitlichen und voranzutreiben. Das Blöde ist: Wenn der Bund es nicht macht, das Land auch nicht, dann kann es die Kommune selbst machen. Aber wenn nun alle Kommunen (wenn sie überhaupt mit sinnvoller IT und Personal und Geldern ausgestattet ist) ihre eigene Suppe kochen, dann wird das mit gemeinsamem Datenaustausch auch wieder nichts. Hinzukommt, dass wir als öffentliche Behörden den gesetzlichen Bestimmungen unterliegen und dort sind oftmals noch Begriffe wie "Fax ist sicher" zu finden. Außerdem verarbeiten wir als Behörden zum größten Teil immer Personendaten von Bürgern (alle Geschlechter), weshalb der Datenschutz hier besonders kritisch zu sehen ist. Da müssen also erstmal gesetzliche Grundlagen geschaffen werden.
Als weiterer Nachteil ist unser Förderalismus. Manchmal machen sich einzelne Bundesländer die Arbeit und entwickeln selbst eine tolle Anwendung, aber dann müssen die anderen Länder diese auch erstmal wieder einkaufen (wenn sie überhaupt so angeboten wird). Aus meiner simplen IT-Sicht und Erfahrung aus der freien Wirtschaft wäre es sinnvoll, wenn der Bund die zentralen Dienste bereitstellt und verwaltet. Dann müssten nur noch alle Länder und Kommunen darauf zugreifen und damit arbeiten. Andererseits wehrt sich da mein Geschichtshirn etwas dagegen. Zentrale Datenbanken sind auch gut dafür geeignet, um beispielsweise alle Juden, schwulen oder sonstige aktuell unbeliebte Mitbürger zu identifizieren und ins Lager zu stecken. Sprich es ist es aktuell auch gut, dass wir keine zentralen Dienste beim Bund haben. Da ist es deutlich nützlicher, wenn die Daten einfach bei der Kommune lagern und nicht einfach an weitere Behörden weitergegeben werden.
Aber vielleicht könnte man in den nächsten 5-10 Jahren ja eine einheitliche Schnittstelle schaffen, mit der Anfragen von Behörden mit hoheitlichen Aufgaben (beispielsweise Polizei, Gerichte) endlich elektronisch ausgetauscht werden können. Es gibt da seit Jahren Standards wie XML, was sogar im Elster Verfahren mittlerweile gut eingesetzt wird.
Schauen wir einfach mal was die Zukunft dazu bringt, solange bau ich in Calw mal die IT-Infrastruktur sinnvoll aus. Da gibt es aktuell noch viel grundlegendere Baustellen.
Wie Public Code funktionieren kann, gibt es hier nachzuhören.

Um mal einen Eindruck vom Camp zu bekommen, hier mal ein paar Bilder, die nicht ganz sortiert sind. Aber ich denke, das Ganze gibt einen guten Eindruck was neben dem normalen Programm (Vorträge) noch so da war. Einfach eine gute Umgebung für eine IT-Fortbildung.

Weitere spannende Vorträge:
Bootloader Crimes
Jens Spahns credit score is "very good"
Logbuch Netzpolitik über die Ibiza Affäre
All cops are broadcasting
Disclosure, Hack and Back
Horror Stories from the Automotive Industry
Demystifying eSIM Technology

Tobi on Depressionen sind kacke: “Ja ist doof. Die letzten Wochen war es eigentlich immer wieder gut. Gestern kam der erhoffte Brief mit dem Termin.…” Dez. 29, 23:08
ulf_der_freak on Depressionen sind kacke: “Du auch? Oh je. Ich drück Dir die Daumen, dass es bald besser wird. Lass Dir auf jeden Fall genug…” Dez. 27, 23:47
Thomas Pozgaj on Pedro Pedro Pedro: “Ja der gute Pedro, das war zwar eines der lustigeren Memes, aber ich bin echt froh das er mittlerweile wieder…” Aug. 5, 20:47
Tobi on Selbstwahrnehmung und Außenwahrnehmung: “Nein, bevor ich jetzt anfange COBOL zu programmieren, werde ich noch eher Mönch. Soviel Kraft zum Nein sagen hab ich…” Juli 22, 15:12
Tobi on Selbstwahrnehmung und Außenwahrnehmung: “Jop, das stimmt wohl. Alles wird irgendwie akzeptiert. Aber über Krankheiten am Geist / Seele spricht man dann doch eher…” Juli 22, 14:59