Zum Inhalt der Seite gehen


Sehe gerade die Bundespressekonferenz.

Ich würde das mal als eine Niederlage von Karl Lauterbach bezeichnen. Wenn du deine großen Worte erst mit "Wir fixen da noch rum, bevor das live geht" einleiten musst, dann ist das nicht "die neue Epoche" von der du noch philosophierst. #ePA

#epa
Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Bianca Kastl

Quelle youtube.com/watch?v=m0gmDVua0v…
Als Antwort auf Bianca Kastl

Vieles von dem, was Lauterbach erzählt ist Bullshit. Du kannst nicht nur nach ePA diagnostizieren, weil du immer tagesaktuell diagnostizieren musst, weil es immer um die Tagesform geht.

Nicht um die Aktenlage. Was ist denn das für eine Vorstellung.

Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Bianca Kastl

"Die Sicherheit der ePA für alle hat für uns oberste Priorität"

Vergesst das. Lauterbach hat seit Ende Dezember nicht mehr mit uns gesprochen. Kein Kontakt mit "dem CCC" geschweige denn mit mir.

Ich bin nicht Teil des CCC, also fehlen mindestens meine Probleme. Versuch dich nicht mit Federn zu schmücken, die du nicht verstehst.

ClemensG hat dies geteilt.

Als Antwort auf Bianca Kastl

Das "nach vorne bringen" von Projekten geht am schnellsten, wenn du den Scheiß einfach gleich richtig machst.

Wenn du wiederholt Murks machst, wird das nicht besser, wenn du lange drüber redest, dass du jetzt endlich vorwärts kommen müsstest. Mach deinen Scheiß einfach richtig.

Als Antwort auf Bianca Kastl

Wir haben keine Akte unter Hoheit der Patient(*innen). Vergesst das.

Es geht nicht um perfekte Produkte, es geht um technsiches Handwerk aus dem letzten Jahrhundert. Abgehangene Technik.

Als Antwort auf Bianca Kastl

Ihr beschäftigt euch nicht mal ansatzweise mit dem, bei wem ihr euch genau bedanken sollt.

"Dem CCC" danken geht sehr weit an der Konstellation der Leute vorbei, die an dem Thema mitgewirkt haben. Die EUREN Job gemacht haben, die EURE Qualitätssicherung gemacht haben.

Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Bianca Kastl

Die Pilotphase ist nicht für die Prüfung von Sicherheitsaspekten da. Du kannst eine ePA für Modellregionen nicht mit echten Daten mit Sicherheitsmängeln auf die Bevölkerung loslassen.

Ab dem ersten echten Datensatz muss das sicher sein. Nicht nachher.

Als Antwort auf Bianca Kastl

Zugegeben: Das einzige, wo sie sich wirklich Mühe gegeben haben, war bei der Tatsache, dass Krankenkassen die Daten der ePA nicht einsehen können*

* ausgenommen Abrechungsdaten etc.

Aber ansonsten sind alle Vektoren quasi egal.

Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Bianca Kastl

"Die Daten werden nie von Unternehmen ausgewertet"

Strohmann Argument. Die Fragestellung wird neutral bewertet. Ob da Big Tech dahinter steckt, ist egal. "Gemeinwohl"

Als Antwort auf Bianca Kastl

"Wurden schon mal alle Arztpraxen befragt, ob sie schon mal was auf Kleinanzeigen verkauft haben"

Kudos an Miriam Dahlinger vom SZ Dossier.

Als Antwort auf Bianca Kastl

"Wir screenen nicht Ebay nach Angeboten für Kartenlesegeräte durch"

Ja genau das haben wir gemacht, literally.

Das ist das Problem.

Als Antwort auf Bianca Kastl

"Es ist richtig, dass für eine einzelne ePA nie eine 100 % ige Sicherheit gegeben werden kann"

(Karl Lauterbach)

Das ist vielleicht wichtig. Der Mißbrauch einer ePA ist schlimmer, als nur einer Praxis, weil sie patientenindividuell alle Daten ALLER Praxen im Zugriff hat. Nicht die einzelnen Daten einer Praxis.

Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Bianca Kastl

Die Schuld an Sicherheitsproblemen für die gesamte ePA für alle werden nicht die tragen, die architektonische Probleme erzeugt haben, sie wird diffundiert auf die schwächsten Glieder der Kette. Am Ende wird jede einzelne Arztpraxis, deren IT leckt (was sie wird) "schuld" sein, wenn mehr als eine Akte abfließt. "Die ePA ist sicher", so heißt es ja.

Weiß nicht, was davon die Ärzteschaft hält.

Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Bianca Kastl

Ist es korrekt, dass dir ein Restrisiko bleibt, wenn du die Haustür verlässt und auf die Straße trittst? Wir reden hier andauernd auf dem Level dieses Restrisikos. Es ist gut, das zur Sprache zu bringen und zu benennen. Darum geht es letztlich. Auch bei Lauterbach. Es gibt jedoch keine absolute Sicherheit auf dieser Welt. Nie. Nicht mal auf den Servern des CCC. Man kann immer nur Schwachstellen anprangern, und das muss man auch, und dafür bin ich dir/euch auch dankbar. Aber Schwachstellenaufdeckung hat keine Vorherrschaft. Sie ist nicht dazu da, um die Einführung eines Digitalisierungs-Produkts dauerhaft zu blockieren, vor allem nicht, wenn dieses massenhaft Leben retten kann. Das wollte ich einfach auch mal los werden.
Als Antwort auf ~n

@nblr @StefanMuenz Alle rufen nach Transparenz und dann ist es wieder nicht recht...
Aber immerhin kann nicht viel passieren.
Einbruch ist ja Straftat. Bestenfalls kommt man nach Hause und Robert sitzt am Küchentisch🤷.
Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Sabine Grützmacher

@sabinegruetzmacher @nblr @StefanMuenz
Wir reden über 25 Jahre alte Lücken wie SQL Injection, 20 Jahre abgekündigte Algorithmen wie MD5 und Anfängerfehler wie Counter als IDs. Und nicht im Bild erratbare Passwörter auf der Karte.

23.social/@thomasfricke/113725…

Das wäre bei einem Scan oder einem Audit des Codes sofort aufgefallen.

Ich habe mal 200 SQL Injections an einem Nachmittag gefixt. 2007 oder so...

Als Antwort auf Thomas Fricke (he/him)

@thomasfricke OK, SQL injection muss immer verhindert werden. Ob man auch mal noch MD5 verwendet, kommt finde ich auf den Verwendungszweck an (für Passwörter und dergleichen natürlich nicht), und was Counter als Ids betrifft, muss man vielleicht nachfragen, ob es dafür bestimmte Gründe gibt, und ggfs. auf installierte Maßnahmen zur Verhinderung von unbefugten Zugriffen prüfen. Und immer im Hinterkopf behalten: auch die "do-it-this-way"s von heute sind die "don't-do-no-more"s von morgen.
@sabinegruetzmacher @nblr @bkastl
Als Antwort auf Stefan Münz

Es gibt ja nicht mal eine brauchbare Bedrohungsanalyse. Wenn jemand einen Counter gefunden hat, ist es trivialst, den rauf und runterzuzählen. Das ist kein Webshop.

Das alles hätte gemacht werden müssen:

bmi.usercontent.opencode.de/op…

Disclaimer: dieser Teil der Sicherheitsarchitektur von #OpenDesk ist auf meinen Mist gewachsen. Deswegen dürfen in so betriebenen Umgebungen nicht nur Dokumente bis VsNFD sondern bis Geheim gespeichert werden.

Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Stefan Münz

Schau Dir den Vortrag an. Es geht nicht um winzige Restrisiken. Es geht um gefühlt 50% architekturbedingte Unsicherheit.
@bkastl
Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Stefan Münz

@StefanMuenz
Es ist richtig, dass immer ein Restrisiko bleibt.
Aber um bei deinem Bild zu bleiben: Meine Haustürschlüssel werden nicht bei ebay angeboten. Ja es gibt Lockpicking-Werkzeug, aber nicht meine Schlüssel.
Als Antwort auf Stefan Münz

Um in Ihrem Bild zu bleiben: Treten Sie vor die Tür und werden umgefahren, dann trifft es sie. Nur treten hier nicht einzelne ePAs vor die Tür sondern ALLE auf einmal und werden dann auch alle überfahren. Das ist hier das Sicherheitsproblem. Es gibt keine einzelne ePA.
Bricht jemand in eine Praxis ein, hat er Zugriff auf vielleicht 1.000 oder mehr unvollständige Akten. Bei der ePA sind es 70 Millionen.
Dieser Beitrag wurde bearbeitet. (3 Monate her)
Als Antwort auf Stefan Münz

@StefanMuenz
,"...wenn dieses massenhaft Leben retten kann."
Wie groß sind die Massen denn, kann man das quantifizieren?
M. E. wird der Nutzen geringer, je mehr Daten in der ePa gesperrt sind, was der Kunde machen kann.
Ich wäre sehr für die ePa, habe aber widersprochen. Ich würde auch kein Auto kaufen, wenn der Händler meint; ja, die Türen liefern wir evtl. nach. Bei der ePa ist es dabei eher so, dass die Bremsscheiben fehlen.
@bkastl
Als Antwort auf Stefan Münz

@StefanMuenz point taken. Aber: wenn du jedes interview von Martin oder mir in der letzten Zeit verfolgen möchtest: Dort war nie die Rede von “alles stoppen, alle widersprechen”. Es war immer die Rede von einer Abwägung.

Kannste jetzt wegen einem Toot ignorieren, der einen spezifischen Kontext hat, aber hey 🤷‍♀️

Als Antwort auf Stefan Münz

@StefanMuenz warum müssen alle ePA eigentlich in Rechenzentren von IBM, Rise oder sonst wem liegen und über eine API abgefragt werden? Warum können diese Informationen nicht verschlüsselt auf einem Datenträger beim Patienten selbst liegen? Einzelne Daten könnten von Ärzten signiert sein und durch Hashes vor Manipulation geschützt sein. Das Übertragen bestimmter Daten an berechtigte Personen könnte mit dem public key des Empfängers geschützt sein.
Als Antwort auf Stefan Münz

@StefanMuenz ich beschreibe die technischen Architektur(dezentrale Datenhaltung und asymmetrische Verschlüsselung). Dass das ein UX-Fail ist, wenn Oma GnuPG auf der Kommandozeile benutzen soll, ist klar. Dass man für so ein System keine UI/UX entwickeln kann, die auch von Laien verwendet werden kann, glaube ich nicht.

Diese Webseite verwendet Cookies. Durch die weitere Benutzung der Webseite stimmst du dieser Verwendung zu. https://inne.city/tos