1 00:00:02,000 --> 00:00:18,799 *35c3 Vorspannmusik* 2 00:00:18,799 --> 00:00:23,040 Herald: Er beschreibt sich selber als integrierter Bürger mit Kenntnissen in 3 00:00:23,040 --> 00:00:28,669 grafischer Datenverarbeitung und IT- Sicherheit. Er wird euch jetzt mal sagen, 4 00:00:28,669 --> 00:00:32,170 warum all your Gesundheitsdaten not belong to you. 5 00:00:32,170 --> 00:00:46,480 *Applaus* Martin Tschirsich: Herzlichen Dank, dass 6 00:00:46,480 --> 00:00:51,409 so viele zu abendlicher Stunde hier sind. Es geht um "All Your Gesundheitsdaten Are 7 00:00:51,409 --> 00:00:57,280 Belong To Us". Sicherer als Onlinebanking, haben sie gesagt. Das wollen wir jetzt mal 8 00:00:57,280 --> 00:01:02,769 schauen, ob das so stimmt. Vivy – davon haben vielleicht einige von euch schon 9 00:01:02,769 --> 00:01:08,210 gehört. Vivy ist angetreten vor einigen Monaten als elektronische Gesundheitsakte. 10 00:01:08,210 --> 00:01:14,930 In Vivy, eine App, kann man Röntgenbilder austauschen, man kann seinen Impfpass 11 00:01:14,930 --> 00:01:19,659 führen, man kann seine Medikamente dort hinterlegen. Alles rund um die Gesundheit 12 00:01:19,659 --> 00:01:24,840 kann man mit Vivy machen und insbesondere man kann seine Dokumente an seinen Arzt 13 00:01:24,840 --> 00:01:29,299 schicken. Der Arzt kann Befunde dort hinterlegen, Diagnosen hineinschreiben und 14 00:01:29,299 --> 00:01:34,390 so weiter. Hier sehen wir drei Bildschirme von Vivi. So sieht das aus, eine App für 15 00:01:34,390 --> 00:01:40,390 iOS, Android und Vivy wurde am 17.09. veröffentlicht. Gar nicht so alt. Hat ein 16 00:01:40,390 --> 00:01:46,789 großes Medienecho in der Tagespresse erzeugt. Und das liegt daran, dass Vivy 17 00:01:46,789 --> 00:01:50,640 die erste App ist, die von so vielen privaten und gesetzlichen Krankenkassen 18 00:01:50,640 --> 00:01:56,460 gleichzeitig finanziert wird. Das heißt, da stehen für 13 Millionen – inzwischen 19 00:01:56,460 --> 00:02:00,960 deutlich mehr – Versicherte die Krankenkassen dahinter und bezahlen diese 20 00:02:00,960 --> 00:02:06,679 Anwendung. Kostet normalerweise so um die fünf Euro im Monat. Das übernehmen die 21 00:02:06,679 --> 00:02:13,680 Krankenkassen, damit ihr diese App nutzen könnt. Ein Tag nach dem Release von Vivy 22 00:02:13,680 --> 00:02:19,700 gab es wieder ein Medienecho, diesmal anderer Art: Datenschutzmängel. Ein Herr 23 00:02:19,700 --> 00:02:26,230 Kuketz hat Vivy angeschaut und gesehen: Vivy überträgt Telemetriedaten, also 24 00:02:26,230 --> 00:02:29,570 wertet das Benutzerverhalten aus und schickt die Daten an verschiedene Server 25 00:02:29,570 --> 00:02:34,430 in den USA, Singapur und so weiter. Das passt nicht zu so einer Gesundheits-App. 26 00:02:34,430 --> 00:02:37,940 Besonders eine, die von unseren ganzen Krankenkassen finanziert wird. Und das war 27 00:02:37,940 --> 00:02:41,660 der Aufhänger. Da habe ich mir Vivy heruntergeladen. Da habe ich gedacht: 28 00:02:41,660 --> 00:02:46,230 Jetzt wird's interessant. Und habs mir mal angeschaut. Das war das Resultat. Mehr als 29 00:02:46,230 --> 00:02:50,590 einen Monat später gab es dann nochmal ein Medienecho, auch noch Mal zum Thema Vivy: 30 00:02:50,590 --> 00:02:54,870 Diesmal Sicherheitsmängel. Es hieß dann Patientendaten in Gefahr. Vivy – 31 00:02:54,870 --> 00:02:58,920 gravierende Sicherheitsmängel in Krankenkassen-App. Und das Ganze habe ich 32 00:02:58,920 --> 00:03:03,250 dann zusammen mit Thorsten Schröder veröffentlicht in einem Bericht. Ich will 33 00:03:03,250 --> 00:03:10,700 mal kurz vorstellen, was denn bei Vivy so alles schief gegangen ist. Also, Vivy 34 00:03:10,700 --> 00:03:15,209 dient hauptsächlich dem Austausch von Dokumenten zwischen dem Patienten und dem 35 00:03:15,209 --> 00:03:18,819 Arzt. Das heißt, der Patient hat sein Smartphone, hat da verschiedene 36 00:03:18,819 --> 00:03:23,790 Röntgenbilder, Diagnosen, Berichte und möchte die seinem neuen Arzt senden. Das 37 00:03:23,790 --> 00:03:29,989 geht über die Vivy-Plattform. Vivy ist eine Cloud-Plattform. So. Ich schicke die 38 00:03:29,989 --> 00:03:37,239 in die Cloud. Vivy erzeugt dann eine "Session". Das ist eine fünfstellige 39 00:03:37,239 --> 00:03:42,370 Session-ID, bestehend aus Kleinbuchstaben. *Lachen* Einige haben es schon erfasst, 40 00:03:42,370 --> 00:03:50,319 ich sehe. *Lachen* Ich mache trotzdem weiter. Für die anderen. So, und der Arzt, 41 00:03:50,319 --> 00:03:55,349 dem gibt man diesen Link per E-Mail, Fax, Telefon, persönlich und er kann dann unter 42 00:03:55,349 --> 00:04:02,110 diesem Link das in dieser Session gespeicherte Dokumente einsehen. So. Ja, 43 00:04:02,110 --> 00:04:06,739 weswegen jetzt viele gelacht haben: Natürlich, eine fünfstellige Session-ID 44 00:04:06,739 --> 00:04:10,840 entspricht nicht so ganz den Sicherheitsvorstellungen, die einige hier 45 00:04:10,840 --> 00:04:15,980 wohl haben. So eine Session-ID, fünfstellig, kann man... Man kann quasi 46 00:04:15,980 --> 00:04:20,298 alle Session-IDs, die aus Kleinbuchstaben bestehen, aus fünf Kleinbuchstaben, kann 47 00:04:20,298 --> 00:04:23,870 man an einem Tag locker durchprobieren. Also nicht händisch, da schreibt man sich 48 00:04:23,870 --> 00:04:26,870 dann ein kleines Script und dann läuft das durch. Und dann hat man alle mal getestet, 49 00:04:26,870 --> 00:04:32,540 ob da ein Dokument liegt und eventuell wird man ja fündig. Und wenn man fündig 50 00:04:32,540 --> 00:04:36,360 wird, also wenn man eine Session-ID findet, unter der tatsächlich jemand ein Dokument 51 00:04:36,360 --> 00:04:42,520 gespeichert hat, sieht man sowas. Das sind Metadaten. Also sowas wie der Name des 52 00:04:42,520 --> 00:04:46,960 Versicherten, die Versichertennummer, das Bild, Adresse, behandelnder Arzt, Adresse 53 00:04:46,960 --> 00:04:54,009 des Arztes, Spezialität des Arztes, Alter, Geschlecht, Sprache – also nur Metadaten, 54 00:04:54,009 --> 00:04:57,870 aber wir sehen schon, diese Daten, die will man nicht öffentlich haben. 55 00:04:57,870 --> 00:05:03,699 Insbesondere, wenn ich dann bei einem sensiblen Thema zu einem Arzt gehe, sagen 56 00:05:03,699 --> 00:05:08,840 wir mal, Schwangerschaftsabbruch oder Schwangerschaft allgemein oder 57 00:05:08,840 --> 00:05:12,710 Psychologie. Ich gehe zum Psychologen, weil ich mich irgendeiner Behandlung 58 00:05:12,710 --> 00:05:18,090 unterziehen möchte. Und das können dann du, ich – jeder kann das einsehen, wenn er 59 00:05:18,090 --> 00:05:22,639 möchte oder konnte das einsehen auf der Vivy-Plattform. Wenn ich die Daten dann 60 00:05:22,639 --> 00:05:26,030 einsehen möchte, also das Dokument, was darüber transportiert wurde in dieser 61 00:05:26,030 --> 00:05:34,540 Session, dann muss ich eine vierstellige PIN eingeben. Okay, also ich sehe das, 62 00:05:34,540 --> 00:05:40,410 brauche ich nicht erklären. Vierstellige PIN das sind – wie viele Versuche? Tausend, 63 00:05:40,410 --> 00:05:45,400 genau und dann habe ich die. Also es ist kein Hexenwerk und ich muss nur schneller 64 00:05:45,400 --> 00:05:52,419 sein als der Arzt. Dann klappt das. Vivy hatte noch mehr Mail. Phishing war ein 65 00:05:52,419 --> 00:05:56,810 toller Aspekt, den man nicht erwarten würde in einer Gesundheits-App. Vivy 66 00:05:56,810 --> 00:06:00,860 erlaubt es, zwischen Versicherten Dokumente auszutauschen und auch Dokumente 67 00:06:00,860 --> 00:06:05,491 vom Arzt zu empfangen. Und hier sehen wir drei Dokumente: zweimal eine invoice, eine 68 00:06:05,491 --> 00:06:09,949 Rechnung und einmal eine prescription – eine Verschreibung – durch den Arzt. Und wenn 69 00:06:09,949 --> 00:06:13,759 ich die untere invoice öffne – oh, da muss ich mich neu einloggen. Das passiert bei 70 00:06:13,759 --> 00:06:17,020 Vivy sehr oft. Man muss sich sehr oft einloggen, ist ein Sicherheitsfeature. 71 00:06:17,020 --> 00:06:21,030 Die Session läuft sehr schnell ab. Wenn ich mich allerdings hier einlogge, dann 72 00:06:21,030 --> 00:06:28,410 geht das Passwort nicht an Vivy, sondern da geht es an mich. Ja. Liegt daran, dass ich 73 00:06:28,410 --> 00:06:34,460 HTML-Code in eine Webview in diese App einschleusen konnte und mir dann basteln 74 00:06:34,460 --> 00:06:42,060 konnte, was mir so gefällt. Phishing, das erwartet man nicht in der Gesundheits-App. 75 00:06:42,060 --> 00:06:49,620 *Applaus* Danke sehr. *Applaus* Aber wenn ich das Passwort geklaut hab, komme ich 76 00:06:49,620 --> 00:06:53,160 noch nicht in die App rein. Es gibt eine Zwei-Faktor-Authentifizierung. Klar, die 77 00:06:53,160 --> 00:06:56,669 Profis unter euch wissen: Phishing, Zwei- Faktor-Authentifizierung das geht auch. 78 00:06:56,669 --> 00:07:03,430 Aber sagen wir mal, ich habe den zweiten Faktor nicht. Den brauche ich aber, wenn 79 00:07:03,430 --> 00:07:07,960 ich mich einloggen möchte bei Vivy, dann geht das über folgenden HTTP Request: 80 00:07:07,960 --> 00:07:12,550 Username, Passwort und dieser Code. Dieser Code ist der zweite Faktor. Ein TOTP-Token. 81 00:07:12,550 --> 00:07:17,270 Den brauche ich, sonst komme ich nicht rein. Ja, was mache ich, wenn ich 82 00:07:17,270 --> 00:07:27,580 den nicht habe? Naja, probieren wir halt mal. Also bruteforcing, ganz großes Thema. 83 00:07:27,580 --> 00:07:34,530 So simpel es klingt, damit lagen alle Metadaten dieser Plattform über diese 84 00:07:34,530 --> 00:07:37,750 Session-IDs offen. Zweite Faktor- Authentifizierung konnte ich komplett 85 00:07:37,750 --> 00:07:44,740 umgehen. Die Dokumenten-PIN war nutzlos. Erwartet man so nicht. Aber, es geht auch 86 00:07:44,740 --> 00:07:50,949 weiter. Vivy hat eine Ende-zu-Ende- Verschlüsselung. Das heißt, wenn ich als 87 00:07:50,949 --> 00:07:55,849 Benutzer ein Dokument an den Arzt schicke, geht das nicht so direkt über die Leitung, 88 00:07:55,849 --> 00:08:00,270 sondern der Arzt, der öffnet ja diesen Link in seinem Browser und dann erzeugt 89 00:08:00,270 --> 00:08:04,199 der Browser – instant TAN – für den Arzt, einen Key. Einen kryptographischen 90 00:08:04,199 --> 00:08:10,470 Schlüssel, in JavaScript wird der erzeugt und er wird im Browser gespeichert. So. 91 00:08:10,470 --> 00:08:16,800 Der Arzt bzw. sein Browser schickt diesen Key dann an den Patienten bzw. an die App. 92 00:08:16,800 --> 00:08:20,580 Die App verschlüsselt damit das Dokument und das verschlüsselte Dokument geht dann 93 00:08:20,580 --> 00:08:29,190 an den Arzt. So weit, so gut. Problem ist nur, dieser Schlüssel liegt im Browser. Der 94 00:08:29,190 --> 00:08:34,750 lag im local storage, falls das jemandem was sagt, im Browser. Und Browser-Apps 95 00:08:34,750 --> 00:08:40,020 sind anfällig gegenüber Cross-Site- Scripting. Häufig. Vivy war anfällig 96 00:08:40,020 --> 00:08:44,250 gegenüber, ich glaube, drei Persistenten haben wir gefunden, haben wir aufgehört 97 00:08:44,250 --> 00:08:47,600 mit Cross-Site-Scripting-Angriffen. Das heißt, ich musste dem Arzt nur einen Link 98 00:08:47,600 --> 00:08:53,660 schicken und das machen viele, die schicken dem Arzt ja Links. Und klickt der 99 00:08:53,660 --> 00:09:03,440 Arzt darauf, dann kann ich den privaten RSA-Key auslesen. *Applaus* Insgesamt 100 00:09:03,440 --> 00:09:13,890 ergaben sich dann über 15 Befunde, zum großen Teil von aus meiner Sicht hoher 101 00:09:13,890 --> 00:09:18,800 Kritikalität. Natürlich sieht Vivy das anders. Das habe ich zusammen mit Thorsten 102 00:09:18,800 --> 00:09:21,380 Schröder veröffentlicht, der hat sich da ein bisschen vor mich gestellt wegen der 103 00:09:21,380 --> 00:09:27,440 responsible disclosure, auch nochmal ganz herzlichen Dank dafür hier, öffentlich. 104 00:09:27,440 --> 00:09:35,660 Coordinated disclosure. *Applaus* So sah das aus, also eigentlich aus meiner Sicht: 105 00:09:35,660 --> 00:09:40,600 So soll es laufen, coordinated disclosure. Wir haben Vivy informiert. Am 21. hatten 106 00:09:40,600 --> 00:09:45,190 wir direkt eine Telefonkonferenz, Vivy gehört der Allianz zu siebzig Prozent. Da kam 107 00:09:45,190 --> 00:09:48,580 der Allianz-CISO, hat sich das auch angehört, waren wir schön in kleiner 108 00:09:48,580 --> 00:09:52,110 Runde. Um elf nachts saßen wir in Berlin, haben darüber diskutiert. Finaler Bericht 109 00:09:52,110 --> 00:09:57,210 ging raus, haben wir ein bisschen verlängert die Frist und am 30.10. 110 00:09:57,210 --> 00:10:02,670 veröffentlicht. Aber dann haben sich unsere Meinungen ein bisschen auseinander 111 00:10:02,670 --> 00:10:08,880 dividiert. Reaktion von Vivy auf unsere Veröffentlichung: "Ein reales Risiko für 112 00:10:08,880 --> 00:10:13,490 die Sicherheit der Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt." Ich 113 00:10:13,490 --> 00:10:21,850 glaube, ihr würdet das jetzt anders sehen. Netzpolitik hat dann öffentlich gemacht, 114 00:10:21,850 --> 00:10:28,820 was im Hintergrund passiert ist, Vivy hatte allen Magazinen, Online- 115 00:10:28,820 --> 00:10:31,861 Berichterstattern vorgeworfen, Falschaussagen zu veröffentlichen, hat 116 00:10:31,861 --> 00:10:35,751 angerufen in den Redaktionen und gesagt, dass sind Falschaussagen. Modzero kann das 117 00:10:35,751 --> 00:10:39,000 nicht belegen, das heißt, das war mein Arbeitgeber, ich kann das nicht belegen. 118 00:10:39,000 --> 00:10:44,900 "Das müsst ihr zurücknehmen, müsst ihr öffentlich schreiben, das ist alles wohl 119 00:10:44,900 --> 00:10:49,860 nicht wahr." Zum Glück gab es ein paar Leute, unter anderem bei netzpolitik.org, 120 00:10:49,860 --> 00:10:54,390 die den Braten gerochen haben, haben dann veröffentlicht, was da im Hintergrund 121 00:10:54,390 --> 00:10:57,940 passiert. Vivy versucht die Berichterstattung zu korrigieren. Der 122 00:10:57,940 --> 00:11:04,130 Thorsten Schröder, von dem ich eben geredet hatte, hat dann sich noch anhören 123 00:11:04,130 --> 00:11:07,250 müssen, dass es da juristische Konsequenzen geben soll und das Ganze ging 124 00:11:07,250 --> 00:11:13,040 dann auf eine, ich sage mal, auf eine nicht zu erwartende Art wurde dieser 125 00:11:13,040 --> 00:11:18,500 Streit dann fortgeführt. Die Details erspare ich euch jetzt, nur falls ihr 126 00:11:18,500 --> 00:11:21,890 davon was mitbekommen habt zu Vivy, wisst ihr jetzt die Hintergründe. Also aus 127 00:11:21,890 --> 00:11:25,770 unserer Sicht haben wir wirklich versucht coordinated disclosure so 128 00:11:25,770 --> 00:11:29,310 verantwortungsvoll wie möglich zu machen. Und ich hoffe auch weiterhin, dass... ich 129 00:11:29,310 --> 00:11:33,730 werde das auch weiterhin so machen, dass es vielleicht auch bei Vivy angekommen 130 00:11:33,730 --> 00:11:38,750 ist, dass das von unserer Seite aus verantwortungsvoll laufen sollte und das 131 00:11:38,750 --> 00:11:43,300 nicht erwartet war. Frage ist jetzt: Vivy hat gesagt, innerhalb von 24 Stunden 132 00:11:43,300 --> 00:11:50,200 haben die alle Fehler behoben. Wer glaubt's? *Kurzer Applaus* Ja, ich habe 133 00:11:50,200 --> 00:11:53,190 für euch nachgeschaut. Also offiziell natürlich nicht, aber ich habe jetzt vor 134 00:11:53,190 --> 00:11:57,830 vier Wochen nochmal nachgeschaut und es gibt da einen lustigen Angriff – das Wort 135 00:11:57,830 --> 00:12:02,230 "lustig" nehme ich zurück. Das sollte man hier nicht verwenden bei Gesundheitsdaten. 136 00:12:02,230 --> 00:12:06,700 Dokument an den Arzt schicken als Versicherter, als Vivy-Nutzer. Ich kann 137 00:12:06,700 --> 00:12:11,020 dem Arzt natürlich auch ein bösartiges Dokument schicken. In diesem Dokument ist 138 00:12:11,020 --> 00:12:15,860 JavaScript drin. Dieses JavaScript wird im Browser vom Arzt ausgeführt und stiehlt 139 00:12:15,860 --> 00:12:19,740 dann alle Dokumente, auf die dieser Arzt Zugriff hat, von allen anderen Versicherten, 140 00:12:19,740 --> 00:12:30,130 und sendet sie an mich. Aus meiner Sicht kritisch. Ich habe mal geschaut, so 141 00:12:30,130 --> 00:12:40,460 nach... *Applaus* Innerhalb von 24 Stunden behoben. Da sehen wir auf der einen Seite 142 00:12:40,460 --> 00:12:44,950 den Angreifer, der gibt sich als Vivy- Nutzer aus, das ist sein Vivy-Bildschirm 143 00:12:44,950 --> 00:12:49,980 auf dem Handy und im Browser, das ist der Arzt. Der hat den Browser offen und wartet 144 00:12:49,980 --> 00:12:53,231 dass er den Link bekommt und eingeben kann. Ich muss jetzt kurz wechseln, ich will 145 00:12:53,231 --> 00:13:06,460 nämlich das als Video zeigen. So sieht das aus, der Arzt gibt die Session-ID ein, die 146 00:13:06,460 --> 00:13:12,660 wurde jetzt verlängert, die Session-ID. Das sind nicht mehr 5 Stellen. Das haben sie 147 00:13:12,660 --> 00:13:20,630 behoben. So. Jetzt gibt der Arzt seine PIN ein, als bösartiger Nutzer gebe ich die 148 00:13:20,630 --> 00:13:26,180 natürlich dem Arzt. Jetzt lädt der Arzt das Dokument, es wird entschlüsselt und 149 00:13:26,180 --> 00:13:36,720 jetzt öffnet der Arzt das Dokument im Browser. So. Was ist passiert? Das 150 00:13:36,720 --> 00:13:41,690 Dokument hatte JavaScript, das JavaScript wurde ausgeführt. Es hat jetzt von anderen 151 00:13:41,690 --> 00:13:46,240 Versicherten, hier ist es der Peter, dem seine Diagnose heruntergeladen und seine 152 00:13:46,240 --> 00:13:52,510 Befunde und hat diese Befunde an allyourgesundheitsaktenarebelongtous.com 153 00:13:52,510 --> 00:13:56,850 geschickt. So. Das passiert jetzt alles im Browser des Arztes. Angriff funktioniert 154 00:13:56,850 --> 00:14:13,900 weiterhin. Naja... nicht behoben. *Applaus* Was aber auch geht... Eine Sache 155 00:14:13,900 --> 00:14:20,870 haben sie behoben: Man kann den Key nicht mehr auslesen. Der ist lesegeschützt, aber 156 00:14:20,870 --> 00:14:33,270 er ist nicht schreibgeschützt! *Gelächter und Applaus* Natürlich überschreibe ich 157 00:14:33,270 --> 00:14:36,680 dann den privaten Key mit dem des Angreifers bzw. dem eigenen. Und wenn ich 158 00:14:36,680 --> 00:14:39,640 dann zukünftig solche Dokumente in die Hände bekomme, kann ich die alle mit 159 00:14:39,640 --> 00:14:43,140 meinem Schlüssel entschlüsseln. Das ist das Problem, wenn ich Ende-zu-Ende- 160 00:14:43,140 --> 00:14:47,450 Verschlüsselung habe, ohne dass ich eine Identität für den Arzt habe, ohne dass ich 161 00:14:47,450 --> 00:14:51,880 den authentifizieren kann, dann muss ich jeden Schlüssel akzeptieren. Ich kann es 162 00:14:51,880 --> 00:14:56,510 ja nicht verifizieren. So what. Es gibt Hunderttausende kaputte Gesundheits-Apps. 163 00:14:56,510 --> 00:15:01,350 Warum ist Vivy interessant? Warum ist es relevant? Da muss ich ganz kurz in das 164 00:15:01,350 --> 00:15:06,740 E-Health-Gesetz einsteigen. Es wurde 2015 verabschiedet und sieht vor, dass letztes 165 00:15:06,740 --> 00:15:12,080 Jahr die Video-Sprechstunde eingeführt wurde. In Baden-Württemberg ist es schon 166 00:15:12,080 --> 00:15:18,920 soweit, da können gesetzlich Versicherte per Video den Arzt kontaktieren und mit 167 00:15:18,920 --> 00:15:22,770 dem Arzt auch eine Fernbehandlung durchführen lassen. 2018, also dieses 168 00:15:22,770 --> 00:15:25,930 Jahr, gab es den bundeseinheitlichen Medikationsplan. Und ab nächstem Jahr 1. 169 00:15:25,930 --> 00:15:31,110 Januar soll es die elektronische Patientenakte geben. Bis 2021 soll sie 170 00:15:31,110 --> 00:15:37,330 flächendeckend eingeführt sein. Elektronische Patientenakte. Elektronische 171 00:15:37,330 --> 00:15:40,450 Gesundheitsakte gibt's – das ist Vivy. Schon seit 2004 haben die Krankenkassen 172 00:15:40,450 --> 00:15:44,380 die Möglichkeit, das zu erstatten. Läuft teilweise auf der Telematik-Infrastruktur 173 00:15:44,380 --> 00:15:46,520 mit Anbindung eben an die Telematik- Infrastruktur. Ärzte müssen sie aber nicht 174 00:15:46,520 --> 00:15:53,000 nutzen. Die elektronische Patientenakte, die nächstes Jahr kommen soll, ist jetzt 175 00:15:53,000 --> 00:15:57,800 schon von der gematik spezifiziert, in Teilen zumindest. Die wird dann zwingend 176 00:15:57,800 --> 00:16:01,700 auf der Telematik-Infrastruktur laufen und wird auch zwingend genutzt werden müssen 177 00:16:01,700 --> 00:16:09,580 von den Ärzten. Es gab da ein Update für dieses E-Health-Gesetz in diesem Jahr, 178 00:16:09,580 --> 00:16:12,821 weil... Telematik-Infrastruktur, Gesundheitskarte und so... das läuft ja 179 00:16:12,821 --> 00:16:18,430 alles nicht so richtig. Da müssen wir was machen. Dann hat sich unser 180 00:16:18,430 --> 00:16:23,330 Gesundheitsminister gedacht: "Tablet und Smartphone – darüber müssen wir auf diese 181 00:16:23,330 --> 00:16:26,500 Patientenakte zugreifen können. Gesundheitskarte ist ein bisschen old 182 00:16:26,500 --> 00:16:30,590 fashioned, das brauchen wir nicht mehr." Online-Banking ist das Vorbild. Deswegen 183 00:16:30,590 --> 00:16:35,210 auch der Subtitle von dem Talk. Online- Banking soll als Vorbild in Sachen 184 00:16:35,210 --> 00:16:39,730 Sicherheit dienen. Und: diese Maßnahmen dulden keinen Aufschub. Das heißt, ab 185 00:16:39,730 --> 00:16:43,300 sofort, ich glaub, in drei Monaten will die gematik das fertig spezifiziert haben. 186 00:16:43,300 --> 00:16:47,230 Wie ich mich in diese Patientenakte einlogge, auf meinem Smartphone, ohne 187 00:16:47,230 --> 00:16:51,620 Gesundheitskarte. Das ist also der Hintergrund. Und Vivy ist so etwas wie der 188 00:16:51,620 --> 00:16:55,630 Testballon der Krankenkassen für die Akzeptanz dieser elektronischen 189 00:16:55,630 --> 00:16:59,350 Patientenakte. Denn die Krankenkassen, gesetzlich und privat, sind natürlich sehr 190 00:16:59,350 --> 00:17:02,750 interessiert daran, dass möglichst viele diese Akte nutzen, Vivy oder auch 191 00:17:02,750 --> 00:17:06,780 Konkurrenten. Denn damit sich auch Einsparungen verbunden, damit sind auch 192 00:17:06,780 --> 00:17:12,490 Vorteile verbunden für uns alle. Ja, so what, nehmen wir halt nicht Vivy. Ich habe 193 00:17:12,490 --> 00:17:16,400 ja eben gesagt, es gibt auch Konkurrenten. Es gibt einige, zum Beispiel von 194 00:17:16,400 --> 00:17:20,930 CompuGroup gibt es CGM LIFE. Es gibt vitabook. Es gibt einen ganz alten 195 00:17:20,930 --> 00:17:25,630 Vertreter dieser Art, das ist gesundheitsakte.de von careon. Es gibt von 196 00:17:25,630 --> 00:17:31,690 der TK in der Beta-Phase noch TK-Safe. Und auch was die Video-Sprechstunde anbelangt, 197 00:17:31,690 --> 00:17:35,650 da gibt es einige Anbieter. Hier nur eine kleine Auswahl: TeleClinic, da ist in 198 00:17:35,650 --> 00:17:39,500 Baden-Württemberg dieses Experiment, das ist docdirekt. Und von Ärzten selbst 199 00:17:39,500 --> 00:17:45,560 geschaffen gibt es meinarztdirekt, Fern- Behandlungen für alle. Wer kann es besser? 200 00:17:45,560 --> 00:17:49,500 Wer macht es besser als Vivy? Das war die Frage, die ich gestellt habe, ich kann ja 201 00:17:49,500 --> 00:17:52,290 hier nicht nur mit Vivy ankommen. Da müssen wir mal ein bisschen quantitative 202 00:17:52,290 --> 00:17:57,551 Analyse machen. vitabook – vitabook gibt es schon seit 2011. Die haben schon 203 00:17:57,551 --> 00:18:02,320 Erfahrung in dem Thema, waren die ersten Kunden der Microsoft Cloud in Deutschland 204 00:18:02,320 --> 00:18:05,830 und gewährleisten Datensicherheit, Datenschutz und Compliance auf höchstem 205 00:18:05,830 --> 00:18:12,880 Niveau. So sieht das aus. Das hier ist die Susanne. Das ist ein Testkonto von 206 00:18:12,880 --> 00:18:17,110 vitabook. Kann man mal reinschnuppern, wie das so aussieht. Dasselbe wie bei Vivy. 207 00:18:17,110 --> 00:18:21,210 Ich kann Dokumente da speichern, hochladen, mit dem Arzt teilen, 208 00:18:21,210 --> 00:18:25,090 Gesundheitsangaben machen, Notfalldaten hinterlegen, Impfpass eintragen und alles 209 00:18:25,090 --> 00:18:29,090 was ich will. Ich kann meine gesamte Gesundheit damit verwalten. Das nennt sich 210 00:18:29,090 --> 00:18:37,120 Gesundheitskonto, quasi das Girokonto für Ihre Gesundheit. Klingt erst mal gut. Na 211 00:18:37,120 --> 00:18:44,661 ja gut, jetzt 2018 erwartet man das nicht, aber es erlauben Zugriff auf 212 00:18:44,661 --> 00:18:48,870 verschlüsselte Gesundheitsdaten, keine Ende-zu-Ende-Verschlüsselung. Wir haben 213 00:18:48,870 --> 00:18:53,440 unsalted SHA1-Passwort-Hashes in diesem Ding. Massiven Datenreichtum wohin 214 00:18:53,440 --> 00:18:58,590 man schaut. Und, kleines Schmankerl: Wenn man sich in dieses "Susanne"-Testkonto 215 00:18:58,590 --> 00:19:03,600 einloggt, da sind auch Test-Dokumente. Und woher nimmt man Test-Dokumente, man 216 00:19:03,600 --> 00:19:09,590 fotografiert sie vor seinem Schreibtisch. Zum Beispiel die höchstvertraulichen 217 00:19:09,590 --> 00:19:12,780 Emails die ausgedruckt auf dem Schreibtisch bei Vitabook rum liegen. Über 218 00:19:12,780 --> 00:19:27,300 die letzte Sicherheitsanalyse. *Applaus* Hier wird irgendein Befund aus irgendeiner 219 00:19:27,300 --> 00:19:34,020 IT-Security-Analyse nicht anerkannt. Also wenn ihr stöbern wollt, Susanne hat es für 220 00:19:34,020 --> 00:19:39,660 euch. Vitabook flat-lining, klinisch sicherheitstechnisch, eher mau. 221 00:19:39,660 --> 00:19:45,940 Beschäftigen wir uns nicht weiter mit. Interessant noch: Vitabook waren die 222 00:19:45,940 --> 00:19:54,010 ersten, die Vivy retweetet haben. *Lachen.* Vivy schaut mal ja, ja sollte man nicht 223 00:19:54,010 --> 00:19:58,500 machen. Das war auch nicht unsere Intention. Wir wollen wollten da keine 224 00:19:58,500 --> 00:20:03,670 Schadenfreude oder irgendwas auslösen. Ja gut, sind halt Tech-Startups. Vitabook ist 225 00:20:03,670 --> 00:20:10,350 glaube ich ein ehemaliger CISCO-Manager – also nur Vermutung, dahin gestellt. Lasst 226 00:20:10,350 --> 00:20:14,200 die Ärzte ran, lasst die Ärzte ran. Die wissen um die Sensitivität dieser 227 00:20:14,200 --> 00:20:18,420 Gesundheitsdaten Bescheid, die haften ja auch persönlich. Ein Arzt, wenn er die 228 00:20:18,420 --> 00:20:21,941 Schweigepflicht verletzt, haftet er. Das kann teuer werden. Das kann auch 229 00:20:21,941 --> 00:20:27,510 Freiheitsentzug bedeuten. Lasst die Ärzte diese Anwendung mitbetreuen mitentwickeln. 230 00:20:27,510 --> 00:20:34,100 Interessantes Beispiel meinarztdirekt.de: Das ist ein Hausarzt, der das ins Leben 231 00:20:34,100 --> 00:20:39,400 gerufen hat. Kein Investor im Nacken. "Wenn wir Ärzte die Digitalisierung nicht aktiv 232 00:20:39,400 --> 00:20:44,230 mitgestalten, dann haben wir alle verloren." Also, lassen wir die Ärzte mitgestalten und 233 00:20:44,230 --> 00:20:48,170 schauen Sie sich das man an. meinarztdirekt.de. So sieht das aus. Hier 234 00:20:48,170 --> 00:20:53,030 habe ich, ich habe versucht auf eine Rechnung zuzugreifen, das ist natürlich 235 00:20:53,030 --> 00:20:55,590 verboten. Ich darf ja nicht auf andere Rechnungen von anderen Leuten zugreifen 236 00:20:55,590 --> 00:20:58,520 und mir anschauen, was die da für Leistungen bezogen haben. Das geht nicht. 237 00:20:58,520 --> 00:21:01,370 Ich wollte es mir anzeigen lassen, da sehen wir, irgendwiewie "meinarztdirekt.de/ 238 00:21:01,370 --> 00:21:10,250 invoice/view/id-1". Was ist, wenn ich diese Daten drucken möchte – nicht anzeigen, nicht 239 00:21:10,250 --> 00:21:33,070 view, sondern print? Oh! Was ist denn das? *Applaus* Nicht so schön, das will man gar nicht. 240 00:21:33,070 --> 00:21:38,180 Eigenbau – schreiben wir das ab, lassen die Profis ran. Also Arzt ist schon gut, wenn 241 00:21:38,180 --> 00:21:42,550 er dabei ist, aber da müssen Profis, müssen Profis ran. TeleClinic. 242 00:21:42,550 --> 00:21:49,140 TeleClinic im Vorstand, drei Leute: Ein Arzt, ein Informatiker. Viel Geld 243 00:21:49,140 --> 00:21:55,400 dahinter. Ganz Baden-Württemberg dafür bei docdirekt. TeleClinic nutzen. Da wird eine 244 00:21:55,400 --> 00:21:58,340 Videosprechstunde hergestellt mit Ärzten in Baden-Württemberg. Wenn einer von euch 245 00:21:58,340 --> 00:22:02,430 gesetzlich versichert in Baden-Württemberg ist, einfach mal docdirekt, sich einloggen, 246 00:22:02,430 --> 00:22:09,410 – okay, nicht mit echten Daten einloggen – und kann mit dem Doktor sprechen, mit einem 247 00:22:09,410 --> 00:22:15,370 Arzt, mit einer Ärztin und sich diagnostizieren lassen. Dokumente austauschen. Oder auch 248 00:22:15,370 --> 00:22:20,450 eine von den Versicherten hier, Arag Debeka, die bietet das auch an.TeleClinic bietet 249 00:22:20,450 --> 00:22:25,430 maximale Datensicherheit und verhindert Missbrauch auf jeder Ebene. Ein 250 00:22:25,430 --> 00:22:29,980 vierstufiges Sicherheitssystem bietet die höchste Datensicherheit Deutschlands. 251 00:22:29,980 --> 00:22:34,350 Meine Damen und Herren die höchste Datensicherheit Deutschlands. Applaus. 252 00:22:34,350 --> 00:22:45,960 *Applaus* Für TeleClinic. So. Wenn ich jetzt bei TeleClinic mein Passwort ändern möchte, 253 00:22:45,960 --> 00:22:51,980 dann sieht es so aus: Dann habe ich in rot meine User-ID und in gelb mein Passwort, 254 00:22:51,980 --> 00:22:56,750 mein neues und dann sende ich da diesen HTTP-Request aus meinem Browser ab. Da 255 00:22:56,750 --> 00:22:59,930 habe ich mich jetzt gefragt: Was passiert denn, wenn ich diese rote User-ID ändere. 256 00:22:59,930 --> 00:23:21,510 Wenn ich da mal... *Gelächter**Applaus* Ah! Jup. Das ist nicht lustig, das ist die höchste 257 00:23:21,510 --> 00:23:31,770 Datensicherheit Deutschlands. Na typisch: kleine mittelständische Unternehmen – lasst 258 00:23:31,770 --> 00:23:37,890 mal die Profis ran. Die, die es wissen. Die ganz Großen, die wirklich die Mittel dafür 259 00:23:37,890 --> 00:23:41,780 haben. Die, die es wirklich besser machen können. Wir können lachen über die kleinen, 260 00:23:41,780 --> 00:23:46,340 aber, wir müssen auch die großen anschauen – der Fairness halber. TK-Safe sei ein 261 00:23:46,340 --> 00:23:50,950 Beispiel. Die haben es richtig gemacht: Ende-zu-Ende verschlüsselt. Ich habs mir 262 00:23:50,950 --> 00:23:56,950 nicht weiter angeschaut, aber: Hier sehen wir den Schlüssel. Der wird erzeugt in der 263 00:23:56,950 --> 00:24:00,900 App. Das ist der Schlüssel für den User. Wenn dieser Schlüssel verloren geht, dann 264 00:24:00,900 --> 00:24:03,901 geht der Zugang zur gesamten Akte verloren, wenn alles richtig gemacht 265 00:24:03,901 --> 00:24:08,790 wurde. Das heißt: Wenn ich mein Handy verliere, dann habe ich meine gesamten 266 00:24:08,790 --> 00:24:14,320 Gesundheitsdaten verloren. Das will keiner, deswegen, Vivy und alle anderen, die Ende- 267 00:24:14,320 --> 00:24:17,770 zu-Ende Verschlüsselung anbieten, fordern einen auf, diesen Schlüssel zu exportieren. 268 00:24:17,770 --> 00:24:21,870 Allerdings sind wir mit Schlüsseln ja noch gar nicht so vertraut. Was ist denn ein 269 00:24:21,870 --> 00:24:24,492 Schlüssel? Passwörter, das hat ziemlich lange gedauert, bis wir wussten, wie wir 270 00:24:24,492 --> 00:24:27,970 Passwörtern umgehen sollen. Und die meisten kriegen es immer noch nicht hin. 271 00:24:27,970 --> 00:24:33,130 Und diesen Schlüssel müssen wir irgendwo sichern, exportieren. Wie geht das? Wird 272 00:24:33,130 --> 00:24:39,180 als QR-Code gespeichert, die Schlüssel. Einige sehen es schon, der wird nämlich in 273 00:24:39,180 --> 00:24:44,850 der Galerie gespeichert. Und zwar, das ist jetzt ein Android-Bildschirm. Wir sehen 274 00:24:44,850 --> 00:24:48,110 der QR-Code, der diesen Schlüssel darstellt, den ich auch wieder einscannen 275 00:24:48,110 --> 00:24:51,000 kann, der wird in der öffentlichen Bildergalerie auf meinem Handy 276 00:24:51,000 --> 00:24:54,950 gespeichert. Der geht dann bei Google Fotos hoch und überall und alle Apps haben 277 00:24:54,950 --> 00:24:57,110 Zugriff drauf. Das ist ein bisschen, wenn man jetzt hier Schlüssel durch 278 00:24:57,110 --> 00:25:00,930 Passwort ersetzt und beide haben ja die gleiche Funktion. Also wenn ich jetzt 279 00:25:00,930 --> 00:25:04,380 Schlüssel durch Passwort ersetze dann heißt da: Bitte speichern Sie ein Passwort 280 00:25:04,380 --> 00:25:09,570 im Klartext in ihrer Bildergalerie. Will man nicht. Da braucht man einen Passwort 281 00:25:09,570 --> 00:25:12,760 Manager, aber für Schlüssel, aber das gibt's ja noch nicht. Da sehen wir auch 282 00:25:12,760 --> 00:25:17,330 wie schwer es ist, sowas richtig zu implementieren. Gut, ist halt TK-Safe, ist 283 00:25:17,330 --> 00:25:22,790 noch in der Betaphase. Die sind noch nicht live damit in der Produktivphase, also im 284 00:25:22,790 --> 00:25:25,610 Betatest. Ihr könnt euch wieder anmelden wenn ihr möchtet, aber 285 00:25:25,610 --> 00:25:29,483 Flüchtigkeitsfehler, passiert. Lasst mal die Erfahrung sprechen, die die schon 286 00:25:29,483 --> 00:25:32,700 lange dabei sind, die wirklich seit Jahrzehnten auf dem Markt sind. Das ist 287 00:25:32,700 --> 00:25:38,559 CompuGroup. CompuGroup CGM Life, 5000 Mitarbeiter, knapp 600 Millionen 288 00:25:38,559 --> 00:25:43,660 Jahresumsatz, in 55 Ländern, die müssten's wissen. Die haben eine Plattform, "CGM Life" 289 00:25:43,660 --> 00:25:48,940 nennt die sich. Und auf dieser Plattform, das ist eine Secret Medical Cloud. Da 290 00:25:48,940 --> 00:25:53,170 laufen alle möglichen Anwendungen, viele Anwendungen, die Gesundheitsdaten 291 00:25:53,170 --> 00:25:57,880 austauschen wollen verknüpfen sich einfach mit diesem CGM Life und speichern da ihre 292 00:25:57,880 --> 00:26:04,600 Daten und tauschen die aus. So, einige dieser Anwendungen sind durch Zwei-Faktor- 293 00:26:04,600 --> 00:26:08,440 Authentifizierung geschützt, zum Beispiel bei der Axa. Wenn ich mich bei der Axa 294 00:26:08,440 --> 00:26:12,430 "Meine Gesundheit" einloggen möchte. Wer ist hier privatversichert bei der Axa? Nicht 295 00:26:12,430 --> 00:26:18,650 die Hand heben! Aber, wir sollten es wissen. Da brauche ich einen Authentification- 296 00:26:18,650 --> 00:26:21,050 Code, ansonsten komme ich da nicht rein. Und das ist diesmal richtig gemacht, nicht 297 00:26:21,050 --> 00:26:24,270 wie bei Vivy. Da kann ich nichts bruteforcen, das ist schön sicher. Problem 298 00:26:24,270 --> 00:26:28,140 ist es nur, ich habe ja gesagt, das ist eine Plattform und ich kann entweder über 299 00:26:28,140 --> 00:26:32,761 Axa da reingehen, da geht es nicht. Oder ich gehe direkt über CGM Life in diese 300 00:26:32,761 --> 00:26:36,910 Plattform: Wow, da geht's. Da brauche ich keinen zweiten Faktor. Ist natürlich 301 00:26:36,910 --> 00:26:40,890 bisschen doof, wenn ich verschiedene Zugänge habe, verschiedene Türen zum Haus, 302 00:26:40,890 --> 00:26:44,850 die eine ist mit Kamera ausgestattet, die andere lässt sich mit einem Schlüssel oder 303 00:26:44,850 --> 00:26:51,000 mit eine Hammer öffen – bringt nichts. Dasselbe wie bei Vivy ist hier auch 304 00:26:51,000 --> 00:26:54,470 passiert. Ich weiß nicht, wer da von wem abgeschaut hat. Wahrscheinlich eher Vivy 305 00:26:54,470 --> 00:26:59,520 von denen, weil die sind älter. Ich kann Akten austauschen: sechsstellige PIN. Das 306 00:26:59,520 --> 00:27:02,740 sagt einigen vielleicht jetzt schon was. Ich kriege eine sechsstellige PIN. Unter 307 00:27:02,740 --> 00:27:06,850 dieser PIN, die gebe ich meinem Arzt, dann kann der Arzt unter aktenblickpunkt.de 308 00:27:06,850 --> 00:27:11,070 diese PIN eingeben und da auf meine komplette Gesundheitsakte zugreifen. Ja 309 00:27:11,070 --> 00:27:15,860 gut, sechsstellige PIN, ist ziemlich leicht gebruteforced und das geht hier auch. 310 00:27:15,860 --> 00:27:19,840 Und da kann ich wieder auf entweder auf die Gesundheitsdaten komplett zugreifen 311 00:27:19,840 --> 00:27:26,950 oder zumindest ein paar Meta-Informationen abgreifen. Erstaunliche Parallele. Was wir 312 00:27:26,950 --> 00:27:31,929 sonst noch... was ist jetzt allerdings das große Problem ist dieser Plattform? Das 313 00:27:31,929 --> 00:27:36,940 ist, ja, diese Plattform macht alles richtig und versucht alles richtig zu 314 00:27:36,940 --> 00:27:42,330 machen. Man hat eine Elliptic Curve Encryption hier implementiert mit einer 315 00:27:42,330 --> 00:27:46,179 sicheren elliptischen Kurve. Das wird Client-seitig alles verschlüsselt, es 316 00:27:46,179 --> 00:27:49,920 werden keine Passwörter über den Äther geschickt. Ich sende also nur meine 317 00:27:49,920 --> 00:27:54,510 E-Mail-Adresse an CGM, bekomme dann einen Public Key und einen Secret zurück. Da 318 00:27:54,510 --> 00:27:59,120 habe ich mir gedacht: Einen Secret bekomme ich zurück, wenn ich eine E-Mail-Adresse 319 00:27:59,120 --> 00:28:04,820 hinschicke?. Warum heißt das Secret? Es ist ein Key Derivation Secret. Was nehmen 320 00:28:04,820 --> 00:28:08,590 wir jetzt? Ich habe hier eine Key Derivation Function, 321 00:28:08,590 --> 00:28:13,120 Schlüsselableitungsfunktion. Der gebe ich mein Passwort plus dieses Secret, was ich 322 00:28:13,120 --> 00:28:20,490 da bekomme und dann kriege ich Client- seitig, offline den Private Key, also das 323 00:28:20,490 --> 00:28:26,030 Passwort, der Zugang zu dieser Gesundheitsakte. Wenn ich das richtige 324 00:28:26,030 --> 00:28:29,559 Passwort gewählt habe, dann passt diese Private Key zum Public Key von 325 00:28:29,559 --> 00:28:38,980 meyer@ccc.de. Dann kann ich mich einloggen. Wenn er nicht stimmt, das 326 00:28:38,980 --> 00:28:43,862 Passwort, muss ich halt nochmal weiter probieren. Wenn ich nicht der Meyer bin, 327 00:28:43,862 --> 00:28:47,600 probiere ich es halt so lange, bis es klappt. Und ich habe ja den Public Key und 328 00:28:47,600 --> 00:28:52,420 das Secret offline verfügbar. Da muss ich nicht mehr mit CGM, mit einem Server 329 00:28:52,420 --> 00:28:56,940 interagieren. Ich lade mir das runter und starte dann einen Wörterbuch-Angriff oder 330 00:28:56,940 --> 00:29:00,900 etwas Ähnliches. Das ganze Verfahren sogar patentiert worden, inklusive des Fehlers. 331 00:29:00,900 --> 00:29:10,650 *Gelächter* Also nicht nachbauen! Kostet. Ja, ich hab 332 00:29:10,650 --> 00:29:14,510 mal geschaut, ob das überhaupt relevant ist. Dropbox: der Vinzent Haupert, der 333 00:29:14,510 --> 00:29:18,820 sich mit Online-Banking beschäftigt hat, letztes, vorletztes Jahr, hat auch Dropbox 334 00:29:18,820 --> 00:29:21,540 genommen. Da habe ich gedacht, das passt ja thematisch: Onlinebanking, zu diesem 335 00:29:21,540 --> 00:29:24,620 Talk. Habe ich auch Dropbox genommen, habe die E-Mail-Adressen aller Deutschen 336 00:29:24,620 --> 00:29:31,321 runtergeladen und mal geschaut, wer davon bei CGM angemeldet ist und dann mal ein 337 00:29:31,321 --> 00:29:36,170 großes Wörterbuch genommen und mal geschaut, was da so für Passwörter 338 00:29:36,170 --> 00:29:40,730 rausfallen. Also für eine Gesundheitsakte waren die jetzt nicht sehr kreativ. Also, 339 00:29:40,730 --> 00:29:44,180 muss ich sagen. Da hätte ich von den Deutschen mehr erwartet, die ja im 340 00:29:44,180 --> 00:29:49,730 Datenschutz so gebildet sein sollen. Aber gut. Drei Prozent aller Dropbox-User aus 341 00:29:49,730 --> 00:29:53,070 Deutschland waren auch bei CGM angemeldet und auf meinem kleinen 342 00:29:53,070 --> 00:30:00,860 Laptop von vor vier Jahren habe ich drei Prozent davon errechnet. 343 00:30:00,860 --> 00:30:11,110 *Applaus* Natürlich nur eine Stichprobe. Also wir 344 00:30:11,110 --> 00:30:15,800 haben jetzt gezeigt, so ein kleiner Rundumschlag: Ist wohl nichts. Das 345 00:30:15,800 --> 00:30:22,620 ArzneimittelkontoNRW basiert übrigens auch auf CGM Life – wer das nutzen sollte... 346 00:30:22,620 --> 00:30:27,110 Vivy, gesundheitsakte.de habe ich hier jetzt ausgeklammert. Aber die haben auch 347 00:30:27,110 --> 00:30:30,600 ein paar Probleme. docdirect, CGM Life, CLICK DOC, TeleClinic, CGM Life, 348 00:30:30,600 --> 00:30:32,760 eSERVICES, TK-SAFE, mediteo, MEINE GESUNDHEIT, meinarztdirekt und so weiter 349 00:30:32,760 --> 00:30:38,500 und so fort und so fort. Alle haben die irgendwie dann doch nicht. Wir sind noch 350 00:30:38,500 --> 00:30:44,100 nicht mal auf dem Niveau vom Online- Banking. Schade. So what. Wir wissen alle, 351 00:30:44,100 --> 00:30:48,260 es gibt keine perfekte Sicherheit. Das werden wir nie erreichen. Wir müssen mit 352 00:30:48,260 --> 00:30:52,690 Wahrscheinlichkeiten rechnen. So, dann schauen wir uns mal die 353 00:30:52,690 --> 00:30:56,590 Wahrscheinlichkeiten an. So große Unternehmen wie CGM, die müssen Risiko 354 00:30:56,590 --> 00:30:59,460 veröffentlichen. Also in ihrem Finanzreport, hab ich mal geschaut, 355 00:30:59,460 --> 00:31:04,580 gibt's Datenverarbeitungsrisiken. Ist der Finanzreport vom letzten Jahr. Da steht: 356 00:31:04,580 --> 00:31:09,310 "Die Kunden von uns nutzen unsere Produkte, um sehr vertrauliche Informationen zur 357 00:31:09,310 --> 00:31:15,390 Gesundheit zu speichern, zu verarbeiten und zu übertragen." Sollten eben doch 358 00:31:15,390 --> 00:31:20,600 Sicherheitsprobleme auftauchen, dann könnte das zu Schadenersatzansprüchen, 359 00:31:20,600 --> 00:31:24,390 Bußgeldern, Geldstrafen und Ähnlichem führen, die dann GCM abführen muss. Und 360 00:31:24,390 --> 00:31:28,370 deswegen ist es ein Risiko für CGM, weil natürlich ein finanzieller Schaden 361 00:31:28,370 --> 00:31:35,290 entsteht. Und jetzt schauen wir mal. Gegenüber dem Kunden sagt CGM: Paramount 362 00:31:35,290 --> 00:31:41,470 priority. Da gibts nichts, Security ist alles. Also absolut sicher. Hier heißt 363 00:31:41,470 --> 00:31:47,460 es: Ja wir erwarten im Jahr vier Millionen Schaden. Im Durchschnitt. 364 00:31:47,460 --> 00:31:52,090 Jahreshöchstschaden, da sind wir schon bei 18 Millionen. Mit fünf Prozent Wahrscheinlichkeit 365 00:31:52,090 --> 00:31:56,200 tritt ein höherer, unerwarteter Schaden in den Datenverarbeitungsrisiken ein. Das 366 00:31:56,200 --> 00:31:59,100 kann man sich jetzt ausmalen, das kann natürlich auch sein, dass die ganze 367 00:31:59,100 --> 00:32:03,960 Datenverarbeitung den Bach hinuntergeht. Aber es kann natürlich auch sein, dass die 368 00:32:03,960 --> 00:32:07,870 ganzen Daten offenliegen. Also fünfprozentige Wahrscheinlichkeit. Nehmen wir einfach mal 369 00:32:07,870 --> 00:32:13,700 diese fünf Prozent und schauen wir, was passiert. Also im ersten Jahr: 95 Prozent der 370 00:32:13,700 --> 00:32:19,830 Wahrscheinlichkeit sind wir sicher. Im zweiten Jahr 90 Prozent. Im dritten Jahr 371 00:32:19,830 --> 00:32:23,920 sind wir noch bei 86 Prozent. Das Problem bei Gesundheitsdaten ist: Die sind sehr 372 00:32:23,920 --> 00:32:27,970 langlebig. Nach fünfizig Jahren sind meine Gesundheitsdaten immer noch sehr wertvoll, 373 00:32:27,970 --> 00:32:30,600 denn ich kann meine Gesundheit ja nicht ändern. Also wenn ich damals eine 374 00:32:30,600 --> 00:32:35,110 Erbkrankheit hab, hab ich in 50 Jahren immer noch. Es sei denn, die Zukunft 375 00:32:35,110 --> 00:32:41,110 bringt eine Erlösung in dem Bereich. Aber wir gehen mal davon aus. So, 50 Jahre: 376 00:32:41,110 --> 00:32:49,690 habe ich acht Prozent Wahrscheinlichkeit. Naja... Das will man nicht. Aber vielleicht ist ja 377 00:32:49,690 --> 00:32:54,890 diese fünf Prozent übertrieben. Oder nicht nur auf, dass diese Daten veröffentlicht 378 00:32:54,890 --> 00:32:57,030 werden, bezogen. Vielleicht habe ich einen Fehler gemacht oder was anderes 379 00:32:57,030 --> 00:33:00,030 hineininterpretiert. Schauen wir in die USA. In den letzten fünf Jahren in den USA 380 00:33:00,030 --> 00:33:05,890 wurden im Durchschnitt dreißig Millionen Patientenakten gestohlen, gehackt, 381 00:33:05,890 --> 00:33:10,470 verkauft. Und das sind nur die öffentlich gemeldeten, also die meldepflichtig waren. 382 00:33:10,470 --> 00:33:17,490 30 Millionen, das sind knapp zehn Prozent der US Population. Naja, zehn Prozent. Ich habe 383 00:33:17,490 --> 00:33:23,491 eben mit fünf Prozent geschätzt. Kommt eigentlich ganz gut hin. Norwegen 2018. Nicht dass 384 00:33:23,491 --> 00:33:29,090 wir sagen, es sind nur die Amerikaner. In Europa haben wir ja höheren Datenschutz. 385 00:33:29,090 --> 00:33:34,070 In Norwegen, dieses Jahr: Jeder dritte Norweger ist jetzt einem unbekannten 386 00:33:34,070 --> 00:33:38,620 Angreifer gegenüber sehr bekannt, wie seine Gesundheit aussieht. Drei Millionen 387 00:33:38,620 --> 00:33:42,690 Patientenakten wurden gestohlen. Dänemark 2016 gab es einen lustigen Vorfall. Ah, 388 00:33:42,690 --> 00:33:46,780 nicht lustig. Tschuldigung. Das Wort muss ich wirklich hier zurücknehmen. Da wurden 389 00:33:46,780 --> 00:33:50,690 zwei CDs mit allen, fast allen Gesundheitsdaten der Bevölkerung aus 390 00:33:50,690 --> 00:33:53,299 Versehen an die Visastelle, an die chinesische Visastelle geschickt. 391 00:33:53,299 --> 00:33:56,140 *Verhaltenes Lachen* Das passiert, ja. Passiert. Ich habe auch 392 00:33:56,140 --> 00:34:01,700 schon mal ne Adresse falsch geschrieben. *Lachen und Applaus* 393 00:34:01,700 --> 00:34:09,260 Ich weiß nicht, ob sie die zurückgeschickt haben. 394 00:34:09,260 --> 00:34:16,080 *Lachen* Müssen wir mal nachfragen. Ja gut. Aber 395 00:34:16,080 --> 00:34:18,610 wir sind hier Deutschland, da kann man solche Sachen ja prüfen lassen, 396 00:34:18,610 --> 00:34:22,239 zertifizieren lassen, gemäß Standards arbeiten, Normen anlegen. Wir haben ja 397 00:34:22,239 --> 00:34:30,051 Mittel dagegen. Helfen Zertifikate? Diese Zertifikate stammen von den Apps, die ich 398 00:34:30,051 --> 00:34:37,810 eben gezeigt habe. Wir sind hier bei allen möglichen, unter anderem Security, Trusted 399 00:34:37,810 --> 00:34:43,969 Privacy, E-Privacy. Der Landesbeauftragte für Datenschutz Rheinland-Pfalz hat unter 400 00:34:43,969 --> 00:34:47,580 anderem CGM LIFE geprüft, meine- gesundheit, und für gut befunden und so 401 00:34:47,580 --> 00:34:52,080 fort und so weiter. Zertifikate können das Problem nicht beheben. Sie sind vielleicht 402 00:34:52,080 --> 00:34:57,550 ein Indikator, ein Hinweis für etwas, aber nicht dafür, dass diese Apps frei sind von 403 00:34:57,550 --> 00:35:03,770 Sicherheitsmängeln. Wir schauen es bei Vivy noch mal ganz kurz an. Vivy hatte ein 404 00:35:03,770 --> 00:35:07,630 Datenschutzgutachten machen lassen und ein Gütesiegel bekommen, eine 405 00:35:07,630 --> 00:35:10,980 Sicherheitsprüfung und ein TÜV-Zertifikat bekommen, zwei Pentests von 406 00:35:10,980 --> 00:35:14,100 unterschiedlichen Unternehmen durchführen lassen. Ich kann nicht sagen, welcher Scope 407 00:35:14,100 --> 00:35:19,030 oder – das wird ja nicht veröffentlicht. Nach diesem Sicherheitsvorfall noch einmal 408 00:35:19,030 --> 00:35:26,670 zwei komplette Pentests und danach dann dieses Beispiel eingangs, das ich gezeigt 409 00:35:26,670 --> 00:35:34,940 habe. Nach diesem ganzen Aufwand war die App nicht sicher. Und jetzt? Was machen 410 00:35:34,940 --> 00:35:41,369 wir jetzt? Ich zähle noch mal auf: Es gibt grundlegende Probleme bei allen 411 00:35:41,369 --> 00:35:48,000 elektronischen Gesundheits-Apps, bei denen, die einmal unsere Gesundheitsdaten 412 00:35:48,000 --> 00:35:52,930 verwalten sollen. Sicherheit ist ein Wettbewerbsnachteil, das haben wir zum 413 00:35:52,930 --> 00:35:57,720 Beispiel bei Vivy gesehen. Vivy hat Pentests, Zertifikate, Bugbounties erst 414 00:35:57,720 --> 00:36:01,760 nachher durchführen lassen. Zum großen Teil auch vorher schon, aber eben nicht in 415 00:36:01,760 --> 00:36:07,170 sichere Architektur gesetzt. Das zeigt sich schon: Wenn von der Allianz der CISO 416 00:36:07,170 --> 00:36:12,270 kommen muss, weil man bei Vivy eine Sicherheitslücke meldet, dass da bei Vivy 417 00:36:12,270 --> 00:36:17,170 kein professioneller IT-Security-Analyst da war, der sich damit auskennt. Ist halt 418 00:36:17,170 --> 00:36:22,800 ein Start-Up. Von all diesen Apps, die ich eben aufgezählt habe, mit diesen Apps 419 00:36:22,800 --> 00:36:28,100 laufen coordinated disclosure-Verfahren. Die sind schon seit zweieinhalb Monaten 420 00:36:28,100 --> 00:36:32,590 bekannt. Wenn ich jetzt diesen Report nicht mit Kostenstelle veröffentlicht 421 00:36:32,590 --> 00:36:35,590 hätte, hätte keiner von euch davon gehört. Es gab hier keine Meldungen an 422 00:36:35,590 --> 00:36:41,001 Aufsichtsbehörden oder irgendwen. Das heißt: Wenn kümmerts. Ein Angreifer würde 423 00:36:41,001 --> 00:36:45,670 das nicht öffentlich machen. Und dann haben wir jetzt neu: 2019 soll die 424 00:36:45,670 --> 00:36:49,370 Patientenakte kommen. Die Patientenakte soll wirklich sicher werden. Die ist vom 425 00:36:49,370 --> 00:36:52,740 BSI mit der gematik zusammen ausgearbeitet worden. Die Spezifikation ist seit ein 426 00:36:52,740 --> 00:36:58,050 paar Tagen online. gematik.de, einfach mal anschauen. Die Spezifikationen für den 427 00:36:58,050 --> 00:37:02,660 Tablet und mobilen Zugang kommt noch, in drei Monaten, spätestens. Unbedingt mal 428 00:37:02,660 --> 00:37:05,570 reinschauen, was da drin steht für die, die es interessiert. Die soll dann auch 429 00:37:05,570 --> 00:37:12,240 wirklich sicher sein. Wer weiß. Aber es ist auch gar nicht so relevant, weil, wenn 430 00:37:12,240 --> 00:37:15,550 ich ein Anbieter bin, warum soll ich eine Patientenakte anbieten, wenn ich genauso 431 00:37:15,550 --> 00:37:19,650 gut eine Gesundheitsakte anbieten kann und mit der Gesundheitsakte auch an die 432 00:37:19,650 --> 00:37:23,210 Telematik in der Infrastruktur gekoppelt werde, aber eben nicht diese ganzen 433 00:37:23,210 --> 00:37:26,760 Standards einhalten muss. Vivy ist eine Gesundheitsakte und keine Patientenakte. 434 00:37:26,760 --> 00:37:32,869 Das ist ein sehr wichtiges Wortspiel. Das wird aber wahrscheinlich keiner in der 435 00:37:32,869 --> 00:37:38,040 Öffentlichkeit wahrnehmen, dass es da einen großen Unterschied gibt. Das Hauptproblem 436 00:37:38,040 --> 00:37:41,215 aus meiner Sicht ist: Gesundheitsdaten sind keine Bankdaten. Ich kann hier keine 437 00:37:41,215 --> 00:37:44,470 finanzielle Risikoanalyse ausstellen und sagen: "Wir haben ein Jahresbudget von 18 438 00:37:44,470 --> 00:37:49,310 Millionen und damit hat sich das." Das hat gesellschaftliche Auswirkungen, wenn diese 439 00:37:49,310 --> 00:37:52,790 Daten öffentlich sind. Wir können nicht 18 Millionen zahlen und dann haben wir eine 440 00:37:52,790 --> 00:37:55,810 neue Kreditkarte und dann ist alles vergessen. Das geht nicht. Die Daten sind 441 00:37:55,810 --> 00:38:01,171 dann bei irgendwem, irgendwo. Als HIV- Infizierte darf ich dann nicht mehr in 442 00:38:01,171 --> 00:38:03,820 andere Länder reisen, weil die dann ganz genau wissen, was ich da für ansteckende 443 00:38:03,820 --> 00:38:08,900 Krankheiten habe. Dann kann ich mir das streichen. Oder, falls ein deutscher 444 00:38:08,900 --> 00:38:12,690 Politiker auf die Idee kommt, dass man Infizierte mit bestimmten Krankheiten... 445 00:38:12,690 --> 00:38:18,831 Die Szenarien kann man sich ausdenken. Die sind jetzt nicht erfunden. Seehofer hatte 446 00:38:18,831 --> 00:38:23,240 mal drüber nachgedacht, HIV-Infizierte zu konzentrieren, als das Thema neu war. Mit 447 00:38:23,240 --> 00:38:27,401 so einer Gesundheitsakte oder Patientenakte ist das kinderleicht. Es 448 00:38:27,401 --> 00:38:29,840 entsteht hier nicht ein finanzieller Schaden, sondern ein gesellschaftlicher 449 00:38:29,840 --> 00:38:34,510 Schaden und ein langfristiger Schaden über Generationen hinweg. 23andMe und so 450 00:38:34,510 --> 00:38:40,090 weiter, die ganzen DNA-Analyse-Services, gab es ja schon Vorfälle, aber was 451 00:38:40,090 --> 00:38:43,960 Richtiges ist wohl noch nicht passiert. Wir wissen es nicht. Aber wenn ich mein 452 00:38:43,960 --> 00:38:48,080 Genom dann sequenziert in der App speichere, dann haben auch meine Kinder 453 00:38:48,080 --> 00:38:54,220 noch was davon. Es gibt keine langfristig sicheren Datenspeicher. Der Professor 454 00:38:54,220 --> 00:38:58,200 Buchmann von der TU Darmstadt hat jetzt erst vor zwei Wochen – ein anerkannter 455 00:38:58,200 --> 00:39:03,440 Kryptologe – darüber veröffentlicht, dass wir in 20 Jahren keine sicheren 456 00:39:03,440 --> 00:39:08,410 Gesundheits-Apps haben. Nein, keinen Speicher haben, der für 20 Jahre sichere 457 00:39:08,410 --> 00:39:13,540 Speicherung garantieren kann. In 20 Jahren sind wahrscheinlich alle jetzt auf 458 00:39:13,540 --> 00:39:16,410 höchstem Stande verschlüsselten Daten öffentlich, für jeden, der sie jetzt 459 00:39:16,410 --> 00:39:20,270 einsammelt. Und das ist ein ganz großes Problem, das wird nirgendwo besprochen. 460 00:39:20,270 --> 00:39:25,210 Also wenn ich jetzt fleißig Daten sammele, in zwanzig Jahren haben die noch denselben Wert 461 00:39:25,210 --> 00:39:28,600 oder einen viel höheren Wert. Das ist anders als Bankdaten. Wenn ich jetzt 462 00:39:28,600 --> 00:39:33,040 anfange, Bankdaten zu sammeln, interessiert die in zwanzig Jahren keiner mehr. 463 00:39:33,040 --> 00:39:37,820 Gesundheitsdaten schon. Und das denke nicht ich, das denkt Johannes Buchmann, 464 00:39:37,820 --> 00:39:43,430 Professor an der TU Darmstadt, und wenn er das so sieht, dann vertrau ich dem. Wie 465 00:39:43,430 --> 00:39:49,440 sieht die Zukunft aus? Die Welt hat es mal schön dargestellt: "Angst vor 466 00:39:49,440 --> 00:39:53,470 Datenmissbrauch hemmt Fortschritt im Gesundheitswesen.": "Der Patient muss 467 00:39:53,470 --> 00:39:58,410 wissen, dass Datenmissbrauch sowohl strafbar als auch enorm schwer 468 00:39:58,410 --> 00:40:07,380 durchzuführen ist." Enorm schwer. "Wer sich der elektronischen Gesundheitsakte 469 00:40:07,380 --> 00:40:12,530 bei erfolgreicher Implementierung trotz jeglicher Sicherheitsvorkehrungen 470 00:40:12,530 --> 00:40:17,910 verweigert, sollte zwar zunächst keinen spürbaren Qualitätsverlust der Behandlung 471 00:40:17,910 --> 00:40:23,010 per se erleiden, kann aber auch nicht in den Genuss eines schnellen und bequemen 472 00:40:23,010 --> 00:40:29,110 Behandlungsablaufs kommen." Und dann resümiert man bei der Welt: "Längerfristig 473 00:40:29,110 --> 00:40:33,930 muss man damit rechnen, dass mangelndes Vertrauen mit Einbußen in der 474 00:40:33,930 --> 00:40:39,710 Behandlungsqualität vergolten wird." Da muss ich zustimmen, die Patientenakte wird 475 00:40:39,710 --> 00:40:44,830 kommen. Das führt zu vielen Vorteilen. Es hat wirklich Vorteile. Die liegen auf der 476 00:40:44,830 --> 00:40:48,609 Hand. Ich kann Doppeluntersuchungen vermeiden. Ich kann Fehlmedikation 477 00:40:48,609 --> 00:40:53,980 vermeiden, weil ich die Wechselwirkungen automatisch erkenne. Ich kann Patienten 478 00:40:53,980 --> 00:40:58,660 besser steuern. Ich kann sie anschreiben, wenn irgendwo was aufgetaucht ist: Neue 479 00:40:58,660 --> 00:41:02,270 Behandlungsmethode, Wechselwirkungen zu irgendeinem Medikament, irgendein Rückruf. 480 00:41:02,270 --> 00:41:08,840 Es geht alles über die Patientenakte, hat sehr viele Vorteile. Und wenn sich jemand 481 00:41:08,840 --> 00:41:13,800 hier entscheidet, seinen Kindern keine solche Akte anzulegen, Patientenakte, 482 00:41:13,800 --> 00:41:17,760 trägt er dann das Risiko dafür, dass die Kinder eine höhere Sterblichkeit haben 483 00:41:17,760 --> 00:41:25,260 oder schlechtere Behandlungsqualität oder länger warten müssen? Wenn neunzig Prozent der 484 00:41:25,260 --> 00:41:28,460 Bevölkerung diese elektronische Patientenakte nutzen und ihr seid die zehn 485 00:41:28,460 --> 00:41:32,590 Prozent oder zwei Prozent oder ein Prozent, leidet ihr darunter, 486 00:41:32,590 --> 00:41:43,210 beziehungsweise auch wir. Und das ist die Realität. Damit schließe ich den Talk. Hat 487 00:41:43,210 --> 00:41:47,720 jetzt mehr Fragen aufgeworfen am Ende. Genau das ist aber auch die Intention. Ich 488 00:41:47,720 --> 00:41:53,090 will das zeigen, wie es aussieht,was kommt und will jetzt eine Debatte anstoßen. Denn 489 00:41:53,090 --> 00:41:56,600 jetzt können wir noch beeinflussen. Jetzt haben wir noch die Möglichkeit, auf das 490 00:41:56,600 --> 00:42:02,619 Update für das E-Health-Gesetz, das heißt Termin- irgendwas Vorsorge-Gesetz, 491 00:42:02,619 --> 00:42:07,270 Einfluss zu nehmen. Noch können wir Abgeordnete anschreiben. Noch können wir 492 00:42:07,270 --> 00:42:12,560 Dinge fordern oder uns Gedanken machen. Und wir können uns überlegen, wie eine 493 00:42:12,560 --> 00:42:16,050 Gesellschaft aussieht, in der alle unsere Gesundheitsdaten offenliegen. Wir können 494 00:42:16,050 --> 00:42:20,700 uns überlegen, wie wir diese Folgen davon abschätzen und wie wir sie vielleicht auch 495 00:42:20,700 --> 00:42:24,310 verhindern können. Und Technikfolgenabschätzungen, damit 496 00:42:24,310 --> 00:42:27,350 beschäftigen wir uns ja hier. Deswegen ganz herzlichen Dank, dass ihr alle 497 00:42:27,350 --> 00:42:30,230 zugehört habt. Und wenn jetzt es Fragen da sind, Anregungen, Diskussionen, freue ich 498 00:42:30,230 --> 00:42:55,890 mich sehr. *Applaus* 499 00:42:55,890 --> 00:43:00,180 Herald: Sind denn Fragen aus dem Internet da? Dann mach mal, stell eine. 500 00:43:00,180 --> 00:43:05,110 Signal Angel: Ich fang mal mit einer vom Anfang an. Da geht es mehr oder weniger um 501 00:43:05,110 --> 00:43:10,980 Nutzung von Vivy, wie man da hinkommt und inwiefern das mit Identifikationssystemen 502 00:43:10,980 --> 00:43:14,670 verbunden ist. Also wahrscheinlich Post- Ident oder so, oder ob man eine 503 00:43:14,670 --> 00:43:19,720 Wegwerfadresse nutzen kann. Martin: Bei Vivy zum Beispiel muss man ein 504 00:43:19,720 --> 00:43:22,900 Video von sich aufnehmen mit seinem Personalausweis. Ich habe einen 505 00:43:22,900 --> 00:43:27,140 Zwillingsbruder. Ich wollte das mal testen. Man muss nur seinen Namen 506 00:43:27,140 --> 00:43:32,570 austauschen und wird dann als der auf dem Personalausweis identifizierte Bürger in 507 00:43:32,570 --> 00:43:36,490 Vivy hinterlegt und kann dann im Namen dieses Versicherten Daten anfragen. So 508 00:43:36,490 --> 00:43:40,690 sieht es bei Vivy aus. Andere Verfahren nutzen gerade die privaten 509 00:43:40,690 --> 00:43:46,750 Krankenversicherten, andere Methoden der Verifikation, aber nicht unbedingt sicher. 510 00:43:46,750 --> 00:43:50,720 Herald: Du, mir fällt da gerade noch eine Frage ein. Für diese supertoll 511 00:43:50,720 --> 00:43:53,100 geschriebene Software, wie viel Geld haben die nochmal bekommen? 512 00:43:53,100 --> 00:43:54,430 Martin: Vivy? Herald: Ja. 513 00:43:54,430 --> 00:43:58,030 Martin: Das ist von Bitmarck, von dem IT- Dienstleister von neunzig Krankenkassen 514 00:43:58,030 --> 00:44:00,369 ausgeschrieben worden. Wieviel Geld die dafür bekommen haben, kann man bestimmt 515 00:44:00,369 --> 00:44:04,310 erfragen. Das wäre mal eine interessante Frage. Fragdenstaat.de. 516 00:44:04,310 --> 00:44:11,780 Herald: Sehr schön. Mikrofon acht bitte. Mikrofon 8: Moinmoin. Ich hatte überlegt, 517 00:44:11,780 --> 00:44:15,550 noch einen Kommentar zu geben, aber ich mache eine Frage draus. 518 00:44:15,550 --> 00:44:19,130 Herald: Danke. Mikrofon 8: Letztens, im zweitvorherigen 519 00:44:19,130 --> 00:44:28,630 Talk, ging es um diese Venenbilder. Und da meinte der... wie war sein Name? Ich habe 520 00:44:28,630 --> 00:44:32,599 es vergessen. Der meinte, wir müssten mal in der Datenschleuder dann die Venenbilder 521 00:44:32,599 --> 00:44:37,392 von irgendeinem Minister haben. Und ich denke, eigentlich bräuchten wir die 522 00:44:37,392 --> 00:44:41,200 Gesundheitsakte von einem Minister. Martin: Das hätte eine Schockwirkung, ja. 523 00:44:41,200 --> 00:44:43,670 Mikrofon 8: Und das ist meine Frage. Martin: Aber... 524 00:44:43,670 --> 00:44:47,960 Mikrofon 8: Würde das irgendwas bringen? Martin: Wahrscheinlich nicht. Es wäre 525 00:44:47,960 --> 00:44:52,820 zumindest eine Aktion, die nicht den Respekt der Gesellschaft dir bringt, der 526 00:44:52,820 --> 00:44:56,470 es dir ermöglicht, eine Änderung zu erkämpfen, aus meiner Sicht. Aber da haben 527 00:44:56,470 --> 00:44:58,540 viele andere Meinungen. Das wäre vielleicht etwas, was man persönlich 528 00:44:58,540 --> 00:45:02,690 diskutieren kann. Herald: Mikrofon vier bitte. 529 00:45:02,690 --> 00:45:10,020 Mikro 4: In den letzten Tagen ging eine Meldung durch die verschiedenen Zeitungen, 530 00:45:10,020 --> 00:45:17,500 dass Frau Dorothea Bär, Staatsministerin, gesagt habe, das Problem, dass die 531 00:45:17,500 --> 00:45:23,300 Digitalisierung des Gesundheitswesens bei uns so hintendran ist, da gab's einen 532 00:45:23,300 --> 00:45:28,960 OECD-Report, wo wir auf dem vorletzten Platz gelandet sind, das läge an dem 533 00:45:28,960 --> 00:45:33,230 Datenschutz. Und wir müssten dort abrüsten. Haben wir nicht schon längst 534 00:45:33,230 --> 00:45:35,860 abgerüstet? Martin: Ich meine, wir können jetzt nicht 535 00:45:35,860 --> 00:45:39,200 Deutschland sagen, ohne die gesamte Europäische Union zu vergleichen. Wir 536 00:45:39,200 --> 00:45:41,960 haben ja überall dieselbe Datenschutzgrundsatzverordnung. Deshalb 537 00:45:41,960 --> 00:45:45,630 verstehe ich das Argument erstmal nicht, dass wir in Deutschland einen besonders 538 00:45:45,630 --> 00:45:48,460 guten Datenschutz haben. Das ist nämlich dasselbe wie in allen anderen Ländern der 539 00:45:48,460 --> 00:45:51,640 Europäischen Union. Und ich habe ja paar Beispiele gezeigt: 540 00:45:51,640 --> 00:45:58,540 Norwegen usw. Da hilft es ja auch nichts. Also abrüsten ist, glaube ich, nicht die 541 00:45:58,540 --> 00:46:04,200 Lösung. Nein. Das Gegenteil ist der Fall. Herald: Das Internet, bitte nochmal! 542 00:46:04,200 --> 00:46:11,950 Internet: Inwiefern wurden denn bei den — es waren ja jetzt bisher nur gesetzliche 543 00:46:11,950 --> 00:46:16,359 Krankenkassen — wurden denn betriebliche Krankenkassen überprüft? 544 00:46:16,359 --> 00:46:20,270 Martin: Betriebliche Krankenkassen? Ich glaube, da waren einige dabei. Bei Vivy 545 00:46:20,270 --> 00:46:24,790 sind, glaube ich - oder bei TeleClinic z. B., die stellen Betriebsärzte und so 546 00:46:24,790 --> 00:46:31,640 weiter. Also alle Anbieter, also Vivy, TeleClinic, CGM, vitabook, die sind sowohl 547 00:46:31,640 --> 00:46:34,260 privaten als auch gesetzlich Krankenversicherungen offen. Und die 548 00:46:34,260 --> 00:46:37,460 arbeiten auch sehr viel mit privaten Krankenversicherungen zusammen. Z. B. AXA. 549 00:46:37,460 --> 00:46:42,250 Wie weit jetzt betriebliche noch mit involviert sind, müsste man recherchieren. 550 00:46:42,250 --> 00:46:47,120 Herald: Mikrofon drei, bitte! Mikro 3: Mich würde interessieren, ob es 551 00:46:47,120 --> 00:46:51,411 da nicht eine Möglichkeit gibt, dass man da tatsächlich mit einem Lesegerät und der 552 00:46:51,411 --> 00:46:55,780 Gesundheitskarte etwas macht. Ich verstehe nicht, dass man da einen externen Chip 553 00:46:55,780 --> 00:47:01,100 hat, auf dem man möglicherweise die Private Keys eben nur schreibbar etc. 554 00:47:01,100 --> 00:47:05,099 speichern kann und auf der Basis nicht irgendwie ein sicheres 555 00:47:05,099 --> 00:47:09,270 Authentifizierungsmerkmal oder -methode dann eben ausbaut. 556 00:47:09,270 --> 00:47:13,840 Martin: Eine sehr gute Frage. Also wir haben ja ein Trust Anchor: Das ist ja die 557 00:47:13,840 --> 00:47:17,270 elektronische Gesundheitskarte. Da haben wir einen privaten Schlüssel drauf. Warum 558 00:47:17,270 --> 00:47:22,670 nehmen wir den nicht? Ganz einfach: Keiner hat ein USB-Lesegerät, was er einfach an 559 00:47:22,670 --> 00:47:26,130 sein Smartphone stecken kann. Und die Vision von unserem Gesundheitsminister ist 560 00:47:26,130 --> 00:47:29,990 ja, dass das über ein Smartphone, wie Online-Banking, genutzt werden soll. Denn 561 00:47:29,990 --> 00:47:33,109 bisher nutzt es ja keiner. Es nutzt ja keiner, und das bringt dann den 562 00:47:33,109 --> 00:47:37,010 Krankenkassen auch nichts. Herald: Du kannst einmal tief durchatmen - 563 00:47:37,010 --> 00:47:39,369 wir haben richtig Zeit noch, 12 Min. Martin: Ah, wir haben noch 12 Min. Da kann 564 00:47:39,369 --> 00:47:43,890 ich nochmal ganz kurz was dazu sagen: Wir haben nämlich in dem aktuellen Standard, 565 00:47:43,890 --> 00:47:49,680 den die gematik verabschiedet hat, jetzt vor paar Tagen, vor einer Woche glaub ich genau, ist 566 00:47:49,680 --> 00:47:54,560 die elektronische Patientenakte so spezifiziert, dass der Zugang nur über die 567 00:47:54,560 --> 00:48:01,330 elektronische Gesundheitsakte möglich ist. Das Problem ist, das wird niemand nutzen. 568 00:48:01,330 --> 00:48:07,720 Außer ein paar Verschrobene, die halt ihren Cardreader an den PC anschließen 569 00:48:07,720 --> 00:48:10,170 und dann einen Androidsimulator laufen lassen, oder das vielleicht gleich an das 570 00:48:10,170 --> 00:48:14,290 Androidgerät stecken. Also – das wird nicht genutzt. Und deswegen wurde jetzt auch 571 00:48:14,290 --> 00:48:19,710 schon gleich von der gematik gesagt: Spätestens bis zum März, Ende März 2019, 572 00:48:19,710 --> 00:48:24,790 kommt das Update raus. Und zwar: Patientenakte 1.1. Und da sind wir dann 573 00:48:24,790 --> 00:48:28,711 soweit. Und da wird dann spezifiziert, wie wir ohne die Gesundheitskarte darauf 574 00:48:28,711 --> 00:48:34,441 zugreifen dürfen. Und es bringt auch nichts zu sagen: "Die Patientenakte können 575 00:48:34,441 --> 00:48:39,760 wir nur mit Gesundheitskarte benutzen. Nur sicher, nur mit Gesundheitskarte." Denn da 576 00:48:39,760 --> 00:48:43,920 kommen Anbieter wie Vivy und sagen: "Bei uns geht das ohne! Kommt doch zu uns! 577 00:48:43,920 --> 00:48:50,950 Viel einfacher!" Und klar, dann nutzen die Mehrheit der Versicherten natürlich die 578 00:48:50,950 --> 00:48:56,310 einfache Variante. Das heißt, hier haben wir wirklich diesen Wettbewerbsnachteil, 579 00:48:56,310 --> 00:49:01,950 über den ich geredet habe. Die sicher spezifizierte Akte wird niemand nutzen. 580 00:49:01,950 --> 00:49:10,520 Herald: Mikrofon sechs, bitte! Mikro 6: Ja, also eine Anmerkung: Es wird 581 00:49:10,520 --> 00:49:15,920 wahrscheinlich sehr interessant, sobald es Quantencomputer gibt, die genug 582 00:49:15,920 --> 00:49:24,220 physikalische Qubits haben, um reale Qubits fehlerfrei genug zu simulieren, 583 00:49:24,220 --> 00:49:30,589 dass man tatsächlich auch Anwendungen wie beispielsweise Brute-Force an 584 00:49:30,589 --> 00:49:39,980 verschiedensten Verschlüsselungsverfahren ausführen kann, wird es sehr interessant, 585 00:49:39,980 --> 00:49:47,310 genau solche Daten eben geheim zu halten. Gerade wenn man so Reaktionen sieht, wie 586 00:49:47,310 --> 00:49:52,540 langsam das dann abläuft. Es muss ja, sobald irgendwie bekannt wird, dass es so 587 00:49:52,540 --> 00:50:00,990 einen Quantencomputer gibt, sofort auf andere Algorithmen umgestellt werden, die 588 00:50:00,990 --> 00:50:06,040 dann... ja, ich beende das einfach jetzt. Martin: Ja, also man müsste klar auf 589 00:50:06,040 --> 00:50:10,290 Quantenkryptographie zurückgreifen, Algorithmen die dort noch als sicher 590 00:50:10,290 --> 00:50:13,410 gelten. Im Zeitalter der Quantenkrypto – da gab es doch diesen Einführungstalk – 591 00:50:13,410 --> 00:50:17,230 wer war alles da? Vielleicht können da Leute jetzt die Frage beantworten. Also – 592 00:50:17,230 --> 00:50:21,190 das Problem ist, dass wir in zwanzig Jahren nicht sagen können, ob dieser oder jener 593 00:50:21,190 --> 00:50:29,180 Algorithmus dann noch Sicherheit bietet. Auch mit Quantenkryptographie. Es gibt 594 00:50:29,180 --> 00:50:32,400 Vorschläge, wie wir auch über zwanzig Jahre hinaus Gesundheitsdaten sicher speichern 595 00:50:32,400 --> 00:50:36,580 können. Und da setzen wir eben nicht auf Kryptographie, sondern auf verteilte 596 00:50:36,580 --> 00:50:39,589 Speicherung. Das heißt wir müssen die Daten ein bisschen hier, ein bisschen da, 597 00:50:39,589 --> 00:50:42,339 ein bisschen dort speichern, und versuchen, diese Zuordnung irgendwie 598 00:50:42,339 --> 00:50:45,730 geheim zu halten. Wie das genau geht, das weiß ich nicht. Habe ich nur kurz gelesen. 599 00:50:45,730 --> 00:50:49,979 Das ist der Prof. Buchmann von dem ich vorhin geredet habe. Der hat sich da wohl 600 00:50:49,979 --> 00:50:54,380 – der ist da wohl sehr kundig. Also es gibt da Ansätze, wie wir auch ohne 601 00:50:54,380 --> 00:51:00,410 kryptografisch sichere Algorithmen in zwanzig Jahren Daten noch sicher halten können. 602 00:51:00,410 --> 00:51:05,950 Problem ist nur: Die gematik spezifiziert eine zentrale Datenhaltung. Also, es ist 603 00:51:05,950 --> 00:51:09,130 jetzt spezifiziert und das ändert sich auch so schnell nicht. 604 00:51:09,130 --> 00:51:15,240 Herald: Mikrofon fünf, bitte! Mikro 5: Du hast in deinem Talk die 605 00:51:15,240 --> 00:51:19,340 Datenschutz-Grundverordnung und das finanzielle Risiko der Betreiber 606 00:51:19,340 --> 00:51:24,320 angesprochen. Wie viele Betroffene oder potentiell Betroffene müssten sich 607 00:51:24,320 --> 00:51:30,089 beschweren oder sich vertreten lassen beim Beschweren durch so etwas wie 608 00:51:30,089 --> 00:51:34,720 "Datenschmutz", damit es denen wirklich weh tut, damit die wirklich etwas daran 609 00:51:34,720 --> 00:51:37,380 ändern. Martin: Das ist nicht mein Gebiet, ist 610 00:51:37,380 --> 00:51:41,630 aber eine sehr gute Frage, und die würde ich gerne weitergeben. Vielleicht gibt es 611 00:51:41,630 --> 00:51:45,050 jemanden im Publikum, der sich damit auskennt. Also, das Problem ist ja auch: 612 00:51:45,050 --> 00:51:49,690 Wie bezifferst du den Schaden der dadurch entsteht? Also bislang hat der Betreiber 613 00:51:49,690 --> 00:51:53,390 ja keine persönliche Haftung dafür, dass er deine Gesundheitsdaten veröffentlicht 614 00:51:53,390 --> 00:51:57,460 und dass du dann in zehn Jahren keinen Job bekommst. Wie willst du das nachweisen? 615 00:51:57,460 --> 00:52:02,060 Ich glaube das wird ganz schwer und das ist etwas was wir vielleicht jetzt anregen 616 00:52:02,060 --> 00:52:06,960 sollten, darüber mal nachzudenken: Also wie beziffere ich den Schaden der 617 00:52:06,960 --> 00:52:10,180 entsteht, wenn meine Gesundheitsdaten komplett offenliegen. Meine Gesundheit für 618 00:52:10,180 --> 00:52:15,120 die nächsten 80, 70 Jahre, je nachdem wie lange ich leben möchte. Also auch die 619 00:52:15,120 --> 00:52:17,349 meiner Kinder. Herald: Mikrofon zwei! 620 00:52:17,349 --> 00:52:23,560 Mikro 2: Bei den Dingen, die ihr da entdeckt habt, an diesen Applikationen 621 00:52:23,560 --> 00:52:30,430 dort, da wird es keine zwanzig Jahre dauern, bis die Daten alle öffentlich sind. Aber diese 622 00:52:30,430 --> 00:52:35,720 Aussage, es gibt keinen Datenspeicher der auf die nächsten zwanzig Jahre sicher ist, 623 00:52:35,720 --> 00:52:41,010 ist jetzt auf einen zentralen Datenspeicher bezogen. Mal darüber nachgedacht, wie es 624 00:52:41,010 --> 00:52:45,051 eigentlich aussieht mit den ganzen Patientenmanagementsystemen, die wir jetzt 625 00:52:45,051 --> 00:52:50,130 so verstreut haben, und dann muss es eigentlich eine sehr ähnliche Aussage 626 00:52:50,130 --> 00:52:53,400 geben, und ich bin eigentlich erstaunt darüber dass man wirklich noch mit zwanzig 627 00:52:53,400 --> 00:52:55,760 Jahren rechnet. Gibt's da irgendwie Daten zu? 628 00:52:55,760 --> 00:52:59,240 Martin: Also diese zwanzig Jahre, die habe ich aus einem Zeitungsbericht oder Interview 629 00:52:59,240 --> 00:53:03,400 von dem Prof. Buchmann genommen. Da würde ich sagen: Besser mal in die Literatur 630 00:53:03,400 --> 00:53:06,450 schauen, was da wirklich dahinter steht. Aber, was die Datenspeicherung angeht: 631 00:53:06,450 --> 00:53:10,530 Momentan liegen die Daten alle verstreut in Arztinformationssystemen, 632 00:53:10,530 --> 00:53:13,869 Klinikinformationssystem, und natürlich wird hier und da schon mal was geleakt 633 00:53:13,869 --> 00:53:17,310 oder gestohlen. Problem ist halt nur, wenn die Daten auf einmal auch ausgetauscht 634 00:53:17,310 --> 00:53:20,580 werden können, und wenn es eine zentrale Datenhaltung gibt, dann wird das Ganze auf 635 00:53:20,580 --> 00:53:24,619 einmal angreifbarer. Und da muss ich nicht überall hingehen und ein bisschen was 636 00:53:24,619 --> 00:53:29,170 klauen. Und dann wird das auch viel eher genutzt, diese Datenspeicherung. Und dann 637 00:53:29,170 --> 00:53:34,130 hab ich viel eher die Möglichkeit, auch zentral Daten abzuführen. War das so – 638 00:53:34,130 --> 00:53:39,849 oder worauf zielte die Frage ab? Mikro 2: Die Firma CGM, die da genannt 639 00:53:39,849 --> 00:53:44,160 worden ist, hat mehrere Konkurrenzunternehmen aufgekauft und 640 00:53:44,160 --> 00:53:49,369 bietet den Ärzten an, dass dann die Daten konvertiert werden, weil sie diese 641 00:53:49,369 --> 00:53:53,020 Produkte nicht mehr fördern, aber eine eigene Applikation haben, die natürlich 642 00:53:53,020 --> 00:53:56,460 ganz wunderbar ist, die sie den Ärzten dann gerne verkaufen. Und dann werden die 643 00:53:56,460 --> 00:54:02,570 Daten konvertiert. Das heißt also, da gibt es schon so an einer gewissen Stelle eine 644 00:54:02,570 --> 00:54:07,510 gewisse zentrale Datenhaltung. Martin: Ja, das Problem ist, ich glaube, 645 00:54:07,510 --> 00:54:10,570 vielleicht wissen wir auch vieles noch nicht. Vielleicht ist es auch noch nicht 646 00:54:10,570 --> 00:54:14,130 so an die Öffentlichkeit gelangt, wo es denn schon Leaks gab. Also, das was ich 647 00:54:14,130 --> 00:54:17,790 aus den USA gezeigt habe, dass waren halt meldepflichtige Leaks, da wo Daten 648 00:54:17,790 --> 00:54:21,870 abhanden gekommen sind. In Deutschland habe ich da zu Gesundheitsdaten noch nicht 649 00:54:21,870 --> 00:54:25,250 viel gefunden. Herald: Mikrofon vier, bitte! 650 00:54:25,250 --> 00:54:32,320 Mikro 4: Die Gesundheitsdaten, die sollen ja auch pseudonymisiert für 651 00:54:32,320 --> 00:54:38,100 Forschungszwecke verwendet werden dürfen. Könntest das vielleicht noch ausführen? 652 00:54:38,100 --> 00:54:41,259 Martin: Ja, das habe ich jetzt nicht in diesen Talk eingebaut, das wäre nochmal 653 00:54:41,259 --> 00:54:44,820 ein komplett eigenes Thema: Pseudonymisierte Speicherung. Kann man 654 00:54:44,820 --> 00:54:49,440 kritisieren. Vivy speichert auch pseudonym, schickt dann aber z. B. deinen 655 00:54:49,440 --> 00:54:54,240 *lacht* 2-Faktor-Code mit. *Lacht* Oder: Wenn du dich in Vivy einloggst, loggt sich 656 00:54:54,240 --> 00:54:59,441 Vivy zeitgleich in dein pseudonymisiertes Konto ein und schickt dann die Daten 657 00:54:59,441 --> 00:55:03,360 pseudonymsiert da hoch. Das heißt, du bist in dein Originalkonto eingeloggt und 658 00:55:03,360 --> 00:55:07,280 gleichzeitig auch in ein Schattenkonto. Nennt sich so, "Shadow Profile". Das heißt 659 00:55:07,280 --> 00:55:10,900 du bist immer gleich zweimal angemeldet: Mit deinem Gerät, mit deinem Token und so 660 00:55:10,900 --> 00:55:16,320 weiter. Das heißt: Auf der Seite der Vivy- Plattform ist es eigentlich technisch machbar, 661 00:55:16,320 --> 00:55:20,350 dich wieder zuzuordnen. Da muss man wirklich dem Anbieter vertrauen. Es gibt ja auch 662 00:55:20,350 --> 00:55:26,030 schon Forderungen, dass man Datenspenden einfordert. Das heißt, es gab politisch die 663 00:55:26,030 --> 00:55:29,050 Forderung, dass die Datenspende erzwungen werden muss, um forschenden 664 00:55:29,050 --> 00:55:34,810 Pharmaunternehmen Zugriff zu gewähren. *lacht* ...ja. 665 00:55:34,810 --> 00:55:41,470 Herald: Mikrofon drei, bitte! Mikro 3: Nümünümünümüne...Ich dachte 666 00:55:41,470 --> 00:55:47,609 eigentlich immer, dass der Austausch von verschlüsselten Daten oder generell von, 667 00:55:47,609 --> 00:55:53,140 naja, verantwortungsvollen Daten gelöst sei. Also ich meine, in den Gremien, in 668 00:55:53,140 --> 00:55:58,230 denen ich sitze, schaffen es Leute auch wirklich sichere Daten miteinander 669 00:55:58,230 --> 00:56:04,850 auszutauschen. Ich meine, mein Seafile kann das. Warum kriegen das die Ärzte 670 00:56:04,850 --> 00:56:09,760 nicht hin? Gibt es eine Alternative, die wir den Ärzten vorschlagen könnten, die 671 00:56:09,760 --> 00:56:14,650 sie zumindest für die nächsten zehn Jahre benutzen könnten. Ob dann eben mit Post- 672 00:56:14,650 --> 00:56:19,990 Quantum-Kryptographie die Daten in Nevada, die im DE-CIX ausgelesen werden, dann doch 673 00:56:19,990 --> 00:56:22,260 entschlüsselt werden, ist ja nochmal eine andere Debatte. 674 00:56:22,260 --> 00:56:26,680 Martin: Das Problem ist: Spezifikation ist nicht immer das, was implementiert wird. 675 00:56:26,680 --> 00:56:31,660 Also für Vivy gibt es ein Whitepaper des Fraunhofer-Instituts AISEC, wo das alles 676 00:56:31,660 --> 00:56:36,020 schön spezifiziert ist. Aber was dann implementiert wurde, ist nicht unbedingt 677 00:56:36,020 --> 00:56:39,690 das, was da drin steht. Das heißt, da gibt es eine Kluft. Da wird 678 00:56:39,690 --> 00:56:47,340 nicht verifiziert oder validiert, dass das auch so stimmt. Und dann, *räusper* 679 00:56:47,340 --> 00:56:50,270 wenn ich diese Daten – Entschuldigung, die Frage nochmal ganz kurz? 680 00:56:50,270 --> 00:56:55,880 Mikro 3: Gibt es eine Alternative, die wir den Ärzten jetzt empfehlen können, um 681 00:56:55,880 --> 00:56:59,830 gemeinsam Daten auszutauschen? Martin: Schwierig. Also wirklich sehr 682 00:56:59,830 --> 00:57:03,010 schwierig. Immer möglichst dezentral, möglichst nicht über einen zentralen 683 00:57:03,010 --> 00:57:06,220 Datenspeicher. Da kann ich jetzt nichts empfehlen. Also bislang geht das halt: 684 00:57:06,220 --> 00:57:09,099 ausdrucken und mitnehmen. Es ist jetzt auch keine Alternative für die, die 685 00:57:09,099 --> 00:57:10,500 chronisch krank sind. Mikro 3: Faxen! 686 00:57:10,500 --> 00:57:13,360 Martin: Ja, faxen. *lacht* *Gelächter**Applaus* 687 00:57:13,360 --> 00:57:18,310 Herald: Das Schlimme ist: Er hat wahrscheinlich Recht, oder? 688 00:57:18,310 --> 00:57:22,210 Martin: Das große Problem ist: Wir haben halt keine - Wenn wir Ende-zu-Ende 689 00:57:22,210 --> 00:57:25,369 verschlüsseln wollen, wie bei PGP, dann brauche ich ja Keys, die muss ich ja mal 690 00:57:25,369 --> 00:57:29,550 ausgetauscht haben, verifiziert haben. Und das muss irgendwie automatisiert gehen 691 00:57:29,550 --> 00:57:33,050 sonst läuft das im großen Stil nicht. Und das fehlt halt. Wir haben halt auf Seiten 692 00:57:33,050 --> 00:57:37,580 der Ärzte inzwischen die Telematik- Infrastruktur bei vielen. Da gibt es dann 693 00:57:37,580 --> 00:57:41,020 eine Identität, darüber können wir das laufen lassen. Auf Seiten der Patienten 694 00:57:41,020 --> 00:57:45,690 gibt es die Gesundheitskarte. Ja, das ist genau das Problem: Patientenakte wollen 695 00:57:45,690 --> 00:57:48,480 wir halt nicht mit der Gesundheitskarte verknüpfen, weil es keiner nutzt. 696 00:57:48,480 --> 00:57:52,080 Herald: So, und jetzt die letzten drei Fragen die hier stehen, die möchte ich 697 00:57:52,080 --> 00:57:56,359 alle drei noch abschießen. Ganz schnelle Frage – ganz schnelle Antwort. Nummer vier! 698 00:57:56,359 --> 00:58:03,410 Mikro 4: Was ist der Unterschied zwischen Gesundheitsdaten und Patientendaten? 699 00:58:03,410 --> 00:58:07,710 Martin: Die Gesundheitsakte und Patientenakte, die zwei? Gesundheitsakte 700 00:58:07,710 --> 00:58:11,320 ist optional zu verwenden für die Ärzte. Patientenakte ist – wenn du eine hast, 701 00:58:11,320 --> 00:58:14,329 müssen die Ärzte die Daten da reinspeichern. Das ist quasi funktional 702 00:58:14,329 --> 00:58:16,799 der einzige Unterschied. Und: Patientenakte wird von der gematik 703 00:58:16,799 --> 00:58:20,290 spezifiziert. Herald: Die Nummer acht! 704 00:58:20,290 --> 00:58:27,790 Mikro 8: Zu Vivy: Du hast gesagt, die haben den Schlüssel, den Private Key, auf 705 00:58:27,790 --> 00:58:33,440 dem Ärztefrontend irgendwie lesegeschützt. Wie soll denn das gehen im Browser, wenn du 706 00:58:33,440 --> 00:58:37,320 XSS kannst? Martin: Es gibt diese Web-Crypto-API im 707 00:58:37,320 --> 00:58:40,020 Browser. Und die Web-Crypto-API, da kannst du sagen: "Exportable". Also kannst du 708 00:58:40,020 --> 00:58:42,970 sagen: "Der Key kann ich exportiert werden." Das heißt, das ist ein Objekt, das 709 00:58:42,970 --> 00:58:47,359 Objekt kapselt den Zugriff und solange die JavaScript-Engine richtig implementiert 710 00:58:47,359 --> 00:58:50,640 ist, kannst du dann auch nicht auf diesen internen privaten Variablen zugreifen. 711 00:58:50,640 --> 00:58:54,619 Mikro 8: Also du gibst dann deine Daten rein, der macht Crypto, und... 712 00:58:54,619 --> 00:58:58,400 Martin: Ja, du hast ein Objekt mit der Methode Encrypt() und Decrypt(), aber den 713 00:58:58,400 --> 00:59:00,560 Schlüssel bekommst du nicht zu sehen. Mikro 8: Alles klar! 714 00:59:00,560 --> 00:59:04,280 Herald: Last but not least. Nummer fünf! Mikro 5: Ich habe keine Frage, ich würde 715 00:59:04,280 --> 00:59:09,360 noch kurz eine Idee anmerken, die halt nicht auf einer technischen Ebene ist, 716 00:59:09,360 --> 00:59:14,220 aber wie schon angesprochen wurde: Alle Gesundheitsdaten sind sensibel und 717 00:59:14,220 --> 00:59:18,810 besonders auch so Sachen wie Schwangerschaftsabbruch und HIV oder 718 00:59:18,810 --> 00:59:26,369 andere Diagnosen, so Schizophrenie, Depression, alles. Und ich würde sagen, 719 00:59:26,369 --> 00:59:31,470 die Idee ist halt sich auch mit den Leuten und den Interessenverbänden jetzt schon 720 00:59:31,470 --> 00:59:37,520 mal auseinanderzusetzen und was die jetzt schon an Forderungen haben zu versuchen 721 00:59:37,520 --> 00:59:44,700 umzusetzen, weil technisch glaube ich werden die Daten halt öffentlich sein und 722 00:59:44,700 --> 00:59:49,070 dann ist es halt: Wie gehen wir gesellschaftlich mit Leuten um, die 723 00:59:49,070 --> 00:59:52,640 schwierige Diagnosen haben. Martin: Genau das ist auch die Aussage 724 00:59:52,640 --> 00:59:55,709 von meinem Talk. Ich kann die technischen Probleme aufzeigen, aber 725 00:59:55,709 --> 00:59:59,890 die gesellschaftliche Antwort – wie wir damit umgehen oder was die Forderung daraus 726 00:59:59,890 --> 01:00:02,540 sind, das müssen wir gemeinsam machen, bzw. auch mit den Medical 727 01:00:02,540 --> 01:00:06,310 Professionals, mit denen, die sich wirklich damit ihr Leben lang beschäftigt haben. 728 01:00:06,310 --> 01:00:09,850 Herald: Doch noch eine Frage, weil ihr seid nicht barrierefrei, Ich kann durch 729 01:00:09,850 --> 01:00:12,760 euch nicht durchschauen. Bitte einmal Mikrofon drei! 730 01:00:12,760 --> 01:00:17,160 Mikro 3: Dankeschön. Meins rangiert eher unter Anmerkung. Ich habe vor etwas über 731 01:00:17,160 --> 01:00:23,859 einem Jahr an CGM eine Mail geschickt, die habe ich gerade mal rausgekramt. Da wurde 732 01:00:23,859 --> 01:00:31,850 von einem Facharzt, habe ich einen Link gehabt: http. Und da sollte ich dann meine 733 01:00:31,850 --> 01:00:36,690 persönlichen Daten eingeben. Da hab ich gedacht ok, das breche ich jetzt ab. Habe 734 01:00:36,690 --> 01:00:42,330 denen gemailt: "Leute, https wäre mir an der Stelle lieber gewesen." Und habe dann 735 01:00:42,330 --> 01:00:47,470 die Antwort bekommen: "Zu Ihrer Anmerkung bezüglich der verschlüsselten Verbindung 736 01:00:47,470 --> 01:00:51,640 können wir sie beruhigen: Die Übermittlung der Daten erfolgt über eine interne 737 01:00:51,640 --> 01:00:56,730 sichere Leitung in verschlüsselter Form." Das sei vorgeschrieben und – toll! 738 01:00:56,730 --> 01:01:11,310 *Gelächter**Applaus* Martin: Interessanter Beitrag! 739 01:01:11,310 --> 01:01:14,570 Herald: Auf die Qualität können wir uns in Zukunft freuen, ne? 740 01:01:14,570 --> 01:01:16,670 Martin: *lacht* ja... Herald: Martin Tschirsich! 741 01:01:16,670 --> 01:01:22,010 * 35C3 Abspannmusik* 742 01:01:22,010 --> 01:01:41,000 Untertitel erstellt von c3subtitles.de im Jahr 2019. Mach mit und hilf uns!