35c3 Vorspannmusik
Herald: Er beschreibt sich selber als
integrierter Bürger mit Kenntnissen in
grafischer Datenverarbeitung und IT-
Sicherheit. Er wird euch jetzt mal sagen,
warum all your Gesundheitsdaten not belong
to you.
Applaus
Martin Tschirsich: Herzlichen Dank, dass
so viele zu abendlicher Stunde hier sind.
Es geht um "All Your Gesundheitsdaten Are
Belong To Us". Sicherer als Onlinebanking,
haben sie gesagt. Das wollen wir jetzt mal
schauen, ob das so stimmt. Vivy – davon
haben vielleicht einige von euch schon
gehört. Vivy ist angetreten vor einigen
Monaten als elektronische Gesundheitsakte.
In Vivy, eine App, kann man Röntgenbilder
austauschen, man kann seinen Impfpass
führen, man kann seine Medikamente dort
hinterlegen. Alles rund um die Gesundheit
kann man mit Vivy machen und insbesondere
man kann seine Dokumente an seinen Arzt
schicken. Der Arzt kann Befunde dort
hinterlegen, Diagnosen hineinschreiben und
so weiter. Hier sehen wir drei Bildschirme
von Vivi. So sieht das aus, eine App für
iOS, Android und Vivy wurde am 17.09.
veröffentlicht. Gar nicht so alt. Hat ein
großes Medienecho in der Tagespresse
erzeugt. Und das liegt daran, dass Vivy
die erste App ist, die von so vielen
privaten und gesetzlichen Krankenkassen
gleichzeitig finanziert wird. Das heißt,
da stehen für 13 Millionen – inzwischen
deutlich mehr – Versicherte die
Krankenkassen dahinter und bezahlen diese
Anwendung. Kostet normalerweise so um die
fünf Euro im Monat. Das übernehmen die
Krankenkassen, damit ihr diese App nutzen
könnt. Ein Tag nach dem Release von Vivy
gab es wieder ein Medienecho, diesmal
anderer Art: Datenschutzmängel. Ein Herr
Kuketz hat Vivy angeschaut und gesehen:
Vivy überträgt Telemetriedaten, also
wertet das Benutzerverhalten aus und
schickt die Daten an verschiedene Server
in den USA, Singapur und so weiter. Das
passt nicht zu so einer Gesundheits-App.
Besonders eine, die von unseren ganzen
Krankenkassen finanziert wird. Und das war
der Aufhänger. Da habe ich mir Vivy
heruntergeladen. Da habe ich gedacht:
Jetzt wird's interessant. Und habs mir mal
angeschaut. Das war das Resultat. Mehr als
einen Monat später gab es dann nochmal ein
Medienecho, auch noch Mal zum Thema Vivy:
Diesmal Sicherheitsmängel. Es hieß dann
Patientendaten in Gefahr. Vivy –
gravierende Sicherheitsmängel in
Krankenkassen-App. Und das Ganze habe ich
dann zusammen mit Thorsten Schröder
veröffentlicht in einem Bericht. Ich will
mal kurz vorstellen, was denn bei Vivy so
alles schief gegangen ist. Also, Vivy
dient hauptsächlich dem Austausch von
Dokumenten zwischen dem Patienten und dem
Arzt. Das heißt, der Patient hat sein
Smartphone, hat da verschiedene
Röntgenbilder, Diagnosen, Berichte und
möchte die seinem neuen Arzt senden. Das
geht über die Vivy-Plattform. Vivy ist
eine Cloud-Plattform. So. Ich schicke die
in die Cloud. Vivy erzeugt dann eine
"Session". Das ist eine fünfstellige
Session-ID, bestehend aus Kleinbuchstaben.
Lachen Einige haben es schon erfasst,
ich sehe. Lachen Ich mache trotzdem
weiter. Für die anderen. So, und der Arzt,
dem gibt man diesen Link per E-Mail, Fax,
Telefon, persönlich und er kann dann unter
diesem Link das in dieser Session
gespeicherte Dokumente einsehen. So. Ja,
weswegen jetzt viele gelacht haben:
Natürlich, eine fünfstellige Session-ID
entspricht nicht so ganz den
Sicherheitsvorstellungen, die einige hier
wohl haben. So eine Session-ID,
fünfstellig, kann man... Man kann quasi
alle Session-IDs, die aus Kleinbuchstaben
bestehen, aus fünf Kleinbuchstaben, kann
man an einem Tag locker durchprobieren.
Also nicht händisch, da schreibt man sich
dann ein kleines Script und dann läuft das
durch. Und dann hat man alle mal getestet,
ob da ein Dokument liegt und eventuell
wird man ja fündig. Und wenn man fündig
wird, also wenn man eine Session-ID findet,
unter der tatsächlich jemand ein Dokument
gespeichert hat, sieht man sowas. Das sind
Metadaten. Also sowas wie der Name des
Versicherten, die Versichertennummer, das
Bild, Adresse, behandelnder Arzt, Adresse
des Arztes, Spezialität des Arztes, Alter,
Geschlecht, Sprache – also nur Metadaten,
aber wir sehen schon, diese Daten, die
will man nicht öffentlich haben.
Insbesondere, wenn ich dann bei einem
sensiblen Thema zu einem Arzt gehe, sagen
wir mal, Schwangerschaftsabbruch oder
Schwangerschaft allgemein oder
Psychologie. Ich gehe zum Psychologen,
weil ich mich irgendeiner Behandlung
unterziehen möchte. Und das können dann
du, ich – jeder kann das einsehen, wenn er
möchte oder konnte das einsehen auf der
Vivy-Plattform. Wenn ich die Daten dann
einsehen möchte, also das Dokument, was
darüber transportiert wurde in dieser
Session, dann muss ich eine vierstellige
PIN eingeben. Okay, also ich sehe das,
brauche ich nicht erklären. Vierstellige
PIN das sind – wie viele Versuche? Tausend,
genau und dann habe ich die. Also es ist
kein Hexenwerk und ich muss nur schneller
sein als der Arzt. Dann klappt das. Vivy
hatte noch mehr Mail. Phishing war ein
toller Aspekt, den man nicht erwarten
würde in einer Gesundheits-App. Vivy
erlaubt es, zwischen Versicherten
Dokumente auszutauschen und auch Dokumente
vom Arzt zu empfangen. Und hier sehen wir
drei Dokumente: zweimal eine invoice, eine
Rechnung und einmal eine prescription – eine
Verschreibung – durch den Arzt. Und wenn
ich die untere invoice öffne – oh, da muss
ich mich neu einloggen. Das passiert bei
Vivy sehr oft. Man muss sich sehr oft
einloggen, ist ein Sicherheitsfeature.
Die Session läuft sehr schnell ab. Wenn
ich mich allerdings hier einlogge, dann
geht das Passwort nicht an Vivy, sondern
da geht es an mich. Ja. Liegt daran, dass ich
HTML-Code in eine Webview in diese App
einschleusen konnte und mir dann basteln
konnte, was mir so gefällt. Phishing, das
erwartet man nicht in der Gesundheits-App.
Applaus Danke sehr. Applaus Aber wenn
ich das Passwort geklaut hab, komme ich
noch nicht in die App rein. Es gibt eine
Zwei-Faktor-Authentifizierung. Klar, die
Profis unter euch wissen: Phishing, Zwei-
Faktor-Authentifizierung das geht auch.
Aber sagen wir mal, ich habe den zweiten
Faktor nicht. Den brauche ich aber, wenn
ich mich einloggen möchte bei Vivy, dann
geht das über folgenden HTTP Request:
Username, Passwort und dieser Code. Dieser
Code ist der zweite Faktor. Ein TOTP-Token.
Den brauche ich, sonst komme ich
nicht rein. Ja, was mache ich, wenn ich
den nicht habe? Naja, probieren wir halt
mal. Also bruteforcing, ganz großes Thema.
So simpel es klingt, damit lagen alle
Metadaten dieser Plattform über diese
Session-IDs offen. Zweite Faktor-
Authentifizierung konnte ich komplett
umgehen. Die Dokumenten-PIN war nutzlos.
Erwartet man so nicht. Aber, es geht auch
weiter. Vivy hat eine Ende-zu-Ende-
Verschlüsselung. Das heißt, wenn ich als
Benutzer ein Dokument an den Arzt schicke,
geht das nicht so direkt über die Leitung,
sondern der Arzt, der öffnet ja diesen
Link in seinem Browser und dann erzeugt
der Browser – instant TAN – für den Arzt,
einen Key. Einen kryptographischen
Schlüssel, in JavaScript wird der erzeugt
und er wird im Browser gespeichert. So.
Der Arzt bzw. sein Browser schickt diesen
Key dann an den Patienten bzw. an die App.
Die App verschlüsselt damit das Dokument
und das verschlüsselte Dokument geht dann
an den Arzt. So weit, so gut. Problem ist
nur, dieser Schlüssel liegt im Browser. Der
lag im local storage, falls das jemandem
was sagt, im Browser. Und Browser-Apps
sind anfällig gegenüber Cross-Site-
Scripting. Häufig. Vivy war anfällig
gegenüber, ich glaube, drei Persistenten
haben wir gefunden, haben wir aufgehört
mit Cross-Site-Scripting-Angriffen. Das
heißt, ich musste dem Arzt nur einen Link
schicken und das machen viele, die
schicken dem Arzt ja Links. Und klickt der
Arzt darauf, dann kann ich den privaten
RSA-Key auslesen. Applaus Insgesamt
ergaben sich dann über 15 Befunde, zum
großen Teil von aus meiner Sicht hoher
Kritikalität. Natürlich sieht Vivy das
anders. Das habe ich zusammen mit Thorsten
Schröder veröffentlicht, der hat sich da
ein bisschen vor mich gestellt wegen der
responsible disclosure, auch nochmal ganz
herzlichen Dank dafür hier, öffentlich.
Coordinated disclosure. Applaus So sah
das aus, also eigentlich aus meiner Sicht:
So soll es laufen, coordinated disclosure.
Wir haben Vivy informiert. Am 21. hatten
wir direkt eine Telefonkonferenz, Vivy
gehört der Allianz zu siebzig Prozent. Da kam
der Allianz-CISO, hat sich das auch
angehört, waren wir schön in kleiner
Runde. Um elf nachts saßen wir in Berlin,
haben darüber diskutiert. Finaler Bericht
ging raus, haben wir ein bisschen
verlängert die Frist und am 30.10.
veröffentlicht. Aber dann haben sich
unsere Meinungen ein bisschen auseinander
dividiert. Reaktion von Vivy auf unsere
Veröffentlichung: "Ein reales Risiko für
die Sicherheit der Gesundheitsakten der
Nutzer bestand zu keinem Zeitpunkt." Ich
glaube, ihr würdet das jetzt anders sehen.
Netzpolitik hat dann öffentlich gemacht,
was im Hintergrund passiert ist, Vivy
hatte allen Magazinen, Online-
Berichterstattern vorgeworfen,
Falschaussagen zu veröffentlichen, hat
angerufen in den Redaktionen und gesagt,
dass sind Falschaussagen. Modzero kann das
nicht belegen, das heißt, das war mein
Arbeitgeber, ich kann das nicht belegen.
"Das müsst ihr zurücknehmen, müsst ihr
öffentlich schreiben, das ist alles wohl
nicht wahr." Zum Glück gab es ein paar
Leute, unter anderem bei netzpolitik.org,
die den Braten gerochen haben, haben dann
veröffentlicht, was da im Hintergrund
passiert. Vivy versucht die
Berichterstattung zu korrigieren. Der
Thorsten Schröder, von dem ich eben
geredet hatte, hat dann sich noch anhören
müssen, dass es da juristische
Konsequenzen geben soll und das Ganze ging
dann auf eine, ich sage mal, auf eine
nicht zu erwartende Art wurde dieser
Streit dann fortgeführt. Die Details
erspare ich euch jetzt, nur falls ihr
davon was mitbekommen habt zu Vivy, wisst
ihr jetzt die Hintergründe. Also aus
unserer Sicht haben wir wirklich versucht
coordinated disclosure so
verantwortungsvoll wie möglich zu machen.
Und ich hoffe auch weiterhin, dass... ich
werde das auch weiterhin so machen, dass
es vielleicht auch bei Vivy angekommen
ist, dass das von unserer Seite aus
verantwortungsvoll laufen sollte und das
nicht erwartet war. Frage ist jetzt: Vivy
hat gesagt, innerhalb von 24 Stunden
haben die alle Fehler behoben. Wer
glaubt's? Kurzer Applaus Ja, ich habe
für euch nachgeschaut. Also offiziell
natürlich nicht, aber ich habe jetzt vor
vier Wochen nochmal nachgeschaut und es
gibt da einen lustigen Angriff – das Wort
"lustig" nehme ich zurück. Das sollte man
hier nicht verwenden bei Gesundheitsdaten.
Dokument an den Arzt schicken als
Versicherter, als Vivy-Nutzer. Ich kann
dem Arzt natürlich auch ein bösartiges
Dokument schicken. In diesem Dokument ist
JavaScript drin. Dieses JavaScript wird im
Browser vom Arzt ausgeführt und stiehlt
dann alle Dokumente, auf die dieser Arzt
Zugriff hat, von allen anderen Versicherten,
und sendet sie an mich. Aus meiner Sicht
kritisch. Ich habe mal geschaut, so
nach... Applaus Innerhalb von 24 Stunden
behoben. Da sehen wir auf der einen Seite
den Angreifer, der gibt sich als Vivy-
Nutzer aus, das ist sein Vivy-Bildschirm
auf dem Handy und im Browser, das ist der
Arzt. Der hat den Browser offen und wartet
dass er den Link bekommt und eingeben kann.
Ich muss jetzt kurz wechseln, ich will
nämlich das als Video zeigen. So sieht das
aus, der Arzt gibt die Session-ID ein, die
wurde jetzt verlängert, die Session-ID. Das
sind nicht mehr 5 Stellen. Das haben sie
behoben. So. Jetzt gibt der Arzt seine PIN
ein, als bösartiger Nutzer gebe ich die
natürlich dem Arzt. Jetzt lädt der Arzt
das Dokument, es wird entschlüsselt und
jetzt öffnet der Arzt das Dokument im
Browser. So. Was ist passiert? Das
Dokument hatte JavaScript, das JavaScript
wurde ausgeführt. Es hat jetzt von anderen
Versicherten, hier ist es der Peter, dem
seine Diagnose heruntergeladen und seine
Befunde und hat diese Befunde an
allyourgesundheitsaktenarebelongtous.com
geschickt. So. Das passiert jetzt alles im
Browser des Arztes. Angriff funktioniert
weiterhin. Naja... nicht behoben.
Applaus Was aber auch geht... Eine Sache
haben sie behoben: Man kann den Key nicht
mehr auslesen. Der ist lesegeschützt, aber
er ist nicht schreibgeschützt! Gelächter
und Applaus Natürlich überschreibe ich
dann den privaten Key mit dem des
Angreifers bzw. dem eigenen. Und wenn ich
dann zukünftig solche Dokumente in die
Hände bekomme, kann ich die alle mit
meinem Schlüssel entschlüsseln. Das ist
das Problem, wenn ich Ende-zu-Ende-
Verschlüsselung habe, ohne dass ich eine
Identität für den Arzt habe, ohne dass ich
den authentifizieren kann, dann muss ich
jeden Schlüssel akzeptieren. Ich kann es
ja nicht verifizieren. So what. Es gibt
Hunderttausende kaputte Gesundheits-Apps.
Warum ist Vivy interessant? Warum ist es
relevant? Da muss ich ganz kurz in das
E-Health-Gesetz einsteigen. Es wurde 2015
verabschiedet und sieht vor, dass letztes
Jahr die Video-Sprechstunde eingeführt
wurde. In Baden-Württemberg ist es schon
soweit, da können gesetzlich Versicherte
per Video den Arzt kontaktieren und mit
dem Arzt auch eine Fernbehandlung
durchführen lassen. 2018, also dieses
Jahr, gab es den bundeseinheitlichen
Medikationsplan. Und ab nächstem Jahr 1.
Januar soll es die elektronische
Patientenakte geben. Bis 2021 soll sie
flächendeckend eingeführt sein.
Elektronische Patientenakte. Elektronische
Gesundheitsakte gibt's – das ist Vivy.
Schon seit 2004 haben die Krankenkassen
die Möglichkeit, das zu erstatten. Läuft
teilweise auf der Telematik-Infrastruktur
mit Anbindung eben an die Telematik-
Infrastruktur. Ärzte müssen sie aber nicht
nutzen. Die elektronische Patientenakte,
die nächstes Jahr kommen soll, ist jetzt
schon von der gematik spezifiziert, in
Teilen zumindest. Die wird dann zwingend
auf der Telematik-Infrastruktur laufen und
wird auch zwingend genutzt werden müssen
von den Ärzten. Es gab da ein Update für
dieses E-Health-Gesetz in diesem Jahr,
weil... Telematik-Infrastruktur,
Gesundheitskarte und so... das läuft ja
alles nicht so richtig. Da müssen wir was
machen. Dann hat sich unser
Gesundheitsminister gedacht: "Tablet und
Smartphone – darüber müssen wir auf diese
Patientenakte zugreifen können.
Gesundheitskarte ist ein bisschen old
fashioned, das brauchen wir nicht mehr."
Online-Banking ist das Vorbild. Deswegen
auch der Subtitle von dem Talk. Online-
Banking soll als Vorbild in Sachen
Sicherheit dienen. Und: diese Maßnahmen
dulden keinen Aufschub. Das heißt, ab
sofort, ich glaub, in drei Monaten will
die gematik das fertig spezifiziert haben.
Wie ich mich in diese Patientenakte
einlogge, auf meinem Smartphone, ohne
Gesundheitskarte. Das ist also der
Hintergrund. Und Vivy ist so etwas wie der
Testballon der Krankenkassen für die
Akzeptanz dieser elektronischen
Patientenakte. Denn die Krankenkassen,
gesetzlich und privat, sind natürlich sehr
interessiert daran, dass möglichst viele
diese Akte nutzen, Vivy oder auch
Konkurrenten. Denn damit sich auch
Einsparungen verbunden, damit sind auch
Vorteile verbunden für uns alle. Ja, so
what, nehmen wir halt nicht Vivy. Ich habe
ja eben gesagt, es gibt auch Konkurrenten.
Es gibt einige, zum Beispiel von
CompuGroup gibt es CGM LIFE. Es gibt
vitabook. Es gibt einen ganz alten
Vertreter dieser Art, das ist
gesundheitsakte.de von careon. Es gibt von
der TK in der Beta-Phase noch TK-Safe. Und
auch was die Video-Sprechstunde anbelangt,
da gibt es einige Anbieter. Hier nur eine
kleine Auswahl: TeleClinic, da ist in
Baden-Württemberg dieses Experiment, das
ist docdirekt. Und von Ärzten selbst
geschaffen gibt es meinarztdirekt, Fern-
Behandlungen für alle. Wer kann es besser?
Wer macht es besser als Vivy? Das war die
Frage, die ich gestellt habe, ich kann ja
hier nicht nur mit Vivy ankommen. Da
müssen wir mal ein bisschen quantitative
Analyse machen. vitabook – vitabook gibt
es schon seit 2011. Die haben schon
Erfahrung in dem Thema, waren die ersten
Kunden der Microsoft Cloud in Deutschland
und gewährleisten Datensicherheit,
Datenschutz und Compliance auf höchstem
Niveau. So sieht das aus. Das hier ist die
Susanne. Das ist ein Testkonto von
vitabook. Kann man mal reinschnuppern, wie
das so aussieht. Dasselbe wie bei Vivy.
Ich kann Dokumente da speichern,
hochladen, mit dem Arzt teilen,
Gesundheitsangaben machen, Notfalldaten
hinterlegen, Impfpass eintragen und alles
was ich will. Ich kann meine gesamte
Gesundheit damit verwalten. Das nennt sich
Gesundheitskonto, quasi das Girokonto für
Ihre Gesundheit. Klingt erst mal gut. Na
ja gut, jetzt 2018 erwartet man das nicht,
aber es erlauben Zugriff auf
verschlüsselte Gesundheitsdaten, keine
Ende-zu-Ende-Verschlüsselung. Wir haben
unsalted SHA1-Passwort-Hashes in
diesem Ding. Massiven Datenreichtum wohin
man schaut. Und, kleines Schmankerl: Wenn
man sich in dieses "Susanne"-Testkonto
einloggt, da sind auch Test-Dokumente. Und
woher nimmt man Test-Dokumente, man
fotografiert sie vor seinem Schreibtisch.
Zum Beispiel die höchstvertraulichen
Emails die ausgedruckt auf dem
Schreibtisch bei Vitabook rum liegen. Über
die letzte Sicherheitsanalyse. Applaus
Hier wird irgendein Befund aus irgendeiner
IT-Security-Analyse nicht anerkannt. Also
wenn ihr stöbern wollt, Susanne hat es für
euch. Vitabook flat-lining, klinisch
sicherheitstechnisch, eher mau.
Beschäftigen wir uns nicht weiter mit.
Interessant noch: Vitabook waren die
ersten, die Vivy retweetet haben. Lachen.
Vivy schaut mal ja, ja sollte man nicht
machen. Das war auch nicht unsere
Intention. Wir wollen wollten da keine
Schadenfreude oder irgendwas auslösen. Ja
gut, sind halt Tech-Startups. Vitabook ist
glaube ich ein ehemaliger CISCO-Manager –
also nur Vermutung, dahin gestellt. Lasst
die Ärzte ran, lasst die Ärzte ran. Die
wissen um die Sensitivität dieser
Gesundheitsdaten Bescheid, die haften ja
auch persönlich. Ein Arzt, wenn er die
Schweigepflicht verletzt, haftet er. Das
kann teuer werden. Das kann auch
Freiheitsentzug bedeuten. Lasst die Ärzte
diese Anwendung mitbetreuen mitentwickeln.
Interessantes Beispiel meinarztdirekt.de:
Das ist ein Hausarzt, der das ins Leben
gerufen hat. Kein Investor im Nacken. "Wenn
wir Ärzte die Digitalisierung nicht aktiv
mitgestalten, dann haben wir alle verloren."
Also, lassen wir die Ärzte mitgestalten und
schauen Sie sich das man an.
meinarztdirekt.de. So sieht das aus. Hier
habe ich, ich habe versucht auf eine
Rechnung zuzugreifen, das ist natürlich
verboten. Ich darf ja nicht auf andere
Rechnungen von anderen Leuten zugreifen
und mir anschauen, was die da für
Leistungen bezogen haben. Das geht nicht.
Ich wollte es mir anzeigen lassen, da
sehen wir, irgendwiewie "meinarztdirekt.de/
invoice/view/id-1". Was ist, wenn ich diese
Daten drucken möchte – nicht anzeigen, nicht
view, sondern print? Oh! Was ist denn das?
Applaus Nicht so schön, das will man gar nicht.
Eigenbau – schreiben wir das ab, lassen die
Profis ran. Also Arzt ist schon gut, wenn
er dabei ist, aber da müssen Profis,
müssen Profis ran. TeleClinic.
TeleClinic im Vorstand, drei Leute: Ein
Arzt, ein Informatiker. Viel Geld
dahinter. Ganz Baden-Württemberg dafür bei
docdirekt. TeleClinic nutzen. Da wird eine
Videosprechstunde hergestellt mit Ärzten
in Baden-Württemberg. Wenn einer von euch
gesetzlich versichert in Baden-Württemberg
ist, einfach mal docdirekt, sich einloggen,
– okay, nicht mit echten Daten einloggen – und
kann mit dem Doktor sprechen, mit einem
Arzt, mit einer Ärztin und sich diagnostizieren
lassen. Dokumente austauschen. Oder auch
eine von den Versicherten hier, Arag Debeka,
die bietet das auch an.TeleClinic bietet
maximale Datensicherheit und verhindert
Missbrauch auf jeder Ebene. Ein
vierstufiges Sicherheitssystem bietet die
höchste Datensicherheit Deutschlands.
Meine Damen und Herren die höchste
Datensicherheit Deutschlands. Applaus.
Applaus Für TeleClinic. So. Wenn ich jetzt
bei TeleClinic mein Passwort ändern möchte,
dann sieht es so aus: Dann habe ich in rot
meine User-ID und in gelb mein Passwort,
mein neues und dann sende ich da diesen
HTTP-Request aus meinem Browser ab. Da
habe ich mich jetzt gefragt: Was passiert
denn, wenn ich diese rote User-ID ändere.
Wenn ich da mal... GelächterApplaus Ah! Jup.
Das ist nicht lustig, das ist die höchste
Datensicherheit Deutschlands. Na typisch:
kleine mittelständische Unternehmen – lasst
mal die Profis ran. Die, die es wissen. Die
ganz Großen, die wirklich die Mittel dafür
haben. Die, die es wirklich besser machen
können. Wir können lachen über die kleinen,
aber, wir müssen auch die großen anschauen
– der Fairness halber. TK-Safe sei ein
Beispiel. Die haben es richtig gemacht:
Ende-zu-Ende verschlüsselt. Ich habs mir
nicht weiter angeschaut, aber: Hier sehen
wir den Schlüssel. Der wird erzeugt in der
App. Das ist der Schlüssel für den User.
Wenn dieser Schlüssel verloren geht, dann
geht der Zugang zur gesamten Akte
verloren, wenn alles richtig gemacht
wurde. Das heißt: Wenn ich mein Handy
verliere, dann habe ich meine gesamten
Gesundheitsdaten verloren. Das will keiner,
deswegen, Vivy und alle anderen, die Ende-
zu-Ende Verschlüsselung anbieten, fordern
einen auf, diesen Schlüssel zu exportieren.
Allerdings sind wir mit Schlüsseln ja noch
gar nicht so vertraut. Was ist denn ein
Schlüssel? Passwörter, das hat ziemlich
lange gedauert, bis wir wussten, wie wir
Passwörtern umgehen sollen. Und die
meisten kriegen es immer noch nicht hin.
Und diesen Schlüssel müssen wir irgendwo
sichern, exportieren. Wie geht das? Wird
als QR-Code gespeichert, die Schlüssel.
Einige sehen es schon, der wird nämlich in
der Galerie gespeichert. Und zwar, das ist
jetzt ein Android-Bildschirm. Wir sehen
der QR-Code, der diesen Schlüssel
darstellt, den ich auch wieder einscannen
kann, der wird in der öffentlichen
Bildergalerie auf meinem Handy
gespeichert. Der geht dann bei Google
Fotos hoch und überall und alle Apps haben
Zugriff drauf. Das ist ein bisschen, wenn
man jetzt hier Schlüssel durch
Passwort ersetzt und beide haben ja die
gleiche Funktion. Also wenn ich jetzt
Schlüssel durch Passwort ersetze dann
heißt da: Bitte speichern Sie ein Passwort
im Klartext in ihrer Bildergalerie. Will
man nicht. Da braucht man einen Passwort
Manager, aber für Schlüssel, aber das
gibt's ja noch nicht. Da sehen wir auch
wie schwer es ist, sowas richtig zu
implementieren. Gut, ist halt TK-Safe, ist
noch in der Betaphase. Die sind noch nicht
live damit in der Produktivphase, also im
Betatest. Ihr könnt euch wieder anmelden
wenn ihr möchtet, aber
Flüchtigkeitsfehler, passiert. Lasst mal
die Erfahrung sprechen, die die schon
lange dabei sind, die wirklich seit
Jahrzehnten auf dem Markt sind. Das ist
CompuGroup. CompuGroup CGM Life, 5000
Mitarbeiter, knapp 600 Millionen
Jahresumsatz, in 55 Ländern, die müssten's
wissen. Die haben eine Plattform, "CGM Life"
nennt die sich. Und auf dieser Plattform,
das ist eine Secret Medical Cloud. Da
laufen alle möglichen Anwendungen, viele
Anwendungen, die Gesundheitsdaten
austauschen wollen verknüpfen sich einfach
mit diesem CGM Life und speichern da ihre
Daten und tauschen die aus. So, einige
dieser Anwendungen sind durch Zwei-Faktor-
Authentifizierung geschützt, zum Beispiel
bei der Axa. Wenn ich mich bei der Axa
"Meine Gesundheit" einloggen möchte. Wer
ist hier privatversichert bei der Axa? Nicht
die Hand heben! Aber, wir sollten es
wissen. Da brauche ich einen Authentification-
Code, ansonsten komme ich da nicht rein.
Und das ist diesmal richtig gemacht, nicht
wie bei Vivy. Da kann ich nichts
bruteforcen, das ist schön sicher. Problem
ist es nur, ich habe ja gesagt, das ist
eine Plattform und ich kann entweder über
Axa da reingehen, da geht es nicht. Oder
ich gehe direkt über CGM Life in diese
Plattform: Wow, da geht's. Da brauche ich
keinen zweiten Faktor. Ist natürlich
bisschen doof, wenn ich verschiedene
Zugänge habe, verschiedene Türen zum Haus,
die eine ist mit Kamera ausgestattet, die
andere lässt sich mit einem Schlüssel oder
mit eine Hammer öffen – bringt nichts.
Dasselbe wie bei Vivy ist hier auch
passiert. Ich weiß nicht, wer da von wem
abgeschaut hat. Wahrscheinlich eher Vivy
von denen, weil die sind älter. Ich kann
Akten austauschen: sechsstellige PIN. Das
sagt einigen vielleicht jetzt schon was.
Ich kriege eine sechsstellige PIN. Unter
dieser PIN, die gebe ich meinem Arzt, dann
kann der Arzt unter aktenblickpunkt.de
diese PIN eingeben und da auf meine
komplette Gesundheitsakte zugreifen. Ja
gut, sechsstellige PIN, ist ziemlich
leicht gebruteforced und das geht hier auch.
Und da kann ich wieder auf entweder auf
die Gesundheitsdaten komplett zugreifen
oder zumindest ein paar Meta-Informationen
abgreifen. Erstaunliche Parallele. Was wir
sonst noch... was ist jetzt allerdings das
große Problem ist dieser Plattform? Das
ist, ja, diese Plattform macht alles
richtig und versucht alles richtig zu
machen. Man hat eine Elliptic Curve
Encryption hier implementiert mit einer
sicheren elliptischen Kurve. Das wird
Client-seitig alles verschlüsselt, es
werden keine Passwörter über den Äther
geschickt. Ich sende also nur meine
E-Mail-Adresse an CGM, bekomme dann einen
Public Key und einen Secret zurück. Da
habe ich mir gedacht: Einen Secret bekomme
ich zurück, wenn ich eine E-Mail-Adresse
hinschicke?. Warum heißt das Secret? Es
ist ein Key Derivation Secret. Was nehmen
wir jetzt? Ich habe hier eine Key
Derivation Function,
Schlüsselableitungsfunktion. Der gebe ich
mein Passwort plus dieses Secret, was ich
da bekomme und dann kriege ich Client-
seitig, offline den Private Key, also das
Passwort, der Zugang zu dieser
Gesundheitsakte. Wenn ich das richtige
Passwort gewählt habe, dann passt diese
Private Key zum Public Key von
meyer@ccc.de. Dann kann ich mich
einloggen. Wenn er nicht stimmt, das
Passwort, muss ich halt nochmal weiter
probieren. Wenn ich nicht der Meyer bin,
probiere ich es halt so lange, bis es
klappt. Und ich habe ja den Public Key und
das Secret offline verfügbar. Da muss ich
nicht mehr mit CGM, mit einem Server
interagieren. Ich lade mir das runter und
starte dann einen Wörterbuch-Angriff oder
etwas Ähnliches. Das ganze Verfahren sogar
patentiert worden, inklusive des Fehlers.
Gelächter
Also nicht nachbauen! Kostet. Ja, ich hab
mal geschaut, ob das überhaupt relevant
ist. Dropbox: der Vinzent Haupert, der
sich mit Online-Banking beschäftigt hat,
letztes, vorletztes Jahr, hat auch Dropbox
genommen. Da habe ich gedacht, das passt
ja thematisch: Onlinebanking, zu diesem
Talk. Habe ich auch Dropbox genommen, habe
die E-Mail-Adressen aller Deutschen
runtergeladen und mal geschaut, wer davon
bei CGM angemeldet ist und dann mal ein
großes Wörterbuch genommen und mal
geschaut, was da so für Passwörter
rausfallen. Also für eine Gesundheitsakte
waren die jetzt nicht sehr kreativ. Also,
muss ich sagen. Da hätte ich von den
Deutschen mehr erwartet, die ja im
Datenschutz so gebildet sein sollen. Aber
gut. Drei Prozent aller Dropbox-User aus
Deutschland waren auch bei CGM
angemeldet und auf meinem kleinen
Laptop von vor vier Jahren habe ich
drei Prozent davon errechnet.
Applaus
Natürlich nur eine Stichprobe. Also wir
haben jetzt gezeigt, so ein kleiner
Rundumschlag: Ist wohl nichts. Das
ArzneimittelkontoNRW basiert übrigens
auch auf CGM Life – wer das nutzen sollte...
Vivy, gesundheitsakte.de habe ich hier
jetzt ausgeklammert. Aber die haben auch
ein paar Probleme. docdirect, CGM Life,
CLICK DOC, TeleClinic, CGM Life,
eSERVICES, TK-SAFE, mediteo, MEINE
GESUNDHEIT, meinarztdirekt und so weiter
und so fort und so fort. Alle haben die
irgendwie dann doch nicht. Wir sind noch
nicht mal auf dem Niveau vom Online-
Banking. Schade. So what. Wir wissen alle,
es gibt keine perfekte Sicherheit. Das
werden wir nie erreichen. Wir müssen mit
Wahrscheinlichkeiten rechnen. So, dann
schauen wir uns mal die
Wahrscheinlichkeiten an. So große
Unternehmen wie CGM, die müssen Risiko
veröffentlichen. Also in ihrem
Finanzreport, hab ich mal geschaut,
gibt's Datenverarbeitungsrisiken. Ist der
Finanzreport vom letzten Jahr. Da steht:
"Die Kunden von uns nutzen unsere Produkte,
um sehr vertrauliche Informationen zur
Gesundheit zu speichern, zu verarbeiten
und zu übertragen." Sollten eben doch
Sicherheitsprobleme auftauchen, dann
könnte das zu Schadenersatzansprüchen,
Bußgeldern, Geldstrafen und Ähnlichem
führen, die dann GCM abführen muss. Und
deswegen ist es ein Risiko für CGM, weil
natürlich ein finanzieller Schaden
entsteht. Und jetzt schauen wir mal.
Gegenüber dem Kunden sagt CGM: Paramount
priority. Da gibts nichts, Security ist
alles. Also absolut sicher. Hier heißt
es: Ja wir erwarten im Jahr vier Millionen
Schaden. Im Durchschnitt.
Jahreshöchstschaden, da sind wir schon bei
18 Millionen. Mit fünf Prozent Wahrscheinlichkeit
tritt ein höherer, unerwarteter Schaden in
den Datenverarbeitungsrisiken ein. Das
kann man sich jetzt ausmalen, das kann
natürlich auch sein, dass die ganze
Datenverarbeitung den Bach hinuntergeht. Aber
es kann natürlich auch sein, dass die
ganzen Daten offenliegen. Also fünfprozentige
Wahrscheinlichkeit. Nehmen wir einfach mal
diese fünf Prozent und schauen wir, was
passiert. Also im ersten Jahr: 95 Prozent der
Wahrscheinlichkeit sind wir sicher. Im
zweiten Jahr 90 Prozent. Im dritten Jahr
sind wir noch bei 86 Prozent. Das Problem
bei Gesundheitsdaten ist: Die sind sehr
langlebig. Nach fünfizig Jahren sind meine
Gesundheitsdaten immer noch sehr wertvoll,
denn ich kann meine Gesundheit ja nicht
ändern. Also wenn ich damals eine
Erbkrankheit hab, hab ich in 50 Jahren
immer noch. Es sei denn, die Zukunft
bringt eine Erlösung in dem Bereich. Aber
wir gehen mal davon aus. So, 50 Jahre:
habe ich acht Prozent Wahrscheinlichkeit. Naja...
Das will man nicht. Aber vielleicht ist ja
diese fünf Prozent übertrieben. Oder nicht
nur auf, dass diese Daten veröffentlicht
werden, bezogen. Vielleicht habe ich einen
Fehler gemacht oder was anderes
hineininterpretiert. Schauen wir in die
USA. In den letzten fünf Jahren in den USA
wurden im Durchschnitt dreißig Millionen
Patientenakten gestohlen, gehackt,
verkauft. Und das sind nur die öffentlich
gemeldeten, also die meldepflichtig waren.
30 Millionen, das sind knapp zehn Prozent der US
Population. Naja, zehn Prozent. Ich habe
eben mit fünf Prozent geschätzt. Kommt eigentlich
ganz gut hin. Norwegen 2018. Nicht dass
wir sagen, es sind nur die Amerikaner. In
Europa haben wir ja höheren Datenschutz.
In Norwegen, dieses Jahr: Jeder dritte
Norweger ist jetzt einem unbekannten
Angreifer gegenüber sehr bekannt, wie
seine Gesundheit aussieht. Drei Millionen
Patientenakten wurden gestohlen. Dänemark
2016 gab es einen lustigen Vorfall. Ah,
nicht lustig. Tschuldigung. Das Wort muss
ich wirklich hier zurücknehmen. Da wurden
zwei CDs mit allen, fast allen
Gesundheitsdaten der Bevölkerung aus
Versehen an die Visastelle, an die
chinesische Visastelle geschickt.
Verhaltenes Lachen
Das passiert, ja. Passiert. Ich habe auch
schon mal ne Adresse falsch geschrieben.
Lachen und Applaus
Ich weiß nicht, ob sie die zurückgeschickt
haben.
Lachen
Müssen wir mal nachfragen. Ja gut. Aber
wir sind hier Deutschland, da kann man
solche Sachen ja prüfen lassen,
zertifizieren lassen, gemäß Standards
arbeiten, Normen anlegen. Wir haben ja
Mittel dagegen. Helfen Zertifikate? Diese
Zertifikate stammen von den Apps, die ich
eben gezeigt habe. Wir sind hier bei allen
möglichen, unter anderem Security, Trusted
Privacy, E-Privacy. Der Landesbeauftragte
für Datenschutz Rheinland-Pfalz hat unter
anderem CGM LIFE geprüft, meine-
gesundheit, und für gut befunden und so
fort und so weiter. Zertifikate können das
Problem nicht beheben. Sie sind vielleicht
ein Indikator, ein Hinweis für etwas, aber
nicht dafür, dass diese Apps frei sind von
Sicherheitsmängeln. Wir schauen es bei
Vivy noch mal ganz kurz an. Vivy hatte ein
Datenschutzgutachten machen lassen und ein
Gütesiegel bekommen, eine
Sicherheitsprüfung und ein TÜV-Zertifikat
bekommen, zwei Pentests von
unterschiedlichen Unternehmen durchführen
lassen. Ich kann nicht sagen, welcher Scope
oder – das wird ja nicht veröffentlicht.
Nach diesem Sicherheitsvorfall noch einmal
zwei komplette Pentests und danach dann
dieses Beispiel eingangs, das ich gezeigt
habe. Nach diesem ganzen Aufwand war die
App nicht sicher. Und jetzt? Was machen
wir jetzt? Ich zähle noch mal auf: Es gibt
grundlegende Probleme bei allen
elektronischen Gesundheits-Apps, bei
denen, die einmal unsere Gesundheitsdaten
verwalten sollen. Sicherheit ist ein
Wettbewerbsnachteil, das haben wir zum
Beispiel bei Vivy gesehen. Vivy hat
Pentests, Zertifikate, Bugbounties erst
nachher durchführen lassen. Zum großen
Teil auch vorher schon, aber eben nicht in
sichere Architektur gesetzt. Das zeigt
sich schon: Wenn von der Allianz der CISO
kommen muss, weil man bei Vivy eine
Sicherheitslücke meldet, dass da bei Vivy
kein professioneller IT-Security-Analyst
da war, der sich damit auskennt. Ist halt
ein Start-Up. Von all diesen Apps, die ich
eben aufgezählt habe, mit diesen Apps
laufen coordinated disclosure-Verfahren.
Die sind schon seit zweieinhalb Monaten
bekannt. Wenn ich jetzt diesen Report
nicht mit Kostenstelle veröffentlicht
hätte, hätte keiner von euch davon gehört.
Es gab hier keine Meldungen an
Aufsichtsbehörden oder irgendwen. Das
heißt: Wenn kümmerts. Ein Angreifer würde
das nicht öffentlich machen. Und dann
haben wir jetzt neu: 2019 soll die
Patientenakte kommen. Die Patientenakte
soll wirklich sicher werden. Die ist vom
BSI mit der gematik zusammen ausgearbeitet
worden. Die Spezifikation ist seit ein
paar Tagen online. gematik.de, einfach mal
anschauen. Die Spezifikationen für den
Tablet und mobilen Zugang kommt noch, in
drei Monaten, spätestens. Unbedingt mal
reinschauen, was da drin steht für die,
die es interessiert. Die soll dann auch
wirklich sicher sein. Wer weiß. Aber es
ist auch gar nicht so relevant, weil, wenn
ich ein Anbieter bin, warum soll ich eine
Patientenakte anbieten, wenn ich genauso
gut eine Gesundheitsakte anbieten kann und
mit der Gesundheitsakte auch an die
Telematik in der Infrastruktur gekoppelt
werde, aber eben nicht diese ganzen
Standards einhalten muss. Vivy ist eine
Gesundheitsakte und keine Patientenakte.
Das ist ein sehr wichtiges Wortspiel. Das
wird aber wahrscheinlich keiner in der
Öffentlichkeit wahrnehmen, dass es da einen
großen Unterschied gibt. Das Hauptproblem
aus meiner Sicht ist: Gesundheitsdaten
sind keine Bankdaten. Ich kann hier keine
finanzielle Risikoanalyse ausstellen und
sagen: "Wir haben ein Jahresbudget von 18
Millionen und damit hat sich das." Das hat
gesellschaftliche Auswirkungen, wenn diese
Daten öffentlich sind. Wir können nicht 18
Millionen zahlen und dann haben wir eine
neue Kreditkarte und dann ist alles
vergessen. Das geht nicht. Die Daten sind
dann bei irgendwem, irgendwo. Als HIV-
Infizierte darf ich dann nicht mehr in
andere Länder reisen, weil die dann ganz
genau wissen, was ich da für ansteckende
Krankheiten habe. Dann kann ich mir das
streichen. Oder, falls ein deutscher
Politiker auf die Idee kommt, dass man
Infizierte mit bestimmten Krankheiten...
Die Szenarien kann man sich ausdenken. Die
sind jetzt nicht erfunden. Seehofer hatte
mal drüber nachgedacht, HIV-Infizierte zu
konzentrieren, als das Thema neu war. Mit
so einer Gesundheitsakte oder
Patientenakte ist das kinderleicht. Es
entsteht hier nicht ein finanzieller
Schaden, sondern ein gesellschaftlicher
Schaden und ein langfristiger Schaden über
Generationen hinweg. 23andMe und so
weiter, die ganzen DNA-Analyse-Services,
gab es ja schon Vorfälle, aber was
Richtiges ist wohl noch nicht passiert.
Wir wissen es nicht. Aber wenn ich mein
Genom dann sequenziert in der App
speichere, dann haben auch meine Kinder
noch was davon. Es gibt keine langfristig
sicheren Datenspeicher. Der Professor
Buchmann von der TU Darmstadt hat jetzt
erst vor zwei Wochen – ein anerkannter
Kryptologe – darüber veröffentlicht, dass
wir in 20 Jahren keine sicheren
Gesundheits-Apps haben. Nein, keinen
Speicher haben, der für 20 Jahre sichere
Speicherung garantieren kann. In 20 Jahren
sind wahrscheinlich alle jetzt auf
höchstem Stande verschlüsselten Daten
öffentlich, für jeden, der sie jetzt
einsammelt. Und das ist ein ganz großes
Problem, das wird nirgendwo besprochen.
Also wenn ich jetzt fleißig Daten sammele,
in zwanzig Jahren haben die noch denselben Wert
oder einen viel höheren Wert. Das ist
anders als Bankdaten. Wenn ich jetzt
anfange, Bankdaten zu sammeln,
interessiert die in zwanzig Jahren keiner mehr.
Gesundheitsdaten schon. Und das denke
nicht ich, das denkt Johannes Buchmann,
Professor an der TU Darmstadt, und wenn er
das so sieht, dann vertrau ich dem. Wie
sieht die Zukunft aus? Die Welt hat es mal
schön dargestellt: "Angst vor
Datenmissbrauch hemmt Fortschritt im
Gesundheitswesen.": "Der Patient muss
wissen, dass Datenmissbrauch sowohl
strafbar als auch enorm schwer
durchzuführen ist." Enorm schwer. "Wer
sich der elektronischen Gesundheitsakte
bei erfolgreicher Implementierung trotz
jeglicher Sicherheitsvorkehrungen
verweigert, sollte zwar zunächst keinen
spürbaren Qualitätsverlust der Behandlung
per se erleiden, kann aber auch nicht in
den Genuss eines schnellen und bequemen
Behandlungsablaufs kommen." Und dann
resümiert man bei der Welt: "Längerfristig
muss man damit rechnen, dass mangelndes
Vertrauen mit Einbußen in der
Behandlungsqualität vergolten wird." Da
muss ich zustimmen, die Patientenakte wird
kommen. Das führt zu vielen Vorteilen. Es
hat wirklich Vorteile. Die liegen auf der
Hand. Ich kann Doppeluntersuchungen
vermeiden. Ich kann Fehlmedikation
vermeiden, weil ich die Wechselwirkungen
automatisch erkenne. Ich kann Patienten
besser steuern. Ich kann sie anschreiben,
wenn irgendwo was aufgetaucht ist: Neue
Behandlungsmethode, Wechselwirkungen zu
irgendeinem Medikament, irgendein Rückruf.
Es geht alles über die Patientenakte, hat
sehr viele Vorteile. Und wenn sich jemand
hier entscheidet, seinen Kindern keine
solche Akte anzulegen, Patientenakte,
trägt er dann das Risiko dafür, dass die
Kinder eine höhere Sterblichkeit haben
oder schlechtere Behandlungsqualität oder
länger warten müssen? Wenn neunzig Prozent der
Bevölkerung diese elektronische
Patientenakte nutzen und ihr seid die zehn
Prozent oder zwei Prozent oder ein
Prozent, leidet ihr darunter,
beziehungsweise auch wir. Und das ist die
Realität. Damit schließe ich den Talk. Hat
jetzt mehr Fragen aufgeworfen am Ende.
Genau das ist aber auch die Intention. Ich
will das zeigen, wie es aussieht,was kommt
und will jetzt eine Debatte anstoßen. Denn
jetzt können wir noch beeinflussen. Jetzt
haben wir noch die Möglichkeit, auf das
Update für das E-Health-Gesetz, das heißt
Termin- irgendwas Vorsorge-Gesetz,
Einfluss zu nehmen. Noch können wir
Abgeordnete anschreiben. Noch können wir
Dinge fordern oder uns Gedanken machen.
Und wir können uns überlegen, wie eine
Gesellschaft aussieht, in der alle unsere
Gesundheitsdaten offenliegen. Wir können
uns überlegen, wie wir diese Folgen davon
abschätzen und wie wir sie vielleicht auch
verhindern können. Und
Technikfolgenabschätzungen, damit
beschäftigen wir uns ja hier. Deswegen
ganz herzlichen Dank, dass ihr alle
zugehört habt. Und wenn jetzt es Fragen da
sind, Anregungen, Diskussionen, freue ich
mich sehr.
Applaus
Herald: Sind denn Fragen aus dem Internet
da? Dann mach mal, stell eine.
Signal Angel: Ich fang mal mit einer vom
Anfang an. Da geht es mehr oder weniger um
Nutzung von Vivy, wie man da hinkommt und
inwiefern das mit Identifikationssystemen
verbunden ist. Also wahrscheinlich Post-
Ident oder so, oder ob man eine
Wegwerfadresse nutzen kann.
Martin: Bei Vivy zum Beispiel muss man ein
Video von sich aufnehmen mit seinem
Personalausweis. Ich habe einen
Zwillingsbruder. Ich wollte das mal
testen. Man muss nur seinen Namen
austauschen und wird dann als der auf dem
Personalausweis identifizierte Bürger in
Vivy hinterlegt und kann dann im Namen
dieses Versicherten Daten anfragen. So
sieht es bei Vivy aus. Andere Verfahren
nutzen gerade die privaten
Krankenversicherten, andere Methoden der
Verifikation, aber nicht unbedingt sicher.
Herald: Du, mir fällt da gerade noch eine
Frage ein. Für diese supertoll
geschriebene Software, wie viel Geld haben
die nochmal bekommen?
Martin: Vivy?
Herald: Ja.
Martin: Das ist von Bitmarck, von dem IT-
Dienstleister von neunzig Krankenkassen
ausgeschrieben worden. Wieviel Geld die
dafür bekommen haben, kann man bestimmt
erfragen. Das wäre mal eine interessante
Frage. Fragdenstaat.de.
Herald: Sehr schön. Mikrofon acht bitte.
Mikrofon 8: Moinmoin. Ich hatte überlegt,
noch einen Kommentar zu geben, aber ich
mache eine Frage draus.
Herald: Danke.
Mikrofon 8: Letztens, im zweitvorherigen
Talk, ging es um diese Venenbilder. Und da
meinte der... wie war sein Name? Ich habe
es vergessen. Der meinte, wir müssten mal
in der Datenschleuder dann die Venenbilder
von irgendeinem Minister haben. Und ich
denke, eigentlich bräuchten wir die
Gesundheitsakte von einem Minister.
Martin: Das hätte eine Schockwirkung, ja.
Mikrofon 8: Und das ist meine Frage.
Martin: Aber...
Mikrofon 8: Würde das irgendwas bringen?
Martin: Wahrscheinlich nicht. Es wäre
zumindest eine Aktion, die nicht den
Respekt der Gesellschaft dir bringt, der
es dir ermöglicht, eine Änderung zu
erkämpfen, aus meiner Sicht. Aber da haben
viele andere Meinungen. Das wäre
vielleicht etwas, was man persönlich
diskutieren kann.
Herald: Mikrofon vier bitte.
Mikro 4: In den letzten Tagen ging eine
Meldung durch die verschiedenen Zeitungen,
dass Frau Dorothea Bär, Staatsministerin,
gesagt habe, das Problem, dass die
Digitalisierung des Gesundheitswesens bei
uns so hintendran ist, da gab's einen
OECD-Report, wo wir auf dem vorletzten
Platz gelandet sind, das läge an dem
Datenschutz. Und wir müssten dort
abrüsten. Haben wir nicht schon längst
abgerüstet?
Martin: Ich meine, wir können jetzt nicht
Deutschland sagen, ohne die gesamte
Europäische Union zu vergleichen. Wir
haben ja überall dieselbe
Datenschutzgrundsatzverordnung. Deshalb
verstehe ich das Argument erstmal nicht,
dass wir in Deutschland einen besonders
guten Datenschutz haben. Das ist nämlich
dasselbe wie in allen anderen Ländern der
Europäischen Union.
Und ich habe ja paar Beispiele gezeigt:
Norwegen usw. Da hilft es ja auch nichts.
Also abrüsten ist, glaube ich, nicht die
Lösung. Nein. Das Gegenteil ist der Fall.
Herald: Das Internet, bitte nochmal!
Internet: Inwiefern wurden denn bei den —
es waren ja jetzt bisher nur gesetzliche
Krankenkassen — wurden denn betriebliche
Krankenkassen überprüft?
Martin: Betriebliche Krankenkassen? Ich
glaube, da waren einige dabei. Bei Vivy
sind, glaube ich - oder bei TeleClinic z. B.,
die stellen Betriebsärzte und so
weiter. Also alle Anbieter, also Vivy,
TeleClinic, CGM, vitabook, die sind sowohl
privaten als auch gesetzlich
Krankenversicherungen offen. Und die
arbeiten auch sehr viel mit privaten
Krankenversicherungen zusammen. Z. B. AXA.
Wie weit jetzt betriebliche noch mit
involviert sind, müsste man recherchieren.
Herald: Mikrofon drei, bitte!
Mikro 3: Mich würde interessieren, ob es
da nicht eine Möglichkeit gibt, dass man
da tatsächlich mit einem Lesegerät und der
Gesundheitskarte etwas macht. Ich verstehe
nicht, dass man da einen externen Chip
hat, auf dem man möglicherweise die
Private Keys eben nur schreibbar etc.
speichern kann und auf der Basis nicht
irgendwie ein sicheres
Authentifizierungsmerkmal oder -methode
dann eben ausbaut.
Martin: Eine sehr gute Frage. Also wir
haben ja ein Trust Anchor: Das ist ja die
elektronische Gesundheitskarte. Da haben
wir einen privaten Schlüssel drauf. Warum
nehmen wir den nicht? Ganz einfach: Keiner
hat ein USB-Lesegerät, was er einfach an
sein Smartphone stecken kann. Und die
Vision von unserem Gesundheitsminister ist
ja, dass das über ein Smartphone, wie
Online-Banking, genutzt werden soll. Denn
bisher nutzt es ja keiner. Es nutzt ja
keiner, und das bringt dann den
Krankenkassen auch nichts.
Herald: Du kannst einmal tief durchatmen -
wir haben richtig Zeit noch, 12 Min.
Martin: Ah, wir haben noch 12 Min. Da kann
ich nochmal ganz kurz was dazu sagen: Wir
haben nämlich in dem aktuellen Standard,
den die gematik verabschiedet hat, jetzt vor paar
Tagen, vor einer Woche glaub ich genau, ist
die elektronische Patientenakte so
spezifiziert, dass der Zugang nur über die
elektronische Gesundheitsakte möglich ist.
Das Problem ist, das wird niemand nutzen.
Außer ein paar Verschrobene, die halt
ihren Cardreader an den PC anschließen
und dann einen Androidsimulator laufen
lassen, oder das vielleicht gleich an das
Androidgerät stecken. Also – das wird nicht
genutzt. Und deswegen wurde jetzt auch
schon gleich von der gematik gesagt:
Spätestens bis zum März, Ende März 2019,
kommt das Update raus. Und zwar:
Patientenakte 1.1. Und da sind wir dann
soweit. Und da wird dann spezifiziert, wie
wir ohne die Gesundheitskarte darauf
zugreifen dürfen. Und es bringt auch
nichts zu sagen: "Die Patientenakte können
wir nur mit Gesundheitskarte benutzen. Nur
sicher, nur mit Gesundheitskarte." Denn da
kommen Anbieter wie Vivy und sagen: "Bei
uns geht das ohne! Kommt doch zu uns!
Viel einfacher!" Und klar, dann nutzen die
Mehrheit der Versicherten natürlich die
einfache Variante. Das heißt, hier haben
wir wirklich diesen Wettbewerbsnachteil,
über den ich geredet habe. Die sicher
spezifizierte Akte wird niemand nutzen.
Herald: Mikrofon sechs, bitte!
Mikro 6: Ja, also eine Anmerkung: Es wird
wahrscheinlich sehr interessant, sobald es
Quantencomputer gibt, die genug
physikalische Qubits haben, um reale
Qubits fehlerfrei genug zu simulieren,
dass man tatsächlich auch Anwendungen wie
beispielsweise Brute-Force an
verschiedensten Verschlüsselungsverfahren
ausführen kann, wird es sehr interessant,
genau solche Daten eben geheim zu halten.
Gerade wenn man so Reaktionen sieht, wie
langsam das dann abläuft. Es muss ja,
sobald irgendwie bekannt wird, dass es so
einen Quantencomputer gibt, sofort auf
andere Algorithmen umgestellt werden, die
dann... ja, ich beende das einfach jetzt.
Martin: Ja, also man müsste klar auf
Quantenkryptographie zurückgreifen,
Algorithmen die dort noch als sicher
gelten. Im Zeitalter der Quantenkrypto –
da gab es doch diesen Einführungstalk –
wer war alles da? Vielleicht können da
Leute jetzt die Frage beantworten. Also –
das Problem ist, dass wir in zwanzig Jahren
nicht sagen können, ob dieser oder jener
Algorithmus dann noch Sicherheit bietet.
Auch mit Quantenkryptographie. Es gibt
Vorschläge, wie wir auch über zwanzig Jahre
hinaus Gesundheitsdaten sicher speichern
können. Und da setzen wir eben nicht auf
Kryptographie, sondern auf verteilte
Speicherung. Das heißt wir müssen die
Daten ein bisschen hier, ein bisschen da,
ein bisschen dort speichern, und
versuchen, diese Zuordnung irgendwie
geheim zu halten. Wie das genau geht, das
weiß ich nicht. Habe ich nur kurz gelesen.
Das ist der Prof. Buchmann von dem ich
vorhin geredet habe. Der hat sich da wohl
– der ist da wohl sehr kundig. Also es
gibt da Ansätze, wie wir auch ohne
kryptografisch sichere Algorithmen in zwanzig
Jahren Daten noch sicher halten können.
Problem ist nur: Die gematik spezifiziert
eine zentrale Datenhaltung. Also, es ist
jetzt spezifiziert und das ändert sich
auch so schnell nicht.
Herald: Mikrofon fünf, bitte!
Mikro 5: Du hast in deinem Talk die
Datenschutz-Grundverordnung und das
finanzielle Risiko der Betreiber
angesprochen. Wie viele Betroffene oder
potentiell Betroffene müssten sich
beschweren oder sich vertreten lassen beim
Beschweren durch so etwas wie
"Datenschmutz", damit es denen wirklich
weh tut, damit die wirklich etwas daran
ändern.
Martin: Das ist nicht mein Gebiet, ist
aber eine sehr gute Frage, und die würde
ich gerne weitergeben. Vielleicht gibt es
jemanden im Publikum, der sich damit
auskennt. Also, das Problem ist ja auch:
Wie bezifferst du den Schaden der dadurch
entsteht? Also bislang hat der Betreiber
ja keine persönliche Haftung dafür, dass
er deine Gesundheitsdaten veröffentlicht
und dass du dann in zehn Jahren keinen Job
bekommst. Wie willst du das nachweisen?
Ich glaube das wird ganz schwer und das
ist etwas was wir vielleicht jetzt anregen
sollten, darüber mal nachzudenken: Also
wie beziffere ich den Schaden der
entsteht, wenn meine Gesundheitsdaten
komplett offenliegen. Meine Gesundheit für
die nächsten 80, 70 Jahre, je nachdem wie
lange ich leben möchte. Also auch die
meiner Kinder.
Herald: Mikrofon zwei!
Mikro 2: Bei den Dingen, die ihr da
entdeckt habt, an diesen Applikationen
dort, da wird es keine zwanzig Jahre dauern,
bis die Daten alle öffentlich sind. Aber diese
Aussage, es gibt keinen Datenspeicher der
auf die nächsten zwanzig Jahre sicher ist,
ist jetzt auf einen zentralen Datenspeicher
bezogen. Mal darüber nachgedacht, wie es
eigentlich aussieht mit den ganzen
Patientenmanagementsystemen, die wir jetzt
so verstreut haben, und dann muss es
eigentlich eine sehr ähnliche Aussage
geben, und ich bin eigentlich erstaunt
darüber dass man wirklich noch mit zwanzig
Jahren rechnet. Gibt's da
irgendwie Daten zu?
Martin: Also diese zwanzig Jahre, die habe ich
aus einem Zeitungsbericht oder Interview
von dem Prof. Buchmann genommen. Da würde
ich sagen: Besser mal in die Literatur
schauen, was da wirklich dahinter steht.
Aber, was die Datenspeicherung angeht:
Momentan liegen die Daten alle verstreut
in Arztinformationssystemen,
Klinikinformationssystem, und natürlich
wird hier und da schon mal was geleakt
oder gestohlen. Problem ist halt nur, wenn
die Daten auf einmal auch ausgetauscht
werden können, und wenn es eine zentrale
Datenhaltung gibt, dann wird das Ganze auf
einmal angreifbarer. Und da muss ich nicht
überall hingehen und ein bisschen was
klauen. Und dann wird das auch viel eher
genutzt, diese Datenspeicherung. Und dann
hab ich viel eher die Möglichkeit, auch
zentral Daten abzuführen. War das so –
oder worauf zielte die Frage ab?
Mikro 2: Die Firma CGM, die da genannt
worden ist, hat mehrere
Konkurrenzunternehmen aufgekauft und
bietet den Ärzten an, dass dann die Daten
konvertiert werden, weil sie diese
Produkte nicht mehr fördern, aber eine
eigene Applikation haben, die natürlich
ganz wunderbar ist, die sie den Ärzten
dann gerne verkaufen. Und dann werden die
Daten konvertiert. Das heißt also, da gibt
es schon so an einer gewissen Stelle eine
gewisse zentrale Datenhaltung.
Martin: Ja, das Problem ist, ich glaube,
vielleicht wissen wir auch vieles noch
nicht. Vielleicht ist es auch noch nicht
so an die Öffentlichkeit gelangt, wo es
denn schon Leaks gab. Also, das was ich
aus den USA gezeigt habe, dass waren halt
meldepflichtige Leaks, da wo Daten
abhanden gekommen sind. In Deutschland
habe ich da zu Gesundheitsdaten noch nicht
viel gefunden.
Herald: Mikrofon vier, bitte!
Mikro 4: Die Gesundheitsdaten, die sollen
ja auch pseudonymisiert für
Forschungszwecke verwendet werden dürfen.
Könntest das vielleicht noch ausführen?
Martin: Ja, das habe ich jetzt nicht in
diesen Talk eingebaut, das wäre nochmal
ein komplett eigenes Thema:
Pseudonymisierte Speicherung. Kann man
kritisieren. Vivy speichert auch
pseudonym, schickt dann aber z. B. deinen
lacht 2-Faktor-Code mit. Lacht Oder:
Wenn du dich in Vivy einloggst, loggt sich
Vivy zeitgleich in dein pseudonymisiertes
Konto ein und schickt dann die Daten
pseudonymsiert da hoch. Das heißt, du
bist in dein Originalkonto eingeloggt und
gleichzeitig auch in ein Schattenkonto.
Nennt sich so, "Shadow Profile". Das heißt
du bist immer gleich zweimal angemeldet:
Mit deinem Gerät, mit deinem Token und so
weiter. Das heißt: Auf der Seite der Vivy-
Plattform ist es eigentlich technisch machbar,
dich wieder zuzuordnen. Da muss man wirklich
dem Anbieter vertrauen. Es gibt ja auch
schon Forderungen, dass man Datenspenden
einfordert. Das heißt, es gab politisch die
Forderung, dass die Datenspende erzwungen
werden muss, um forschenden
Pharmaunternehmen Zugriff zu gewähren.
lacht ...ja.
Herald: Mikrofon drei, bitte!
Mikro 3: Nümünümünümüne...Ich dachte
eigentlich immer, dass der Austausch von
verschlüsselten Daten oder generell von,
naja, verantwortungsvollen Daten gelöst
sei. Also ich meine, in den Gremien, in
denen ich sitze, schaffen es Leute auch
wirklich sichere Daten miteinander
auszutauschen. Ich meine, mein Seafile
kann das. Warum kriegen das die Ärzte
nicht hin? Gibt es eine Alternative, die
wir den Ärzten vorschlagen könnten, die
sie zumindest für die nächsten zehn Jahre
benutzen könnten. Ob dann eben mit Post-
Quantum-Kryptographie die Daten in Nevada,
die im DE-CIX ausgelesen werden, dann doch
entschlüsselt werden, ist ja nochmal eine
andere Debatte.
Martin: Das Problem ist: Spezifikation ist
nicht immer das, was implementiert wird.
Also für Vivy gibt es ein Whitepaper des
Fraunhofer-Instituts AISEC, wo das alles
schön spezifiziert ist. Aber was dann
implementiert wurde, ist nicht unbedingt
das, was da drin steht. Das heißt,
da gibt es eine Kluft. Da wird
nicht verifiziert oder validiert, dass das
auch so stimmt. Und dann, räusper
wenn ich diese Daten – Entschuldigung,
die Frage nochmal ganz kurz?
Mikro 3: Gibt es eine Alternative, die wir
den Ärzten jetzt empfehlen können, um
gemeinsam Daten auszutauschen?
Martin: Schwierig. Also wirklich sehr
schwierig. Immer möglichst dezentral,
möglichst nicht über einen zentralen
Datenspeicher. Da kann ich jetzt nichts
empfehlen. Also bislang geht das halt:
ausdrucken und mitnehmen. Es ist jetzt
auch keine Alternative für die, die
chronisch krank sind.
Mikro 3: Faxen!
Martin: Ja, faxen. lacht
GelächterApplaus
Herald: Das Schlimme ist: Er hat
wahrscheinlich Recht, oder?
Martin: Das große Problem ist: Wir haben
halt keine - Wenn wir Ende-zu-Ende
verschlüsseln wollen, wie bei PGP, dann
brauche ich ja Keys, die muss ich ja mal
ausgetauscht haben, verifiziert haben. Und
das muss irgendwie automatisiert gehen
sonst läuft das im großen Stil nicht. Und
das fehlt halt. Wir haben halt auf Seiten
der Ärzte inzwischen die Telematik-
Infrastruktur bei vielen. Da gibt es dann
eine Identität, darüber können wir das
laufen lassen. Auf Seiten der Patienten
gibt es die Gesundheitskarte. Ja, das ist
genau das Problem: Patientenakte wollen
wir halt nicht mit der Gesundheitskarte
verknüpfen, weil es keiner nutzt.
Herald: So, und jetzt die letzten drei
Fragen die hier stehen, die möchte ich
alle drei noch abschießen. Ganz schnelle
Frage – ganz schnelle Antwort. Nummer vier!
Mikro 4: Was ist der Unterschied zwischen
Gesundheitsdaten und Patientendaten?
Martin: Die Gesundheitsakte und
Patientenakte, die zwei? Gesundheitsakte
ist optional zu verwenden für die Ärzte.
Patientenakte ist – wenn du eine hast,
müssen die Ärzte die Daten da
reinspeichern. Das ist quasi funktional
der einzige Unterschied. Und:
Patientenakte wird von der gematik
spezifiziert.
Herald: Die Nummer acht!
Mikro 8: Zu Vivy: Du hast gesagt, die
haben den Schlüssel, den Private Key, auf
dem Ärztefrontend irgendwie lesegeschützt.
Wie soll denn das gehen im Browser, wenn du
XSS kannst?
Martin: Es gibt diese Web-Crypto-API im
Browser. Und die Web-Crypto-API, da kannst
du sagen: "Exportable". Also kannst du
sagen: "Der Key kann ich exportiert
werden." Das heißt, das ist ein Objekt, das
Objekt kapselt den Zugriff und solange die
JavaScript-Engine richtig implementiert
ist, kannst du dann auch nicht auf diesen
internen privaten Variablen zugreifen.
Mikro 8: Also du gibst dann deine Daten
rein, der macht Crypto, und...
Martin: Ja, du hast ein Objekt mit der
Methode Encrypt() und Decrypt(), aber den
Schlüssel bekommst du nicht zu sehen.
Mikro 8: Alles klar!
Herald: Last but not least. Nummer fünf!
Mikro 5: Ich habe keine Frage, ich würde
noch kurz eine Idee anmerken, die halt
nicht auf einer technischen Ebene ist,
aber wie schon angesprochen wurde: Alle
Gesundheitsdaten sind sensibel und
besonders auch so Sachen wie
Schwangerschaftsabbruch und HIV oder
andere Diagnosen, so Schizophrenie,
Depression, alles. Und ich würde sagen,
die Idee ist halt sich auch mit den Leuten
und den Interessenverbänden jetzt schon
mal auseinanderzusetzen und was die jetzt
schon an Forderungen haben zu versuchen
umzusetzen, weil technisch glaube ich
werden die Daten halt öffentlich sein und
dann ist es halt: Wie gehen wir
gesellschaftlich mit Leuten um, die
schwierige Diagnosen haben.
Martin: Genau das ist auch die Aussage
von meinem Talk. Ich kann die
technischen Probleme aufzeigen, aber
die gesellschaftliche Antwort – wie wir damit
umgehen oder was die Forderung daraus
sind, das müssen wir gemeinsam
machen, bzw. auch mit den Medical
Professionals, mit denen, die sich wirklich
damit ihr Leben lang beschäftigt haben.
Herald: Doch noch eine Frage, weil ihr
seid nicht barrierefrei, Ich kann durch
euch nicht durchschauen. Bitte einmal
Mikrofon drei!
Mikro 3: Dankeschön. Meins rangiert eher
unter Anmerkung. Ich habe vor etwas über
einem Jahr an CGM eine Mail geschickt, die
habe ich gerade mal rausgekramt. Da wurde
von einem Facharzt, habe ich einen Link
gehabt: http. Und da sollte ich dann meine
persönlichen Daten eingeben. Da hab ich
gedacht ok, das breche ich jetzt ab. Habe
denen gemailt: "Leute, https wäre mir an
der Stelle lieber gewesen." Und habe dann
die Antwort bekommen: "Zu Ihrer Anmerkung
bezüglich der verschlüsselten Verbindung
können wir sie beruhigen: Die Übermittlung
der Daten erfolgt über eine interne
sichere Leitung in verschlüsselter Form."
Das sei vorgeschrieben und – toll!
GelächterApplaus
Martin: Interessanter Beitrag!
Herald: Auf die Qualität können wir uns in
Zukunft freuen, ne?
Martin: lacht ja...
Herald: Martin Tschirsich!
35C3 Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!