36C3 Vorspannmusik
Herald: Unser 3. Vortrag in diesem Block an
Tag 3 des 36. Chaos Communication
Congress. Wir erfahren über 15 Jahre
deutsche Telematikinfrastruktur.
Irgendwann wurde die elektronische
Gesundheitskarte eingeführt mit
Versprechungen und Plänen darauf, nicht
nur persönliche Daten zu speichern,
sondern auch Rezepte, Diagnosen,
möglicherweise sogar Dokumente. Wie viel
davon tatsächlich heute umgesetzt wurde,
wie sich die Technik in letzter Zeit
entwickelt hat in den letzten Jahren. Ob
die vollmundigen Versprechen eingehalten
wurden, ob die überhaupt eine gute Idee
waren? Das wird uns jetzt Christoph
erklären. Er ist Mitarbeiter an der FH
Münster und wird uns einen Überblick über
die Entwicklung der letzten Jahre der
Technologie. Herzlich willkommen,
Christoph!
Applaus
Christoph: Ja, Dankeschön und willkommen
hier. Jetzt zu der fortgeschrittenen Zeit,
möchte ich noch einmal kurz über die
Telematikinfrastruktur reden. Wir hatten
vor 2 Tagen schon einen kleinen Talk über
die EPA. Was ich heute Abend machen
möchte, ist, ein bisschen über den
technischen Spezifikationen zu reden, das
heißt ich möchte einen kleinen Überblick
euch geben. Das kann auch nur ein kleiner
sein, weil wenn man sich anschaut, wenn
man sich die Spezifikationen mal anschaut,
man kann die runterladen. Auf dem
Fachportal gematik.de findet man so ZIP-
Dateien. Es sind aktuell 97. Das sind 8000
PDF-Seiten. Dazu kommen noch ein/zwei
Tausend Seiten Konzepte und
Feldtestdokumente und ähnliches. Das
heißt, hier kann man wirklich nur einen
kleinen Überblick geben und ich möchte
anregen, zu einer informierten Diskussion
über die Telematikinfrastruktur,
allerdings auch eine objektive und eine
faktenbasierte. Und ich werde später
nochmal kurz drauf eingehen. Es gibt
relativ viele Berichte, aktuell oder in
den letzten Monaten, im letzten Jahr
vor allem, über die EPA,
Telematikinfrastruktur. Aber meines
Erachtens war nicht alles so ganz korrekt,
vom Technischen her, dass da halt einige
Halbwahrheiten teilweise herum schwirren.
Und da möchte ich ein bisschen informieren
heute. Das heißt, fangen wir an. Die
Telematikinfrastruktur: Worüber reden wir
da eigentlich? Und hier sieht man links
sind die IT-Systeme Heilberufler. Das ist
quasi die Praxis, das ist das
Praxisnetzwerk. Meistens ist es ja ein
bestehendes Netzwerk. Viele Ärzte sind ja
schon vernetzt oder haben zumindest
digitale Systeme. Und was kommt jetzt dazu
durch die TI? Wir haben die
Kartenterminals, damit die
Versichertenkarte gesteckt werden können.
Wir haben dann auch noch natürlich
verschiedene andere Karten, wie z.B. den
Heilberufsausweis und wir haben diesen
Konnektor. Dieser Konnektor verbindet das
bestehende Netz, der Ärztin oder des
Arztes, über das Internet mit dem
zentralen TI-Netzwerk. Das ist diese
zentrale Zone. Dort finden wir
verschiedene Dienste wie beispielsweise
PKI-Dienste. Wir haben da eine eigene CA
für die Telematikinfrastruktur. Wir haben
noch weitere zentrale Dienste wie
beispielsweise so ein Zeitserver, DNS
Auflösung.Wir haben auch ein
Verzeichnisdienst, also sprich einen LDAP-
Server. Und was man hier auch sieht, es
ist kein transparentes Netz. Es ist ein
bisschen abgeschottet. Also es ist kein
eigenes separates Netz hier, sondern es
ist trotzdem noch so ein bisschen getrennt
durch Sicherheitsmaßnahmen. Und dann haben
die Provider-Zone. Das ist diese Zone, wo
beispielsweise die Hersteller, wenn wir
später über die elektronische
Patientenakte reden, dort wird sie
gehostet werden, das heißt in diese Zone
kommen dann die Hersteller mit ihrem
Fachanwendungsdiensten und ganz interessant
ist noch, ganz rechts das sind, da steht
jetzt nur Bestandssystem, das ist so, die
Telematikinfrastruktur ist nicht das Erste
und auch nicht die Einzige medizinische
Vernetzung in Deutschland. Es gibt schon
weitere Netze, wie beispielsweise das
sichere Netz der KVK. Das wird aktuell
benutzt. Ich glaube seit 2015 ist es
Pflicht, wenn die Vertragsärzte abrechnen.
Das heißt ihre Honorarforderung geltend
machen. Dann rechnen Sie das durch dieses
sichere Netz der KVK ab. Das geht
beispielsweise durch einen VPN-Konnektor,
das heißt viele Praxen haben heutzutage
schon einen VPN-Konnektor und haben das
schon jahrelang in ihrem Netzwerk
drinstehen. Was man sich überlegt hat für
die TI. Nun wir wollen jetzt nicht
verschiedene Konnektoren und verschiedene
Zugänge machen, deswegen koppeln wir die
alle an die Telematikinfrastruktur, dass
wir nur noch ein Konnektor brauchen. Wenn
wir uns mal auf die Akteure, wenn wir mal
gucken, wer macht überhaupt was? Wo kommt
die Telematikinfrastruktur her? Haben wir
natürlich das Bundesministerium für
Gesundheit. Das ist mir mit dem aktuellen
Minister Jens Spahn seit dem Mai
dieses Jahres ist das BMG auch
Mehrheitsgesellschafter mit 51 Prozent an
dieser Gematik GmbH. Gleichzeitig mit dem
Gesetz zu diesen 51 Prozent wurde
verabschiedet, dass für Entscheidungen nur
noch eine einfache Mehrheit nötig ist. Das
war früher anders. Da brauchte man mehr,
das heißt früher mussten sich nicht
wirklich alle KVK Gesellschafter zusammen
setzen. Man braucht einen gemeinsamen
Konsens. Das wurde geändert, das heißt
jetzt kann das BMG, wenn es will, wirklich
bei der Gematik quasi hart durchgreifen
und Sachen voranpushen. Das hat man
gemacht und insbesondere Jens Spahn wollte
das Ganze, Telematikinfrastruktur, ein
bisschen verschnellern und hat das dadurch
gemacht. Die Gematik in der Mitte
spezifiziert die Telematikinfrastruktur an
sich, die Dienste, die Komponenten, die
Fachanwendungen. Das macht sie nicht
alleine. Das macht sie in enger
Kooperation mit dem Bundesamt für
Sicherheit in der Informationstechnik. Das
BSI überprüft die Spezifikation nochmal
oder schreibt auch technische Richtlinien,
das heißt die Gematik handelt da nicht
alleine. Das BSI macht da mit. Die Gematik
stellt allerdings keine Komponenten her,
sie betreibt auch keine Dienste oder
Server. Das wird dann durch die
Privatwirtschaft abgebildet. Und hier
sehen wir zum Beispiel die großen Player:
T-Systems, arvato Bertelsmann oder die CGM
Group sind dabei. Diese Hersteller
betreiben die Dienste, Server oder
erstellen oder produzieren die Konnektoren
zum Beispiel. Dafür brauchen Sie eine
Zulassung. Für diese Zulassung brauchen
Sie eine Zertifizierung wieder vom BSI.
Das BSI wiederum prüft allerdings auch
nicht selber, sondern hat verschiedene
Prüfstellen, wie zum Beispiel TÜViT. Und
dafür gibt es diese Evaluierung,
beispielsweise Common Criteria.
Interessant, wenn es vielleicht nur die
Dienstleister können sich normalerweise
die Prüfstellen aussuchen und müssen diese
Prüfstellen nachher auch noch zahlen. Das
muss man bei der Common Criteria
wissen. Es gibt da so ein kleines
Abhängigkeitsverhältnis zwischen den
Prüfstellen und den Dienstleistern. Um das
so ein bisschen geradezurücken, gibt es
die Auditierung und die Anerkennung des
BSIs. Die Prüfstellen müssen sich
anerkennen lassen durch so einen
Prüfungsprozess durch und sich auch wieder
reevaluieren lassen. Kommen wir zu den
Fachanwendungen, das heißt, dass sind die
Anwendungen, die später vom Patienten und
Ärzten benutzt werden sollen. Das Ding
mit dem langen Wort nennt sich
Versichertenstammdatenmanagement, kurz
VSDM. Und was wir hier haben, ist
eigentlich nur ein Online Update der
Versichertendaten, das heißt früher war es
so: "Ich bin umgezogen. Ich habe eine neue
Adresse bekommen." Ich habe der
Krankenkasse gesagt: "Ja, ich wohne jetzt
woanders. Ich brauche eine neue Karte."
Dann habe ich eine neue Karte bekommen.
Das soll wegfallen. Und zwar durch dieses
Online Update, das heißt ich sag der
Krankenkasse Bescheid. Ich kriege eine
neue Adresse und gehe dann zum Arzt hin.
Steckt die Karte rein und mit diesem
einstecken der Karte wird eine
Onlineverbindung aufgebaut zum
Krankenkassen-Server und die Daten werden
dann über das Internet geschoben und auf
der Karte aktualisiert. Bis jetzt, so nach
15 Jahren Entwicklung ist das auch quasi
die einzige produktive Anwendung in der TI
die wir soweit haben. Immerhin. Immerhin.
Applaus
Ja das dachte ich auch, da haben wir
schonmal ne Anwendung, da kann ich das mal
ausprobieren. Ich bin vor ein paar Monaten
umgezogen, dachte mir Cool, kann ich mal
gucken, was passiert. Hab meiner Kasse
geschickt: Hier ich habe eine neue
Adresse. Ich brauch eine neue Karte oder
bzw. ich brauche Online Update. Und ja
aber Pustekuchen. 3 Tage später hatte ich
die neue Karte im Briefkasten. Also es
wird aktuell noch gar nicht richtig
benutzt. Und zwar folgender Weise, und
zwar aus folgendem Grund. Es gibt noch
nicht genug Praxen, die angeschlossen
sind. Wir haben in Deutschland 177.000
Arztpraxen, davon sind aktuell, glaube
ich, angeschlossene, so ungefähr 122.000,
das heißt die Kasse kann nur sichergehen,
dass die Karte wirklich upgedatet wird.
Daher wird's aktuell noch gar nicht
benutzt. Also zumindest nicht zum Update
der Karte benutzt. Könnte dann
wahrscheinlich nächstes Jahr irgendwann
kommen. Aber jetzt habe wir hier natürlich
diese personenbezogenen Daten. Wir haben
Stammdaten. Wir haben noch ein, zwei
kritische Daten wie spezielle
Kennzeichnung für Disease-Management-
Programme, das heißt wir haben so ein
teilweise medizinische Daten, das heißt
wir brauchen hier gute Sicherheit. Jetzt
gucken wir uns mal in der Spezifikation
um. Was haben wir da? Wie gesagt mein Talk
ist jetzt so ein bisschen technischer,
also die Spezifikation, die Prozesse
hatten wir vor zwei Tagen und da haben
gesehen, da gibts viel aufzuholen. Aber
was haben wir bei der Technik? Hier haben
wir wirklich echtes Ende zu Ende, das
heißt wir haben ganz rechts einen
Versicherungsserver VSDD hier in der
Spezifikation und ganz links ist die
Karte. In der Mitte haben wir das VPN. Das
ist hier der VPN Konnektor im Internet.
Dann haben wir noch zwischen dem
Kartenterminal und dem Krankenkassenserver
eine Eins-zu-Eins TLS-Verbindung. Und auch
das letzte Gap noch so zu schließen
zwischen dem Terminal und der eGK Karte
nutzt man hier das Secure Messaging
Verfahren. Das ist ein Verfahren aus dem
ISO-Standard aus dem ISO-Smartcard-
Standard und ist in diesem Fall wirklich
eine symmetrische Verschlüsselung mit AES
und einem anschließenden MAC. Das heißt,
sie haben wirklich echtes Ende-zu-Ende.
Zwischen den Krankenkassenserver und der
Karte, das heißt die Daten werden wirklich
erst auf der Karte auf dem Sicherheitschip
entschlüsselt. Gucken wir uns die zweite
Anwendung an: Kommunikation
Leistungserbringer, kurz KOM-LE. Und was
wir hier haben, ist eine sichere Email-
Kommunikation zwischen den
Leistungserbringern, also beispielsweise
Ärzte oder Apothekern. Das Ganze basiert
auf Zertifikaten, das heißt, ich habe
diesen Adressdienst, den LDAP-Server. Dort
sind dann die Ärzte später, also nächstes
Jahr irgendwann, das startet bald. Haben
wir diese die registrierten E-Mail-
Adressen der Ärzte samt Zertifikaten und
Public Keys, das heißt als Arzt oder
Apotheker oder Psychotherapeut kann ich
später einfach jeden Arzt suchen, den ich
anschreiben möchte und ihm dann
verschlüsselt und signiert die Daten
zukommen zu lassen, also die Email. Wenn
man sie jetzt anschaut PGP oder S/MIME ist
ein bisschen anders, weil hier hat man
sich überlegt: Okay, wir wollen im Betreff
auf jeden Fall mit sichern und wir wollen
auf jeden Fall moderne Krypto, das heißt
wir wollen wirklich auch MAC dabei und
deshalb haben sie überlegt, man macht das
Ganze noch ein bisschen anders. Man nimmt
im Betreff mit in die Krypto mit rein und
nutzt auch AES-GCM. Wenn man sich jetzt
S/MIME nochmal in Erinnerung ruft oder
PGP, dort haben wir halt kein GCM und
haben dann meistens CBC mit einem MAC oder
sowas ähnliches bei PGP. Und wenn man sich
jetzt noch 1 Jahr zurückerinnert, Efail
war ein großes Problem oder ist auch noch
ein großes Problem. Das haben wir hier gar
nicht. Das ist hier rausgenommen, weil wir
halt eine andere Krypto haben. Im Genauen
sieht so aus, wir haben hier links den
Client, dass kann der Thunderbird sein
oder Outlook oder auch das
Praxisverwaltungssystem vom Arzt, wo dann
per Klick einfach Röntgenbilder
verschicken kann beispielsweise und die
Originalnachricht. Diese sehr
schützenswerte Nachricht wird dann
verpackt in eine neue Nachricht und die
die Originalnachricht, die dann gekapselt
wird, die wir verschlüsselt und signiert
und zwar in der Praxis. Jetzt steht hier
die dezentrale Plattform. Das ist der
Konnektor, das heißt in der Praxis an sich
wird das Ganze eingepackt und dann über
den Email-Server zum Arzt hingeschickt.
Also auch hier haben wir eine echte Ende-
zu-Ende Verschlüsselung zwischen einer
Praxis und der Praxis Empfänger zwischen dem
einen Konnektor und dem anderen Konnektor.
Dann kommen wir zu dem ePA. Das ist die
elektronische Patientenakte und das soll
so das Meisterstück werden. Es soll quasi
die Killeranwendung in der TI werden. Was
haben wir hier? Wir haben eine freiwillige
patientengeführte Akte. Freiwillig heißt,
es ist ein echtes Opt-in als Patient muss
ich zu meiner Versicherung hingehen und
sagen: Ich möchte die ePA haben. Ich
möchte das Antragsformular haben und muss
anschließend nochmal zum Arzt gehen oder
eine Karte stecken, um das zu bestätigen.
Und es ist patientengeführt, das heißt
der Patient muss dem Arzt explizit
einwilligen, dass er dort Zugriff hat. Es
wird auch keine Leere ePA erstellt oder
ähnliches für die Patienten. Sie wird
wirklich erst beim Arzt erstellt und der
Zugangsschlüssel auch erst beim Arzt
freigegeben, für diesen einen Arzt. Das it
zeitlich limitiert, kann man sagen 7 Tage
bis zu 18 Monate geht's. Und weil es
patientengeführt ist, kann der Patient
selber Daten lesen. Da kann er was
schreiben. Kann beispielsweise ein
Krankheitstagebuch führen? Er kann aber
auch Sachen löschen, das heißt falls er
mal den Psychotherapeuten Zugriff gegeben
hat und er dort eine Diagnose reingestellt
hat und man möchte jetzt, ein Jahr später,
das raus haben, kann der Patient das
löschen. Das heißt natürlich auch ein Arzt
kann sich nicht darauf verlassen, dass
wirklich alle Daten drin sind. Das muss
man wissen, dass es einen
patientengeführte Akte. Ist quasi wie
heute, wo ich meine Auskünfte vom Arzt
sammeln kann, per CD, DVD oder per Brief
oder Post. Hier kann ich es digital
speichern. Die Daten liegen dann bei dem
patientengewählten Dienstleister, also
einer dieser privatwirtschaftlichen
Hersteller, nicht auf der eGK, auch nicht
bei der Krankenkasse udn sie werden beim
Arzt verschlüsselt oder im Handy. Jetzt
haben wir ein Problem. Wir haben gute
Krypto. Was passiert denn, wenn der
Schlüssel verloren geht? Die erste Idee
war, man kann den Schlüssel speichern auf
der eGK. Da er relativ fest. Da kann man
ihn nicht exportierbar markieren. Das
kriegen wir gut hin, aber wenn die Karte
verloren geht, was anscheinend relativ
häufig passiert, dann haben wir das
Problem, dass die ePA wertlos ist. Die
Daten werden weg, das selbst geschriebene
Buch wäre weg und ich müsste zu allen
Ärzten wiederum und die Daten wieder
sammeln, wenn ich diese ePA nutzen möchte.
Jetzt kommt die Lösung dieses Schlüssel-
Backup. Das haben wir vor zwei Tagen schon
mal kurz gehört, oder wer dabei war beim
Talk. Der Aktenschlüssel wird genauso
hochgeladen wie die ePA. Da denkt man
natürlich: Okay, das klingt gefährlich.
Deswegen hat man den Schlüssel noch einmal
verschlüsselt. Das sieht jetzt hier so
aus. Das kann man am besten nochmal
nachlesen. Die Spezifikation liest sich
sehr gut, es ist relativ gut erklärt. Aber
im Grunde genommen geht es so, dass der
Client, also beispielsweise die Handy-App
lädt sich dann vom
Schlüsselgenerierungsdienst 1 einen
Schlüssel und vom SGD 2 auch nochmal und
verschlüsselt diesen Masterschlüssel und
damit wird die ePA dann verschlüsselt und
mit diesem Masterschlüssel der wird auch
nochmal verschlüsselt. Und zwar zweimal
mit Key 1 und 2. Zweimal, weil wir haben
SGD 1 und 2 sind strikt getrennt,
personell, juristisch zwei Firmen, auch
nicht der gleiche Konzern, auch nicht die
gleichen Administratoren. Man möchte hier
ein bisschen so eine Art Knowledge sharing
oder das Secret sharing einführen, dass
ich nicht als einzelner Angreifer, quasi
die ePA rausholen kann, das heißt das
sieht dann so aus: Wenn wir einen
Angreifer haben, ohne Autorisierung.
Nochmal zurück, 2 Tage. Wir haben bei der
Autorisierung ein Problem. Technisch ist
es aber so, ich bräuchte jetzt ein Key-
Backup. Ich bräuchte die verschlüsselte
ePA und dann müsste ich halt die beiden
Schlüssel vom SGD 1 und 2 mir irgendwie
besorgen, das heißt hier hat man versucht,
eine nutzbare Möglichkeit zu erschaffen
vom ePA, das auch falls der Schlüssel mal
verloren geht, das sie trotzdem noch
ankommen, aber das die Sicherheit
möglichst hoch zu haben. Weiterer
Knackpunkt ist die App. Das heißt, der
Patient soll ja über sein Smartphone die
ganzen Sachen steuern können. Hier wird
der Hersteller auditiert und zugelassen,
wie wir es am Anfang gesehen haben mit
einer Common Criteria Überprüfung.
Allerdings es wird nicht jedes Update
nicht neu zertifiziert. Ist der Hersteller
einmal zertifiziert und zugelassen, kann
er weitere Updates quasi in dem Google
Play Store reinpushen, ohne dass diese neu
zertifiziert werden müssen. Die Hersteller
mussten Erklärung abgeben, er hat alles
gut getestet, aber es wird nicht von einer
unabhängigen Stelle überprüft, das heißt
hier muss noch mal nachgucken, in der
Praxis. Wie sieht das aus? Wir haben ja
letztes Jahr gesehen auf dem 35C3
Gesundheits-Apps sehen nicht immer ganz
gut aus. Da bin ich mal gespannt, wie die
Updates aussehen. Jetzt bin ich neben
meiner Arbeit an der FH Münster, betreue
ich noch eine kleine Zahnarztpraxis IT-
Technik mit, das heißt ich habe das Ganze
auch live gesehen und weiß wie es so
abläuft manchmal. Oftmals ist es wirklich
unverschlüsselt, man arbeitet viel mit
Faxen. Röntgenbilder werden meistens per
Email verschickt und das ist oft
unverschlüsselt. Seit der DSGVO Einführung
da gab es relativ viele Diskussionen: Was
kann man machen? Da gibt es ein paar
Empfehlungen, teilweise von den
Zahnärztekammer, das ist ein CryptFile
oder CryptShare, die haben aber auch so
ein paar Probleme. Bei CryptFile ist die
Usability nicht so toll. Bei CryptShare
habe ich das Problem: Ich muss meine Daten
im Klartext auf einem Server schicken,
wieder außerhalb der Praxis, das heißt
hier DSGVO auch mindestens bedenklich.
Gucken wir weiter, wenn man noch so
Empfehlung, sich heraussucht hier aus dem
Handbuch von CryptFile. Was soll man
machen? Man muss ein Passwort wählen. Dann
verschickt man die verschlüsselte Datei
per E-Mail und soll dann eine zweite Email
hinterher schicken mit dem Klartext-
Passwort. Dann kann man sich dies auch
sparen. Diese Sicherheitsmodell, dass der
Angreifer nur eine E-Mail kriegt. Ich weiß
nicht, ob das so valide ist. Was passiert,
wenn ich jetzt die Praxis anschließen
möchte? Ich brauche Kartenterminal. Dann
lese ich das Handbuch und dann sehe ich
so, dass um das Gerät im Umkreis von einem
Meter darf keine Kamera sein, kein
Festnetztelefon, auch kein Mobiltelefon.
Und da überlegt man sich jetzt. Später
soll der Patient ja auch die Pin
eintippen, das heißt er muss aufpassen,
dass das Smartphone mindestens einen Meter
weit weg ist und sich so ein bisschen
verrenkten, damit das wirklich im
zugelassenen Betrieb läuft. Weiterhin darf
ich natürlich nicht zu nah an einer Wand
das Gerät aufstellen, weil dahinter könnte
eine EM-Sonde sein und die
elektromagnetische Abstrahlung
herausfischen und durch
Seitenkanalangriffen die PIN rauskriegen.
Dann betreibe ich das Gerät. Ich habe also
meinen sicheren Standort gefunden und muss
dann vor Inbetriebnahme, das heißt morgens
und auch nach dem Mittagessen nochmal kurz
mein Gerät überprüfen, das heißt in die
Hand nehmen, schauen ob es irgendwelche
neuen Löcher drin sind, oder sowas, ob da
ein Angreifer in der Mittagspause ein Loch
reingebohrt hat und Geräte manipuliert
hat. Ich muss die Siegel überprüfen. Das
Gerät hat 3 Siegel. Ich habe mir natürlich
vorher alle Siegelnummern auf meine Liste
geschrieben und kontrolliere die.
Anschließend öffne ich dann meine
Schreibtischschublade, hole meine UV-
Schwarzlichlampe raus und überprüfe die
ganzen Siegel, ob ich diese Hologramme
auch alle sehen kann. Ich habe mal ein
bisschen rumgefragt. Ich habe einfach
keinen Arzt gefunden, der das wirklich
macht. In der Praxis wird das alles ...
funktioniert so nicht. Das sind hier diese
4 Seiten Allgemeine Regeln und
Anforderungen. Die muss man alle natürlich
gut beachten. Das ist allerdings leider
natürlich realitätsfremd. Zur
Erklärung das Ganze kommt aus diesem
Common Criteria Schutzprofil. Wir haben
hier die Stufe 5 bei dem Angriffspotenzial
und das ist auch die höchste Stufe, das
heißt sie haben ein Angreiferpotenzial,
irgendwo kurz unter Geheimdienst. Kann man
sich überlegen, ob das wirklich der
leichteste Angriff ist. Ob ich mit der EM-
Sonde durch die Wand, ein Meter weiter die
PIN abfische oder ich frag mal kurz den
Arzt oder jemand aus dem Praxis-Team, ob
das nicht schneller geht. Wahrscheinlich
nähmlich. Dann habe ich dem VPN-Konnektor,
den muss ich mir auch in meine Praxis
stellen. Da gab es dieses Jahr auch viele
Diskussionen über diesen Anschluss. Da
gibt es seriell, das heißt ich steckten
VPN-Konnektor zwischen meiner Praxis und
dem Internetanschluss. Wenn ich Internet
haben möchte, geht das auch noch über die
gestrichelte Linie hab ich so
eingezeichnet. Das geht dann über den
sicheren Internetzugang, das heißt der
VPN-Zuganganbieter bietet mir ein Internet
an. Allerdings geht das dann natürlich
durch den VPN-Dienst nochmal durch, das
heißt wenn ich das so mache, habe ich
meinen kompletten Internet-Traffic einmal
durch, beispielsweise arvato Bertelsmann,
nun mal durchgeroutet. Kann man machen,
sollte man sich mal überlegen, ob man das
wirklich machen möchte. Andere Möglichkeit
ist, ich habe das parallele
Installationsmodell. Ich habe meine
Praxisnetzwerk ganz normal wie immer,
Internet und ich habe den VPN-Konnektor
parallel angeschaltet, das heißt die TI-
Anfragen gehen durch den VPN-Konnektor.
Die normalen Anfragen ans Internet gehen
hingegen parallel. Diese beiden
Möglichkeiten gibts im Grunde genommen.
Der Anschluss selber läuft meistens durch
den sogenannten Dienstleister vor Ort. Es
gab einen vertraulichen Bericht dieses
Jahr von der Gematik. Dort wurde gesagt 90
Prozent der Praxen sind parallel
angeschlossen. Wenn man das Google 90
Prozent Telematik Gematik findet man gerne
90 Prozent der Arztpraxen sind unsicher
angeschlossen. Möchte ich auch kurz
erwähnen, weil das ist nicht automatisch
unsicher, wenn ich sowieso schon ein
Netzwerk habe, was im Internet drin ist.
Ich habe eine gute Firewall. Ich habe mir
Gedanken gemacht und ich habe ein paar
Dienste. Ich hab einen Email-Client zum
Beispiel. Dann bin ich eventuell im
Internet und dann möchte ich den Konnektor
anschließen. Dann würde ich persönlich
auch parallel machen. Ich möchte nicht
meinen kompletten Traffic einmal über
arvato routen, wenn ich eh schon Internet
habe. Problem ist allerdings, wenn ich die
Praxis noch nicht am Internet habe, dann
habe ich wirklich Probleme und wenn dann
so ein externer Dienstleister kommt und
der wird meistens pauschal bezahlt, das
heißt er möchte schnell wieder raus aus
der Praxis?. Der wird sich nicht viele
Gedanken machen. Der stöpselt das Gerät
parallel ein und verschwindet wieder und
was bleibt, ist dieses Netzwerk, das nie
im Internet war, plötzlich im Internet
drin ist, das heißt das ist wirklich
problematisch. Aber diese 90 Prozent sind
nicht per se unsicher. Aber was passiert
denn, wenn der DVO da ist? Nun der hat ein
Technikerhandbuch, dass geht er durch.
Guckt sich seine Beispielkonfiguration an
und das erste oder das elfte was er macht
ist dann TLS und Authentifizierung
ausschalten, weil das macht ja nur
Probleme. Da steht halt so live in diesen
vertraulichen Technikerhandbuch drin, ist
aber nur zur LAN-Seite, aber trotzdem
immerhin. Warum macht man es pauschal aus?
Wenn es drinsteht, wird es der Techniker
machen! Anschließend. Es gibt noch einen
akustischen Pinschutz, dass ist auch
wieder so Geheimdienstniveau. Das Gerät
rauscht wie Hulle, wenn ich es anmache,
wenn ich eine PIN eintippen muss. Das wird
erst einmal ausgemacht. In Absprache mit
dem Arzt. Der Arzt wird sagen: Ich habe
keine Ahnung! Was machst du da? Mach doch
einfach! Ist ja ganz schön laut, mach's
aus! Gucken wir wieder ins Handbuch. Ja,
das darf ich. Kann ich machen. Ich arbeite
dann gegen die Spezifikation. Noch kurz
ein, zwei Punkte zu der TI in der
Öffentlichkeit. Dieses Jahr war die
Telematikinfrastruktur relativ häufig
dort. Was haben wir gesehen? Zum Beispiel
haben wir diesen ZDF Zoom-Beitrag gesehen.
Was dort passiert ist oder was dort
gemacht wurde, das war ein Szenario. Ich
hätte einen Trojaner auf dem Praxissystem
und dann wurde gezeigt, wenn der Trojaner
auf dem Praxissystem ist, dann kann ich
die Stammdaten von der elektronischen
Gesundheitskarte mitlesen. Da frage ich
mich aber wenn nicht ein Trojaner auf dem
Rechner habe, habe ich das sowieso
eigentlich Zugriff auf das
Praxisverwaltungssystem und dann sind die
paar Stammdaten nicht mehr so richtig
relevant, meiner Meinung nach und vor
allem anschließend wurde noch behauptet,
ab 2021 werden auch noch alle Befunde
aller Ärzte auf der eGK Karte drauf und
auch das ist nicht ganz richtig. Was ich
hiermit ausdrücken möchte ist, wir sollten
eine faktenbasierte Diskussion haben. Wir
sollten das diskutieren. Wir haben
Probleme gefunden oder es wurden Probleme
aufgedeckt, keine Frage, aber es sollte
ein bisschen Korrekter laufen. Andere
Sache ist. Ich habe ja schon gesagt, es
gibt weitere Vernetzungsprojekte. Hier ist
der MEDIVERBUND genannt. Die haben auch
eine Klage am Laufen und haben relativ
viele Pressemitteilungen und Interviews
gegen die TI und sagen Vieles ist unsicher
und sprechen sich auch explizit gegen
diese zentrale Datenspeicherung aus, das
heißt diese ePA, dass das bei einem
Dienstleister ist, verschlüsselt hin oder
her. Man sollte zentrale Datenspeicherung
nicht machen, sagen sie. Das hat der
MEDIVERBUND, genau das ist auch
freiwillig, ich finde es auch gut. Ich
wünsche mir eine ePA, wo ich freiwillig
das dezentral speichern könnte, auf
meinem Gerät selber, aber okay.Der
MEDIVERBUND sagt: Zentrale
Datenspeicherung geht nicht. Hat
allerdings ein eigenes
Hausärztevernetzungsprogramm und sagt: Wir
speichern die Daten auch zentral. Hier
möchte ich sagen, dass ist ein bisschen
irreführend. Man kann nicht auf der einen
Seite sagen, man darf nicht machen,
zentral auf der anderen Seite es aber
selber machen, das heißt man muss auch
immer gucken, wenn Kritik kommt, wo kommt
die her, von welcher Seite.Vielleicht gibt
es noch andere Beweggründe. Das ist jetzt
mein Fazit zu der Telematikinfrastruktur.
Ich finde, der Anschluss, der muss
wesentlich besser spezifiziert werden. Da
gibt es Probleme. Es kann nicht sein, dass
ein Techniker eine Stunde hinfährt und
irgendwas reinstöpselt und wegfährt und
alles ist gut. Das funktioniert nicht, das
haben wir gesehen. Das muss nachgebessert
werden. Das Problem ist: Wir haben jetzt
schon 120.000 Praxen dran, das heißt wir
hätten hier einmal die super Chance
gehabt, alle deutschen Praxen auf ein
hohes Sicherheitsniveau zu heben. Wir
hätten was Verpflichtendes machen können.
Irgendwelche dokumentierten Vorabanalysen,
die einfach ausgeführt werden müssen. Das
haben wir verpasst. Es gab irgendwelche
Techniker, die haben dann 10 Stunden
Schulung bekommen. Ich habe gehört,
teilweise waren die Schulungen auch mehr
eine Verkaufsshow statt einer Schulung.
Und da steht wir nun mit teilweise
schlecht angeschlossenen Praxen oder
zumindest, wo die IT-Sicherheit verbessert
hätte werden können. Was man auch machen
muss. Man muss die Ärzte besser reinholen,
auch ins Boot. Die Spezifikationen haben
wir gesehen, dieses Kartenterminal, das
funktioniert in der Praxis nicht und wer
sowas ins Handbuch reinschreibt. Das
funktioniert nicht, das ist irreführend.
Und auch wenn man den Arzt mit ins Boot
holt und ihn überzeugt, wird er auch die
Patienten überzeugen. Daher frage ich
mich, warum man das so macht. Warum man
nicht besser mit den Ärzten das irgendwie
abspricht. Persönlich würde ich mir mehr
Transparenz wünschen. Es gibt zum Beispiel
von der Gematik so ein Sicherheitsbericht.
Wer den gelesen hat, oder wer mal rein
schaut, der ist relativ dünn. Da sind 10
PDF-Seiten. Dann kommt da noch ein
bisschen Impressum, Inhaltsverzeichnis und
effektiv kommen wir da auf 6 Seiten mit
mehr als ein bisschen: Ja, es ist alles
sicher. Wenn alles sicher ist, hätte ich
gerne, zum Beispiel die Pentest-
Ergebnisse. Die gibts. Die könnte man
nochmal veröffentlichen. Als Schlußphase
würde ich sagen: eHealth das werden wir
nicht aufhalten können. Das wird digitaler
werden, auch in einer Arztpraxis. Niemand
möchte mehr Röntgenbilder verschicken oder
zumindest wäre es leichter, wenn sie
digital verschickt werden. Ich persönlich
möchte es auch nicht, nicht überall
aufhalten. Ich möchte es aber so sicher
wie möglich machen, das heißt wir sollten
gucken wie ist der Stand der Technik, wie
ist Stand der Prozesse. Passt das so? Was
müssen wir verändern? Warum haben wir die
Zentrale ePA? Kann man das nicht
vielleicht noch freiwillig dezentral
machen? Das heißt, wir sollten als
Community die Sachen anschauen und so
sicher wie möglich machen. Damit vielen
Dank.
Applaus
H: Dankeschön, Christoph! Jetzt haben wir
viel erfahren über ein Thema, was uns alle
im Alltag betrifft. Wir haben alle so eine
Gesundheitskarte in der Tasche. Ich bin
mir sicher, es gibt einige Fragen. Bitte
wer aus dem Auditorium eine Frage stellen
möchte, stellt sich an den Saalmikrofonen
an. Ich rufe die dann auf und in der
Zwischenzeit werden wir unseren Signal
Angel nach einer Frage aus dem Internet
befragen.
Signal Angel: Gibt es bei der TI eine Art
lawful interception bzw. kommt
Sicherheitsbehörden an Patientendaten oder
die ePA ran?
C: Ich spreche immer nur über die aktuelle
Spezifikation, was in der Zukunft ist,
weiß man natürlich nicht. Gesetze können
sich ändern, keine Frage, aber aktuell ist
es nicht so. Die ePA, also ich denke, die
Frage zielt auf die ePA ab. Ist wirklich
so spezifiziert, dass nur der Patient ran
kann und nur der Patient die Freigaben
erstellen kann. Auch dieser
Schlüsselgenerierungsdienste haben
dedizierte zertifizierte HSMs drin. Der
Schlüssel ist nicht per se exportierbar,
er ist exportiertbar, damit er gebackupt
werden soll. Aber auch dieser
Schlüsselexport von diesen HSMs ist auch
noch mal gekoppelt mit Shamir Secret
Sharing Schema, das heißt es ist nicht
spezifiziert, dass es eine lawful
interception gibt.
H: Mikrofon 6, dahinten, bitte!
Mikrofon 6: Was mir dabei immer nicht so
ganz klar ist. Wird nicht der Arzt als
allererstes die Daten in sein internes
Praxissystem übernehmen? Und wie ist das
dann, wenn ich meine, wenn ich die
Zustimmung zurücknehmen, später?
C: Wenn ich die Zustimmung erteile, kann
der Arzt natürlich die Daten einsehen und
kopieren. Wenn ich die allerdings später
zurücknehme von der ePA, kann es sein,
dass die Daten noch beim Arzt sind, das
stimmt, das heißt das muss man sich vorher
bewusst machen, dass man die Daten
wirklich freigibt und der Arzt sie
kopieren kann.Selbstverständlich kann man
auch auf Grund der DSGVO mit dem Arzt
reden, dass er eventuell die Daten
korrigieren kann oder korrigieren muss,
wenn sie falsch sind. Aber ja, die Daten
können kopiert werden.
H: Dankeschön. Mikrofon 7, hier außen.
Mikrofon 7: Danke für den Talk. Eine Frage
zu den VPN-Appliances, die dann aber jedem
Arzt stehen sollen. Wie sieht das aus
bezüglich Backups und
Konfigurationsupdates und Firmware-
Updates. Also wir hatten da ja letztens
den Fall bei der Telekom, wo die paar
Ports übersehen wurden, nicht das durch
... ist da eine Spezifikation vorgegeben?
Kommt das zentral aus der
Telematikinfrastruktur die Updates und
Konfigurationsverwaltung oder wird das
Lokal von dem Dienstleister gemacht?
C: Die Updates für die Geräte wie dem
Kartenlesegerät und dem Konnektor können
zentral eingespielt werden. Es ist nicht
so, also sie können nicht verpflichtend
eingespielt werden. Die Gematik kann es
nicht pushen und der Hersteller auch
nicht. Man muss immer noch lokal vor Ort
auf Okay drücken. Das macht im Zweifel der
Arzt selber oder auch der DVO vor Ort, je
nachdem, was man für Service-Agreement-
Verträge hat, man kann die Daten
allerdings auch wirklich aus der TI
runterladen, das heißt man kann das
durchklicken auf der Konnektoroberfläche
und die kommt dann rein. Bei dem Konnektor
ist es so, dass die Updates auch
zertifiziert werden müssen. Ich hoffe,
dass beantwortet die Frage.
Mikrofon 7: Ja, danke.
H: Die nächste Frage
vom Signal Angel bitte.
S: Mit Blick auf das IT-Knowhow und der
aktuellen demographischen Situation. Wie
ist denn so die erwartete Nutzung in
Prozent, bei der elektronischen
Patientenakte?
C: Gute Frage. Persönlich denke ich, dass
natürlich eher die Jüngeren nutzen werden.
Ich weiß es allerdings. Ich kann es auch
nur schätzen. Ich weiß jetzt keine Zahlen.
Es gibt vorab mal Vorabfeldteststudien,
die hab ich jetzt aber nicht im Kopf, die
Zahlen, wie die vermutete Nutzung ist.
H: Mikrofon 8 bitte.
Mikrofon 8: Danke für den Talk. Wie sieht
es denn aus, wenn ich sagen würde: Ich
schreib mir halt meine ePA-App selbst?
Oder da gibt's ein Open-Source-Projekt. Es
kompiliere ich mir und ich übernehme
selbst Verantwortung dafür. Ist das
vorgesehen? Muss ich mich denn
zertifizieren lassen? Muss das Projekt
sich irgendwie zertifizieren lassen?
C: Das ist nicht vorgesehen, dass man es
selber machen kann. Das ist nur durch die
Herstellerzulassung, durch die Gematik und
dem BSI vorgesehen. Ich brauche diesen
Zugang zur TI und den krieg ich nicht ohne
diese Zulassung, das heißt, ich muss dann
zur Gematik hingehen und die wollen dann
natürlich die Common Criteria-Überprüfung
haben. Das wird auf jeden Fall aufwendig
und das kostet jede Menge Geld. Es ist
nicht vorgesehen, dass man
Open-Source Tools nutzen kann.
Mikrofon 8: Danke.
H: Mikrofon 3 bitte.
Mikrofon 3: Vorhin wars vorgegeben mit
besserer Krypto für E-Mail. Wer kann denn
die nutzen? Wie kann ich mit
meinem Arzt das verwenden?
C: Das ist aktuell nicht für den Patienten
vorgesehen. Ist wirklich nur eine
Kommunikation Leistungserbringer, das
heißt die Ärzte können untereinander z.B.
Arztbriefe austauschen. In einer
Zahnarztpraxis sind es häufig
Röntgenbilder. Die werden kurzfristig
telefonisch angefordert, weil der Patient
gerade als Notfall da ist oder ein Arzt
gewechselt hat. Und dann, in dem Fall,
können die Ärzte untereinander
kommunizieren. Für Patienten ist es gar
nicht vorgesehen. Das könnte vielleicht
sich irgendwann mal öffnen. Ich finde es
begrüßenswert. Allerdings ist es nicht
vorgesehen, mit dem Patienten zu
kommunizieren, über KOM-LE.
Mikrofon 3: Okay.
H: Mikrofon 1, hier vorne bitte.
Mikrofon 1: Ich habe 2 Fragen. Und zwar:
So, wie ich das verstanden habe, ist das
ja doch nicht für alle, sondern
letztendlich für die gesetzlich
Versicherten, das heißt ich habe keine
Möglichkeiten privatversicherten Daten
darüber zu schleifen. Und die zweite Frage
ist: Was passiert, wenn ich aus
irgendeinem Grund eine Verwechslung der
Karte habe? Also spricht der Klassiker
irgendwie, Oma im Demenzheim stürzt und
kommt ins Krankenhaus, ist nicht befragbar
und wird dort zugeordnet. Kriege ich dann
irgendwo einen riesen Daten Mischmasch,
den nachher keiner mehr auseinander
klamüsern kann, weil er keine
Zugriffsrechte hat?
C: Also zu Frage 1: Die privaten Kassen
sind, ich glaube es war 2009 aus dem
Projekt ausgestiegen. Am Anfang waren sie
dabei, sind dann ausgestiegen. Aktuell
gibt es so langsam wieder
Annäherungsversuche und es wird gesprochen
darüber, dass die Privaten wieder mit ins
Boot kommen. Das wird man sehen, wie es
läuft. Aktuell ist es nicht spezifiziert
oder vorgesehen. Technisch gesehen ist es
definitiv machbar, diese Karten auszugeben
für Private. Ob das kommt, muss verhandelt
werden. Zur zweiten Frage: Wenn die Karte
natürlich falsch zugeordnet wird und im
Praxisverwaltungssystem die Karte gesteckt
wird und das mit einem falschen Patienten
verknüpft wird, dann kriege ich ein Daten
Mischmasch klar, dann werden die Daten
falsch zugeordnet. Also hab ich den
Zugriff zur ePA zum Beispiel, wenn die
Frage darauf zukommt. Kann ich dort
natürlich auch fehlerhafte Berichte
hochladen oder Berichte von anderen
Leuten. Da gibt es keine Kontrolle.
Niemand kontrolliert, ob das
zusammenpasst.
Mikrofon 1: Genau kann ich es zurückholen?
C: Als Patient kann ich es, kann ich es
auf jeden Fall löschen.
Mikrofon 1: Der Patient kann das nicht,
der ist aus dem Pflegeheim.
C: Es gibt auch noch einen Vertreter, aber
wenn der Patient sich kann, muss er die
Freigabe geben, das heißt er muss ja erst
einmal aktiv drauf hingehen und sagen: Der
Arzt darf jetzt zugreifen. Es gibt da eine
Vertreterregelung, dass ich im Vorderbein
sagen kann Okay, Vertreter X, mein Sohn
zum Beispiel, meine Tochter darf darüber
verwalten und ob der Arzt jetzt seine
eigenen Sachen wieder löschen darf, müsste
ich nachgucken. Kann ich nicht auswendig
sagen.
Mikrofon 1: Okay. Danke.
H: So wir haben noch 5 Minuten Zeit. Ich
sehe 6 Leute an Mikrofonen. Also Fragen
bitte etwas kürzer diesmal.
Nummer 4 vier, hier vorne.
Mikrofon 4: Vielen Dank für den Vortrag.
Ich hätte gerne ein paar motivierende
Worte, warum man das Ganze überhaupt
weiterverfolgen soll? So vor 15 Jahren.
Ist es als Berater ... hat das schon mal
irgendwie meinen Weg gekreuzt. Ich bin
selber Patient, brauch regelmäßig
irgendwelche teuren Medikamente und
wusste, dass neulich alles wieder analog,
als ich in Berlin das Medikament brauchte
und der Arzt in Hamburg war bekommen. Und
wenn ich dann sehe wer beteiligt ist, seit
15 Jahren dadran, dann ist das Ganze doch
wirklich ein gigantisches totes Pferd, was
Milliarden verschlingt, oder? Jetzt von
deiner Seite: Vielleicht hast du noch mal
ein paar motivierende Worte. Wird dabei
irgendwas Nützliches rauskommen oder wird
es einfach vergammeln, das tote Pferd?
C: Also ja, es ist je nach Schätzung
zwischen 1,5 Milliarden und 3 Milliarden,
hat es schon so verschlungen diese 15
Jahre Projekt. Das liegt unter anderem
dadurch durch wechselhafte Anforderungen,
durch eine blockierende
Gesellschafterversammlung bei der Gematik,
aber auch durch die Politik.
Beispielsweise, ich glaube, es war unter
Rösler, gab es so 2 Jahre quasi Stopp der
Entwicklung. Danach ist er wieder
angefahren. Das verzögert sich dadurch
natürlich auch. Jens Spahn möchte es
vorantreiben. Motivierende Worte: KOM-LE.
Wie gesagt, aktuelle Kommunikation,
unverschlüsselte Emails und verschiedene
Insellösung. Das ist so das Ding, worauf
ich warte, persönlich als
Datenschutzbeauftragter, weil das klingt
gut, klingt praktisch. ePA. Ich finde es
gut, wenn die Patienten selber Einblick
kriegen in ihre Daten und auch ein
bisschen leichter. Wer es einmal probiert,
hat beim Arzt sich so Sachen rausgeben.
Ich hatte da manchmal Probleme, mit
vollständigen Daten zu kriegen, wenn das
irgendwie spezifiziert ist, finde ich es
gut. Es muss nicht von mir aus so eine ePA
sein. Wie gesagt dezentrale, leichte
Möglichkeiten wären auch möglich.
Hauptsache, es passiert irgendwie. In den
letzten Monaten oder Jahren geht es aber
schon schneller voran. Meine Sichtweise
und ich hoffe, jetzt fährt das Ganze so
richtig los und hoffentlich auch so sicher
wie möglich, da heißt da muss man auch
definitiv daran arbeiten, wir gesehen
haben.
H: Dann noch eine Frage vom Signal Angel.
Signal Angel: Die Daten liegen also
verschlüsselt bei privaten Anbietern. Für
wie viele Jahre ist die gute Krypto denn
noch als gut anzusehen? Sind Leaks der
verschlüsselten Daten auszuschließen, die
später möglicherweise entschlüsselt werden
können? Besteht nicht die Gefahr, dass mit
zunehmender Rechenpower die Krypto in
einigen Jahren geknackt werden kan?
C: Das besteht immer, also 100 Prozent
Sicherheit gibt es natürlich nicht. Wir
haben aktuell AES256. Jetzt kann man
darüber spekulieren, ob das irgendwann
gebrochen wird oder nicht. Die ePA soll
eine lebenslange Akte werden. Es wird aber
mit dem nächsten Release auch so
vorgesehen, dass die ePA regelmäßig
umgeschlüsselt wird und mit diesem
Verfahren kann man auch den Algorithmus
wechseln, das heißt man könnte in folgende
Spezifikation, wenn man sieht, hier gibt
es einige Angriffe auf AES, könnte man
umswitchen auf ein anderes
Verschlüsselungsverfahren. Das es möglich,
das wird gerade gemacht. Es wird gerade
von RSA auf ECC umgeswitcht. Klar, wenn es
einen aktuellen Sicherheits-Breakthrough
gibt, beim AES, dann sind meine Daten
natürlich dann lesbar, wenn ich jetzt
plötzlich durch einen neuartigen Angriff
AES knacken kann, komme ich ran. Ja.
H: Dann Mikrofon 3, bitte.
Mikrofon 3: Der Arzt hat die Verantwortung
für die Daten, die bei ihm anfallen, also
im Grunde die Schweigepflicht. Wie bringe
ich jetzt oder wie kann ein Arzt daran
vertrauen, dass dieses System, in der er
Daten eingibt, auch sicher ist?
C: Rechtlich ist es so, ich bin kein
Jurist, allerdings ist es ja so, dass der
Patient die Freigabe machen muss, das
heißt der Arzt kann sich darauf berufen,
dass der Patient mir die Freigabe gemacht
hat. Ich denke, von daher ist es rechtlich
dadurch sicher, aber ich bin jetzt kein
Jurist. Wie kann man sich darauf
versichern? Das ist wie bei allen Sachen.
Er kann sich natürlich nur die
Spezifikation angucken oder den
Beteuerungen Glauben schenken. Er kann es
schlecht überprüfen wo seine Daten
hingehen. Der tippt die Sachen da ein und
dann werden die hochgeladen. Es ist wie
bei allen IT-Prozessen. Was genau im
Hintergrund steht, ist natürlich schwer
nachzuprüfen von Ihnen persönlich. Dafür
ist die Forschergemeinde, Zertifizierung
zuständig und das möglichst sicher zu
machen.
H: Mikrofon 7.
Mikrofon 7: Vielen Dank für den Vortrag
und vielen Dank auch für das Aufzeigen der
Fehlern im ZDF Bericht. Meine Frage geht an
dieses Technikerhandbuch wo du gezeigt hast,
dass das TLS ausgemacht werden soll. Von
wem ist dieses Technikerhandbuch? Das ist
doch weder von der Gematik wahrscheinlich,
noch vom Hersteller? Wahrscheinlich gibt
es sehr viele Varianten. Wer hat das
geschrieben und an wen richtet sich die
Kritik?
C: Das ist ein vertrauliches
Technikerhandbuch. Ich habe es so bekommen
von jemandem. Ich möchte lieber nicht
sagen, es ist ein großer Hersteller, der
Geräte vertreibt und der hat
entsprechenden DVOs unter seinen Verträgen
hat und die DVOs arbeiten dann in seinem
Namen oder für ihn als Subunternehmer. Und
stellen das dann so ein wie es im
Technikerhandbuch im Zweifel steht. Also
es ist ein großer Hersteller, der die
Technikerhandbücher rausgebracht hat für
seine eigenen Leute.
Mikrofon 7: Also war es Eines von
mehreren.
C: Eines von mehreren. Na ja, genau. Es
gibt verschiedene Firmen, verschiedene
Schulungen verschiedener
Technikerhandbüchern. Eins von mehreren.
Mikrofon 7: Danke
H: Damit ist unsere Zeit um für diesen
Vortrag. Es sind leider nicht alle dazu
gekommen, ihre Fragen zu stellen. Kommt
dann vielleicht nochmal nach vorne.
Ansonsten danke ich für eure
Aufmerksamkeit. Danke, dass ihr gekommen
seid und wir verabschieden Christoph
nochmal mit einem Applaus zum Ende.
Applaus
Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!