<i>35c3 Vorspannmusik</i>

Herald: Er beschreibt sich selber als
integrierter Bürger mit Kenntnissen in

grafischer Datenverarbeitung und IT-
Sicherheit. Er wird euch jetzt mal sagen,

warum all your Gesundheitsdaten not belong
to you.

<i>Applaus</i>
Martin Tschirsich: Herzlichen Dank, dass

so viele zu abendlicher Stunde hier sind.
Es geht um "All Your Gesundheitsdaten Are

Belong To Us". Sicherer als Onlinebanking,
haben sie gesagt. Das wollen wir jetzt mal

schauen, ob das so stimmt. Vivy – davon
haben vielleicht einige von euch schon

gehört. Vivy ist angetreten vor einigen
Monaten als elektronische Gesundheitsakte.

In Vivy, eine App, kann man Röntgenbilder
austauschen, man kann seinen Impfpass

führen, man kann seine Medikamente dort
hinterlegen. Alles rund um die Gesundheit

kann man mit Vivy machen und insbesondere
man kann seine Dokumente an seinen Arzt

schicken. Der Arzt kann Befunde dort
hinterlegen, Diagnosen hineinschreiben und

so weiter. Hier sehen wir drei Bildschirme
von Vivi. So sieht das aus, eine App für

iOS, Android und Vivy wurde am 17.09.
veröffentlicht. Gar nicht so alt. Hat ein

großes Medienecho in der Tagespresse
erzeugt. Und das liegt daran, dass Vivy

die erste App ist, die von so vielen
privaten und gesetzlichen Krankenkassen

gleichzeitig finanziert wird. Das heißt,
da stehen für 13 Millionen – inzwischen

deutlich mehr – Versicherte die
Krankenkassen dahinter und bezahlen diese

Anwendung. Kostet normalerweise so um die
fünf Euro im Monat. Das übernehmen die

Krankenkassen, damit ihr diese App nutzen
könnt. Ein Tag nach dem Release von Vivy

gab es wieder ein Medienecho, diesmal
anderer Art: Datenschutzmängel. Ein Herr

Kuketz hat Vivy angeschaut und gesehen:
Vivy überträgt Telemetriedaten, also

wertet das Benutzerverhalten aus und
schickt die Daten an verschiedene Server

in den USA, Singapur und so weiter. Das
passt nicht zu so einer Gesundheits-App.

Besonders eine, die von unseren ganzen
Krankenkassen finanziert wird. Und das war

der Aufhänger. Da habe ich mir Vivy
heruntergeladen. Da habe ich gedacht:

Jetzt wird's interessant. Und habs mir mal
angeschaut. Das war das Resultat. Mehr als

einen Monat später gab es dann nochmal ein
Medienecho, auch noch Mal zum Thema Vivy:

Diesmal Sicherheitsmängel. Es hieß dann
Patientendaten in Gefahr. Vivy –

gravierende Sicherheitsmängel in
Krankenkassen-App. Und das Ganze habe ich

dann zusammen mit Thorsten Schröder
veröffentlicht in einem Bericht. Ich will

mal kurz vorstellen, was denn bei Vivy so
alles schief gegangen ist. Also, Vivy

dient hauptsächlich dem Austausch von
Dokumenten zwischen dem Patienten und dem

Arzt. Das heißt, der Patient hat sein
Smartphone, hat da verschiedene

Röntgenbilder, Diagnosen, Berichte und
möchte die seinem neuen Arzt senden. Das

geht über die Vivy-Plattform. Vivy ist
eine Cloud-Plattform. So. Ich schicke die

in die Cloud. Vivy erzeugt dann eine
"Session". Das ist eine fünfstellige

Session-ID, bestehend aus Kleinbuchstaben.
<i>Lachen</i> Einige haben es schon erfasst,

ich sehe. <i>Lachen</i> Ich mache trotzdem
weiter. Für die anderen. So, und der Arzt,

dem gibt man diesen Link per E-Mail, Fax,
Telefon, persönlich und er kann dann unter

diesem Link das in dieser Session
gespeicherte Dokumente einsehen. So. Ja,

weswegen jetzt viele gelacht haben:
Natürlich, eine fünfstellige Session-ID

entspricht nicht so ganz den
Sicherheitsvorstellungen, die einige hier

wohl haben. So eine Session-ID,
fünfstellig, kann man... Man kann quasi

alle Session-IDs, die aus Kleinbuchstaben
bestehen, aus fünf Kleinbuchstaben, kann

man an einem Tag locker durchprobieren.
Also nicht händisch, da schreibt man sich

dann ein kleines Script und dann läuft das
durch. Und dann hat man alle mal getestet,

ob da ein Dokument liegt und eventuell
wird man ja fündig. Und wenn man fündig

wird, also wenn man eine Session-ID findet,
unter der tatsächlich jemand ein Dokument

gespeichert hat, sieht man sowas. Das sind
Metadaten. Also sowas wie der Name des

Versicherten, die Versichertennummer, das
Bild, Adresse, behandelnder Arzt, Adresse

des Arztes, Spezialität des Arztes, Alter,
Geschlecht, Sprache – also nur Metadaten,

aber wir sehen schon, diese Daten, die
will man nicht öffentlich haben.

Insbesondere, wenn ich dann bei einem
sensiblen Thema zu einem Arzt gehe, sagen

wir mal, Schwangerschaftsabbruch oder
Schwangerschaft allgemein oder

Psychologie. Ich gehe zum Psychologen,
weil ich mich irgendeiner Behandlung

unterziehen möchte. Und das können dann
du, ich – jeder kann das einsehen, wenn er

möchte oder konnte das einsehen auf der
Vivy-Plattform. Wenn ich die Daten dann

einsehen möchte, also das Dokument, was
darüber transportiert wurde in dieser

Session, dann muss ich eine vierstellige
PIN eingeben. Okay, also ich sehe das,

brauche ich nicht erklären. Vierstellige
PIN das sind – wie viele Versuche? Tausend,

genau und dann habe ich die. Also es ist
kein Hexenwerk und ich muss nur schneller

sein als der Arzt. Dann klappt das. Vivy
hatte noch mehr Mail. Phishing war ein

toller Aspekt, den man nicht erwarten
würde in einer Gesundheits-App. Vivy

erlaubt es, zwischen Versicherten
Dokumente auszutauschen und auch Dokumente

vom Arzt zu empfangen. Und hier sehen wir
drei Dokumente: zweimal eine invoice, eine

Rechnung und einmal eine prescription – eine
Verschreibung – durch den Arzt. Und wenn

ich die untere invoice öffne – oh, da muss
ich mich neu einloggen. Das passiert bei

Vivy sehr oft. Man muss sich sehr oft
einloggen, ist ein Sicherheitsfeature.

Die Session läuft sehr schnell ab. Wenn
ich mich allerdings hier einlogge, dann

geht das Passwort nicht an Vivy, sondern
da geht es an mich. Ja. Liegt daran, dass ich

HTML-Code in eine Webview in diese App
einschleusen konnte und mir dann basteln

konnte, was mir so gefällt. Phishing, das
erwartet man nicht in der Gesundheits-App.

<i>Applaus</i> Danke sehr. <i>Applaus</i> Aber wenn
ich das Passwort geklaut hab, komme ich

noch nicht in die App rein. Es gibt eine
Zwei-Faktor-Authentifizierung. Klar, die

Profis unter euch wissen: Phishing, Zwei-
Faktor-Authentifizierung das geht auch.

Aber sagen wir mal, ich habe den zweiten
Faktor nicht. Den brauche ich aber, wenn

ich mich einloggen möchte bei Vivy, dann
geht das über folgenden HTTP Request:

Username, Passwort und dieser Code. Dieser
Code ist der zweite Faktor. Ein TOTP-Token.

Den brauche ich, sonst komme ich
nicht rein. Ja, was mache ich, wenn ich

den nicht habe? Naja, probieren wir halt
mal. Also bruteforcing, ganz großes Thema.

So simpel es klingt, damit lagen alle
Metadaten dieser Plattform über diese

Session-IDs offen. Zweite Faktor-
Authentifizierung konnte ich komplett

umgehen. Die Dokumenten-PIN war nutzlos.
Erwartet man so nicht. Aber, es geht auch

weiter. Vivy hat eine Ende-zu-Ende-
Verschlüsselung. Das heißt, wenn ich als

Benutzer ein Dokument an den Arzt schicke,
geht das nicht so direkt über die Leitung,

sondern der Arzt, der öffnet ja diesen
Link in seinem Browser und dann erzeugt

der Browser – instant TAN – für den Arzt,
einen Key. Einen kryptographischen

Schlüssel, in JavaScript wird der erzeugt
und er wird im Browser gespeichert. So.

Der Arzt bzw. sein Browser schickt diesen
Key dann an den Patienten bzw. an die App.

Die App verschlüsselt damit das Dokument
und das verschlüsselte Dokument geht dann

an den Arzt. So weit, so gut. Problem ist
nur, dieser Schlüssel liegt im Browser. Der

lag im local storage, falls das jemandem
was sagt, im Browser. Und Browser-Apps

sind anfällig gegenüber Cross-Site-
Scripting. Häufig. Vivy war anfällig

gegenüber, ich glaube, drei Persistenten
haben wir gefunden, haben wir aufgehört

mit Cross-Site-Scripting-Angriffen. Das
heißt, ich musste dem Arzt nur einen Link

schicken und das machen viele, die
schicken dem Arzt ja Links. Und klickt der

Arzt darauf, dann kann ich den privaten
RSA-Key auslesen. <i>Applaus</i> Insgesamt

ergaben sich dann über 15 Befunde, zum
großen Teil von aus meiner Sicht hoher

Kritikalität. Natürlich sieht Vivy das
anders. Das habe ich zusammen mit Thorsten

Schröder veröffentlicht, der hat sich da
ein bisschen vor mich gestellt wegen der

responsible disclosure, auch nochmal ganz
herzlichen Dank dafür hier, öffentlich.

Coordinated disclosure. <i>Applaus</i> So sah
das aus, also eigentlich aus meiner Sicht:

So soll es laufen, coordinated disclosure.
Wir haben Vivy informiert. Am 21. hatten

wir direkt eine Telefonkonferenz, Vivy
gehört der Allianz zu siebzig Prozent. Da kam

der Allianz-CISO, hat sich das auch
angehört, waren wir schön in kleiner

Runde. Um elf nachts saßen wir in Berlin,
haben darüber diskutiert. Finaler Bericht

ging raus, haben wir ein bisschen
verlängert die Frist und am 30.10.

veröffentlicht. Aber dann haben sich
unsere Meinungen ein bisschen auseinander

dividiert. Reaktion von Vivy auf unsere
Veröffentlichung: "Ein reales Risiko für

die Sicherheit der Gesundheitsakten der
Nutzer bestand zu keinem Zeitpunkt." Ich

glaube, ihr würdet das jetzt anders sehen.
Netzpolitik hat dann öffentlich gemacht,

was im Hintergrund passiert ist, Vivy
hatte allen Magazinen, Online-

Berichterstattern vorgeworfen,
Falschaussagen zu veröffentlichen, hat

angerufen in den Redaktionen und gesagt,
dass sind Falschaussagen. Modzero kann das

nicht belegen, das heißt, das war mein
Arbeitgeber, ich kann das nicht belegen.

"Das müsst ihr zurücknehmen, müsst ihr
öffentlich schreiben, das ist alles wohl

nicht wahr." Zum Glück gab es ein paar
Leute, unter anderem bei netzpolitik.org,

die den Braten gerochen haben, haben dann
veröffentlicht, was da im Hintergrund

passiert. Vivy versucht die
Berichterstattung zu korrigieren. Der

Thorsten Schröder, von dem ich eben
geredet hatte, hat dann sich noch anhören

müssen, dass es da juristische
Konsequenzen geben soll und das Ganze ging

dann auf eine, ich sage mal, auf eine
nicht zu erwartende Art wurde dieser

Streit dann fortgeführt. Die Details
erspare ich euch jetzt, nur falls ihr

davon was mitbekommen habt zu Vivy, wisst
ihr jetzt die Hintergründe. Also aus

unserer Sicht haben wir wirklich versucht
coordinated disclosure so

verantwortungsvoll wie möglich zu machen.
Und ich hoffe auch weiterhin, dass... ich

werde das auch weiterhin so machen, dass
es vielleicht auch bei Vivy angekommen

ist, dass das von unserer Seite aus
verantwortungsvoll laufen sollte und das

nicht erwartet war. Frage ist jetzt: Vivy
hat gesagt, innerhalb von 24 Stunden

haben die alle Fehler behoben. Wer
glaubt's? <i>Kurzer Applaus</i> Ja, ich habe

für euch nachgeschaut. Also offiziell
natürlich nicht, aber ich habe jetzt vor

vier Wochen nochmal nachgeschaut und es
gibt da einen lustigen Angriff – das Wort

"lustig" nehme ich zurück. Das sollte man
hier nicht verwenden bei Gesundheitsdaten.

Dokument an den Arzt schicken als
Versicherter, als Vivy-Nutzer. Ich kann

dem Arzt natürlich auch ein bösartiges
Dokument schicken. In diesem Dokument ist

JavaScript drin. Dieses JavaScript wird im
Browser vom Arzt ausgeführt und stiehlt

dann alle Dokumente, auf die dieser Arzt
Zugriff hat, von allen anderen Versicherten,

und sendet sie an mich. Aus meiner Sicht
kritisch. Ich habe mal geschaut, so

nach... <i>Applaus</i> Innerhalb von 24 Stunden
behoben. Da sehen wir auf der einen Seite

den Angreifer, der gibt sich als Vivy-
Nutzer aus, das ist sein Vivy-Bildschirm

auf dem Handy und im Browser, das ist der
Arzt. Der hat den Browser offen und wartet

dass er den Link bekommt und eingeben kann.
Ich muss jetzt kurz wechseln, ich will

nämlich das als Video zeigen. So sieht das
aus, der Arzt gibt die Session-ID ein, die

wurde jetzt verlängert, die Session-ID. Das
sind nicht mehr 5 Stellen. Das haben sie

behoben. So. Jetzt gibt der Arzt seine PIN
ein, als bösartiger Nutzer gebe ich die

natürlich dem Arzt. Jetzt lädt der Arzt
das Dokument, es wird entschlüsselt und

jetzt öffnet der Arzt das Dokument im
Browser. So. Was ist passiert? Das

Dokument hatte JavaScript, das JavaScript
wurde ausgeführt. Es hat jetzt von anderen

Versicherten, hier ist es der Peter, dem
seine Diagnose heruntergeladen und seine

Befunde und hat diese Befunde an
allyourgesundheitsaktenarebelongtous.com

geschickt. So. Das passiert jetzt alles im
Browser des Arztes. Angriff funktioniert

weiterhin. Naja... nicht behoben.
<i>Applaus</i> Was aber auch geht... Eine Sache

haben sie behoben: Man kann den Key nicht
mehr auslesen. Der ist lesegeschützt, aber

er ist nicht schreibgeschützt! <i>Gelächter
und Applaus</i> Natürlich überschreibe ich

dann den privaten Key mit dem des
Angreifers bzw. dem eigenen. Und wenn ich

dann zukünftig solche Dokumente in die
Hände bekomme, kann ich die alle mit

meinem Schlüssel entschlüsseln. Das ist
das Problem, wenn ich Ende-zu-Ende-

Verschlüsselung habe, ohne dass ich eine
Identität für den Arzt habe, ohne dass ich

den authentifizieren kann, dann muss ich
jeden Schlüssel akzeptieren. Ich kann es

ja nicht verifizieren. So what. Es gibt
Hunderttausende kaputte Gesundheits-Apps.

Warum ist Vivy interessant? Warum ist es
relevant? Da muss ich ganz kurz in das

E-Health-Gesetz einsteigen. Es wurde 2015
verabschiedet und sieht vor, dass letztes

Jahr die Video-Sprechstunde eingeführt
wurde. In Baden-Württemberg ist es schon

soweit, da können gesetzlich Versicherte
per Video den Arzt kontaktieren und mit

dem Arzt auch eine Fernbehandlung
durchführen lassen. 2018, also dieses

Jahr, gab es den bundeseinheitlichen
Medikationsplan. Und ab nächstem Jahr 1.

Januar soll es die elektronische
Patientenakte geben. Bis 2021 soll sie

flächendeckend eingeführt sein.
Elektronische Patientenakte. Elektronische

Gesundheitsakte gibt's – das ist Vivy.
Schon seit 2004 haben die Krankenkassen

die Möglichkeit, das zu erstatten. Läuft
teilweise auf der Telematik-Infrastruktur

mit Anbindung eben an die Telematik-
Infrastruktur. Ärzte müssen sie aber nicht

nutzen. Die elektronische Patientenakte,
die nächstes Jahr kommen soll, ist jetzt

schon von der gematik spezifiziert, in
Teilen zumindest. Die wird dann zwingend

auf der Telematik-Infrastruktur laufen und
wird auch zwingend genutzt werden müssen

von den Ärzten. Es gab da ein Update für
dieses E-Health-Gesetz in diesem Jahr,

weil... Telematik-Infrastruktur,
Gesundheitskarte und so... das läuft ja

alles nicht so richtig. Da müssen wir was
machen. Dann hat sich unser

Gesundheitsminister gedacht: "Tablet und
Smartphone – darüber müssen wir auf diese

Patientenakte zugreifen können.
Gesundheitskarte ist ein bisschen old

fashioned, das brauchen wir nicht mehr."
Online-Banking ist das Vorbild. Deswegen

auch der Subtitle von dem Talk. Online-
Banking soll als Vorbild in Sachen

Sicherheit dienen. Und: diese Maßnahmen
dulden keinen Aufschub. Das heißt, ab

sofort, ich glaub, in drei Monaten will
die gematik das fertig spezifiziert haben.

Wie ich mich in diese Patientenakte
einlogge, auf meinem Smartphone, ohne

Gesundheitskarte. Das ist also der
Hintergrund. Und Vivy ist so etwas wie der

Testballon der Krankenkassen für die
Akzeptanz dieser elektronischen

Patientenakte. Denn die Krankenkassen,
gesetzlich und privat, sind natürlich sehr

interessiert daran, dass möglichst viele
diese Akte nutzen, Vivy oder auch

Konkurrenten. Denn damit sich auch
Einsparungen verbunden, damit sind auch

Vorteile verbunden für uns alle. Ja, so
what, nehmen wir halt nicht Vivy. Ich habe

ja eben gesagt, es gibt auch Konkurrenten.
Es gibt einige, zum Beispiel von

CompuGroup gibt es CGM LIFE. Es gibt
vitabook. Es gibt einen ganz alten

Vertreter dieser Art, das ist
gesundheitsakte.de von careon. Es gibt von

der TK in der Beta-Phase noch TK-Safe. Und
auch was die Video-Sprechstunde anbelangt,

da gibt es einige Anbieter. Hier nur eine
kleine Auswahl: TeleClinic, da ist in

Baden-Württemberg dieses Experiment, das
ist docdirekt. Und von Ärzten selbst

geschaffen gibt es meinarztdirekt, Fern-
Behandlungen für alle. Wer kann es besser?

Wer macht es besser als Vivy? Das war die
Frage, die ich gestellt habe, ich kann ja

hier nicht nur mit Vivy ankommen. Da
müssen wir mal ein bisschen quantitative

Analyse machen. vitabook – vitabook gibt
es schon seit 2011. Die haben schon

Erfahrung in dem Thema, waren die ersten
Kunden der Microsoft Cloud in Deutschland

und gewährleisten Datensicherheit,
Datenschutz und Compliance auf höchstem

Niveau. So sieht das aus. Das hier ist die
Susanne. Das ist ein Testkonto von

vitabook. Kann man mal reinschnuppern, wie
das so aussieht. Dasselbe wie bei Vivy.

Ich kann Dokumente da speichern,
hochladen, mit dem Arzt teilen,

Gesundheitsangaben machen, Notfalldaten
hinterlegen, Impfpass eintragen und alles

was ich will. Ich kann meine gesamte
Gesundheit damit verwalten. Das nennt sich

Gesundheitskonto, quasi das Girokonto für
Ihre Gesundheit. Klingt erst mal gut. Na

ja gut, jetzt 2018 erwartet man das nicht,
aber es erlauben Zugriff auf

verschlüsselte Gesundheitsdaten, keine
Ende-zu-Ende-Verschlüsselung. Wir haben

unsalted SHA1-Passwort-Hashes in
diesem Ding. Massiven Datenreichtum wohin

man schaut. Und, kleines Schmankerl: Wenn
man sich in dieses "Susanne"-Testkonto

einloggt, da sind auch Test-Dokumente. Und
woher nimmt man Test-Dokumente, man

fotografiert sie vor seinem Schreibtisch.
Zum Beispiel die höchstvertraulichen

Emails die ausgedruckt auf dem
Schreibtisch bei Vitabook rum liegen. Über

die letzte Sicherheitsanalyse. <i>Applaus</i>
Hier wird irgendein Befund aus irgendeiner

IT-Security-Analyse nicht anerkannt. Also
wenn ihr stöbern wollt, Susanne hat es für

euch. Vitabook flat-lining, klinisch
sicherheitstechnisch, eher mau.

Beschäftigen wir uns nicht weiter mit.
Interessant noch: Vitabook waren die

ersten, die Vivy retweetet haben. <i>Lachen.</i>
Vivy schaut mal ja, ja sollte man nicht

machen. Das war auch nicht unsere
Intention. Wir wollen wollten da keine

Schadenfreude oder irgendwas auslösen. Ja
gut, sind halt Tech-Startups. Vitabook ist

glaube ich ein ehemaliger CISCO-Manager –
also nur Vermutung, dahin gestellt. Lasst

die Ärzte ran, lasst die Ärzte ran. Die
wissen um die Sensitivität dieser

Gesundheitsdaten Bescheid, die haften ja
auch persönlich. Ein Arzt, wenn er die

Schweigepflicht verletzt, haftet er. Das
kann teuer werden. Das kann auch

Freiheitsentzug bedeuten. Lasst die Ärzte
diese Anwendung mitbetreuen mitentwickeln.

Interessantes Beispiel meinarztdirekt.de:
Das ist ein Hausarzt, der das ins Leben

gerufen hat. Kein Investor im Nacken. "Wenn
wir Ärzte die Digitalisierung nicht aktiv

mitgestalten, dann haben wir alle verloren."
Also, lassen wir die Ärzte mitgestalten und

schauen Sie sich das man an.
meinarztdirekt.de. So sieht das aus. Hier

habe ich, ich habe versucht auf eine
Rechnung zuzugreifen, das ist natürlich

verboten. Ich darf ja nicht auf andere
Rechnungen von anderen Leuten zugreifen

und mir anschauen, was die da für
Leistungen bezogen haben. Das geht nicht.

Ich wollte es mir anzeigen lassen, da
sehen wir, irgendwiewie "meinarztdirekt.de/

invoice/view/id-1". Was ist, wenn ich diese
Daten drucken möchte – nicht anzeigen, nicht

view, sondern print? Oh! Was ist denn das?
<i>Applaus</i> Nicht so schön, das will man gar nicht.

Eigenbau – schreiben wir das ab, lassen die
Profis ran. Also Arzt ist schon gut, wenn

er dabei ist, aber da müssen Profis,
müssen Profis ran. TeleClinic.

TeleClinic im Vorstand, drei Leute: Ein
Arzt, ein Informatiker. Viel Geld

dahinter. Ganz Baden-Württemberg dafür bei
docdirekt. TeleClinic nutzen. Da wird eine

Videosprechstunde hergestellt mit Ärzten
in Baden-Württemberg. Wenn einer von euch

gesetzlich versichert in Baden-Württemberg
ist, einfach mal docdirekt, sich einloggen,

– okay, nicht mit echten Daten einloggen – und
kann mit dem Doktor sprechen, mit einem

Arzt, mit einer Ärztin und sich diagnostizieren
lassen. Dokumente austauschen. Oder auch

eine von den Versicherten hier, Arag Debeka,
die bietet das auch an.TeleClinic bietet

maximale Datensicherheit und verhindert
Missbrauch auf jeder Ebene. Ein

vierstufiges Sicherheitssystem bietet die
höchste Datensicherheit Deutschlands.

Meine Damen und Herren die höchste
Datensicherheit Deutschlands. Applaus.

<i>Applaus</i> Für TeleClinic. So. Wenn ich jetzt
bei TeleClinic mein Passwort ändern möchte,

dann sieht es so aus: Dann habe ich in rot
meine User-ID und in gelb mein Passwort,

mein neues und dann sende ich da diesen
HTTP-Request aus meinem Browser ab. Da

habe ich mich jetzt gefragt: Was passiert
denn, wenn ich diese rote User-ID ändere.

Wenn ich da mal... <i>Gelächter</i><i>Applaus</i> Ah! Jup. 
Das ist nicht lustig, das ist die höchste

Datensicherheit Deutschlands. Na typisch:
kleine mittelständische Unternehmen – lasst

mal die Profis ran. Die, die es wissen. Die 
ganz Großen, die wirklich die Mittel dafür

haben. Die, die es wirklich besser machen
können. Wir können lachen über die kleinen,

aber, wir müssen auch die großen anschauen
– der Fairness halber. TK-Safe sei ein

Beispiel. Die haben es richtig gemacht:
Ende-zu-Ende verschlüsselt. Ich habs mir

nicht weiter angeschaut, aber: Hier sehen
wir den Schlüssel. Der wird erzeugt in der

App. Das ist der Schlüssel für den User.
Wenn dieser Schlüssel verloren geht, dann

geht der Zugang zur gesamten Akte
verloren, wenn alles richtig gemacht

wurde. Das heißt: Wenn ich mein Handy
verliere, dann habe ich meine gesamten

Gesundheitsdaten verloren. Das will keiner,
deswegen, Vivy und alle anderen, die Ende-

zu-Ende Verschlüsselung anbieten, fordern
einen auf, diesen Schlüssel zu exportieren.

Allerdings sind wir mit Schlüsseln ja noch
gar nicht so vertraut. Was ist denn ein

Schlüssel? Passwörter, das hat ziemlich
lange gedauert, bis wir wussten, wie wir

Passwörtern umgehen sollen. Und die
meisten kriegen es immer noch nicht hin.

Und diesen Schlüssel müssen wir irgendwo
sichern, exportieren. Wie geht das? Wird

als QR-Code gespeichert, die Schlüssel.
Einige sehen es schon, der wird nämlich in

der Galerie gespeichert. Und zwar, das ist
jetzt ein Android-Bildschirm. Wir sehen

der QR-Code, der diesen Schlüssel
darstellt, den ich auch wieder einscannen

kann, der wird in der öffentlichen
Bildergalerie auf meinem Handy

gespeichert. Der geht dann bei Google
Fotos hoch und überall und alle Apps haben

Zugriff drauf. Das ist ein bisschen, wenn
man jetzt hier Schlüssel durch

Passwort ersetzt und beide haben ja die
gleiche Funktion. Also wenn ich jetzt

Schlüssel durch Passwort ersetze dann
heißt da: Bitte speichern Sie ein Passwort

im Klartext in ihrer Bildergalerie. Will
man nicht. Da braucht man einen Passwort

Manager, aber für Schlüssel, aber das
gibt's ja noch nicht. Da sehen wir auch

wie schwer es ist, sowas richtig zu
implementieren. Gut, ist halt TK-Safe, ist

noch in der Betaphase. Die sind noch nicht
live damit in der Produktivphase, also im

Betatest. Ihr könnt euch wieder anmelden
wenn ihr möchtet, aber

Flüchtigkeitsfehler, passiert. Lasst mal
die Erfahrung sprechen, die die schon

lange dabei sind, die wirklich seit
Jahrzehnten auf dem Markt sind. Das ist

CompuGroup. CompuGroup CGM Life, 5000
Mitarbeiter, knapp 600 Millionen

Jahresumsatz, in 55 Ländern, die müssten's
wissen. Die haben eine Plattform, "CGM Life"

nennt die sich. Und auf dieser Plattform,
das ist eine Secret Medical Cloud. Da

laufen alle möglichen Anwendungen, viele
Anwendungen, die Gesundheitsdaten

austauschen wollen verknüpfen sich einfach
mit diesem CGM Life und speichern da ihre

Daten und tauschen die aus. So, einige
dieser Anwendungen sind durch Zwei-Faktor-

Authentifizierung geschützt, zum Beispiel
bei der Axa. Wenn ich mich bei der Axa

"Meine Gesundheit" einloggen möchte. Wer
ist hier privatversichert bei der Axa? Nicht

die Hand heben! Aber, wir sollten es
wissen. Da brauche ich einen Authentification-

Code, ansonsten komme ich da nicht rein.
Und das ist diesmal richtig gemacht, nicht

wie bei Vivy. Da kann ich nichts
bruteforcen, das ist schön sicher. Problem

ist es nur, ich habe ja gesagt, das ist
eine Plattform und ich kann entweder über

Axa da reingehen, da geht es nicht. Oder
ich gehe direkt über CGM Life in diese

Plattform: Wow, da geht's. Da brauche ich
keinen zweiten Faktor. Ist natürlich

bisschen doof, wenn ich verschiedene
Zugänge habe, verschiedene Türen zum Haus,

die eine ist mit Kamera ausgestattet, die
andere lässt sich mit einem Schlüssel oder

mit eine Hammer öffen – bringt nichts.
Dasselbe wie bei Vivy ist hier auch

passiert. Ich weiß nicht, wer da von wem
abgeschaut hat. Wahrscheinlich eher Vivy

von denen, weil die sind älter. Ich kann
Akten austauschen: sechsstellige PIN. Das

sagt einigen vielleicht jetzt schon was.
Ich kriege eine sechsstellige PIN. Unter

dieser PIN, die gebe ich meinem Arzt, dann
kann der Arzt unter aktenblickpunkt.de

diese PIN eingeben und da auf meine
komplette Gesundheitsakte zugreifen. Ja

gut, sechsstellige PIN, ist ziemlich
leicht gebruteforced und das geht hier auch.

Und da kann ich wieder auf entweder auf
die Gesundheitsdaten komplett zugreifen

oder zumindest ein paar Meta-Informationen
abgreifen. Erstaunliche Parallele. Was wir

sonst noch... was ist jetzt allerdings das
große Problem ist dieser Plattform? Das

ist, ja, diese Plattform macht alles
richtig und versucht alles richtig zu

machen. Man hat eine Elliptic Curve
Encryption hier implementiert mit einer

sicheren elliptischen Kurve. Das wird
Client-seitig alles verschlüsselt, es

werden keine Passwörter über den Äther
geschickt. Ich sende also nur meine

E-Mail-Adresse an CGM, bekomme dann einen
Public Key und einen Secret zurück. Da

habe ich mir gedacht: Einen Secret bekomme
ich zurück, wenn ich eine E-Mail-Adresse

hinschicke?. Warum heißt das Secret? Es
ist ein Key Derivation Secret. Was nehmen

wir jetzt? Ich habe hier eine Key
Derivation Function,

Schlüsselableitungsfunktion. Der gebe ich
mein Passwort plus dieses Secret, was ich

da bekomme und dann kriege ich Client-
seitig, offline den Private Key, also das

Passwort, der Zugang zu dieser
Gesundheitsakte. Wenn ich das richtige

Passwort gewählt habe, dann passt diese
Private Key zum Public Key von

meyer@ccc.de. Dann kann ich mich
einloggen. Wenn er nicht stimmt, das

Passwort, muss ich halt nochmal weiter
probieren. Wenn ich nicht der Meyer bin,

probiere ich es halt so lange, bis es
klappt. Und ich habe ja den Public Key und

das Secret offline verfügbar. Da muss ich
nicht mehr mit CGM, mit einem Server

interagieren. Ich lade mir das runter und
starte dann einen Wörterbuch-Angriff oder

etwas Ähnliches. Das ganze Verfahren sogar
patentiert worden, inklusive des Fehlers.

<i>Gelächter</i>
Also nicht nachbauen! Kostet. Ja, ich hab

mal geschaut, ob das überhaupt relevant
ist. Dropbox: der Vinzent Haupert, der

sich mit Online-Banking beschäftigt hat,
letztes, vorletztes Jahr, hat auch Dropbox

genommen. Da habe ich gedacht, das passt
ja thematisch: Onlinebanking, zu diesem

Talk. Habe ich auch Dropbox genommen, habe
die E-Mail-Adressen aller Deutschen

runtergeladen und mal geschaut, wer davon
bei CGM angemeldet ist und dann mal ein

großes Wörterbuch genommen und mal
geschaut, was da so für Passwörter

rausfallen. Also für eine Gesundheitsakte
waren die jetzt nicht sehr kreativ. Also,

muss ich sagen. Da hätte ich von den
Deutschen mehr erwartet, die ja im

Datenschutz so gebildet sein sollen. Aber
gut. Drei Prozent aller Dropbox-User aus

Deutschland waren auch bei CGM 
angemeldet und auf meinem kleinen

Laptop von vor vier Jahren habe ich 
drei Prozent davon errechnet.

<i>Applaus</i>
Natürlich nur eine Stichprobe. Also wir

haben jetzt gezeigt, so ein kleiner
Rundumschlag: Ist wohl nichts. Das

ArzneimittelkontoNRW basiert übrigens
auch auf CGM Life – wer das nutzen sollte...

Vivy, gesundheitsakte.de habe ich hier
jetzt ausgeklammert. Aber die haben auch

ein paar Probleme. docdirect, CGM Life,
CLICK DOC, TeleClinic, CGM Life,

eSERVICES, TK-SAFE, mediteo, MEINE
GESUNDHEIT, meinarztdirekt und so weiter

und so fort und so fort. Alle haben die
irgendwie dann doch nicht. Wir sind noch

nicht mal auf dem Niveau vom Online-
Banking. Schade. So what. Wir wissen alle,

es gibt keine perfekte Sicherheit. Das
werden wir nie erreichen. Wir müssen mit

Wahrscheinlichkeiten rechnen. So, dann
schauen wir uns mal die

Wahrscheinlichkeiten an. So große
Unternehmen wie CGM, die müssen Risiko

veröffentlichen. Also in ihrem
Finanzreport, hab ich mal geschaut,

gibt's Datenverarbeitungsrisiken. Ist der
Finanzreport vom letzten Jahr. Da steht:

"Die Kunden von uns nutzen unsere Produkte,
um sehr vertrauliche Informationen zur

Gesundheit zu speichern, zu verarbeiten
und zu übertragen." Sollten eben doch

Sicherheitsprobleme auftauchen, dann
könnte das zu Schadenersatzansprüchen,

Bußgeldern, Geldstrafen und Ähnlichem
führen, die dann GCM abführen muss. Und

deswegen ist es ein Risiko für CGM, weil
natürlich ein finanzieller Schaden

entsteht. Und jetzt schauen wir mal.
Gegenüber dem Kunden sagt CGM: Paramount

priority. Da gibts nichts, Security ist
alles. Also absolut sicher. Hier heißt

es: Ja wir erwarten im Jahr vier Millionen
Schaden. Im Durchschnitt.

Jahreshöchstschaden, da sind wir schon bei
18 Millionen. Mit fünf Prozent Wahrscheinlichkeit

tritt ein höherer, unerwarteter Schaden in
den Datenverarbeitungsrisiken ein. Das

kann man sich jetzt ausmalen, das kann
natürlich auch sein, dass die ganze

Datenverarbeitung den Bach hinuntergeht. Aber
es kann natürlich auch sein, dass die

ganzen Daten offenliegen. Also fünfprozentige
Wahrscheinlichkeit. Nehmen wir einfach mal

diese fünf Prozent und schauen wir, was
passiert. Also im ersten Jahr: 95 Prozent der

Wahrscheinlichkeit sind wir sicher. Im
zweiten Jahr 90 Prozent. Im dritten Jahr

sind wir noch bei 86 Prozent. Das Problem
bei Gesundheitsdaten ist: Die sind sehr

langlebig. Nach fünfizig Jahren sind meine
Gesundheitsdaten immer noch sehr wertvoll,

denn ich kann meine Gesundheit ja nicht
ändern. Also wenn ich damals eine

Erbkrankheit hab, hab ich in 50 Jahren
immer noch. Es sei denn, die Zukunft

bringt eine Erlösung in dem Bereich. Aber
wir gehen mal davon aus. So, 50 Jahre:

habe ich acht Prozent Wahrscheinlichkeit. Naja...
Das will man nicht. Aber vielleicht ist ja

diese fünf Prozent übertrieben. Oder nicht
nur auf, dass diese Daten veröffentlicht

werden, bezogen. Vielleicht habe ich einen
Fehler gemacht oder was anderes

hineininterpretiert. Schauen wir in die
USA. In den letzten fünf Jahren in den USA

wurden im Durchschnitt dreißig Millionen
Patientenakten gestohlen, gehackt,

verkauft. Und das sind nur die öffentlich
gemeldeten, also die meldepflichtig waren.

30 Millionen, das sind knapp zehn Prozent der US
Population. Naja, zehn Prozent. Ich habe

eben mit fünf Prozent geschätzt. Kommt eigentlich
ganz gut hin. Norwegen 2018. Nicht dass

wir sagen, es sind nur die Amerikaner. In
Europa haben wir ja höheren Datenschutz.

In Norwegen, dieses Jahr: Jeder dritte
Norweger ist jetzt einem unbekannten

Angreifer gegenüber sehr bekannt, wie
seine Gesundheit aussieht. Drei Millionen

Patientenakten wurden gestohlen. Dänemark
2016 gab es einen lustigen Vorfall. Ah,

nicht lustig. Tschuldigung. Das Wort muss
ich wirklich hier zurücknehmen. Da wurden

zwei CDs mit allen, fast allen
Gesundheitsdaten der Bevölkerung aus

Versehen an die Visastelle, an die
chinesische Visastelle geschickt.

<i>Verhaltenes Lachen</i>
Das passiert, ja. Passiert. Ich habe auch

schon mal ne Adresse falsch geschrieben.
<i>Lachen und Applaus</i>

Ich weiß nicht, ob sie die zurückgeschickt
haben.

<i>Lachen</i>
Müssen wir mal nachfragen. Ja gut. Aber

wir sind hier Deutschland, da kann man
solche Sachen ja prüfen lassen,

zertifizieren lassen, gemäß Standards
arbeiten, Normen anlegen. Wir haben ja

Mittel dagegen. Helfen Zertifikate? Diese
Zertifikate stammen von den Apps, die ich

eben gezeigt habe. Wir sind hier bei allen
möglichen, unter anderem Security, Trusted

Privacy, E-Privacy. Der Landesbeauftragte
für Datenschutz Rheinland-Pfalz hat unter

anderem CGM LIFE geprüft, meine-
gesundheit, und für gut befunden und so

fort und so weiter. Zertifikate können das
Problem nicht beheben. Sie sind vielleicht

ein Indikator, ein Hinweis für etwas, aber
nicht dafür, dass diese Apps frei sind von

Sicherheitsmängeln. Wir schauen es bei
Vivy noch mal ganz kurz an. Vivy hatte ein

Datenschutzgutachten machen lassen und ein
Gütesiegel bekommen, eine

Sicherheitsprüfung und ein TÜV-Zertifikat
bekommen, zwei Pentests von

unterschiedlichen Unternehmen durchführen
lassen. Ich kann nicht sagen, welcher Scope

oder – das wird ja nicht veröffentlicht.
Nach diesem Sicherheitsvorfall noch einmal

zwei komplette Pentests und danach dann
dieses Beispiel eingangs, das ich gezeigt

habe. Nach diesem ganzen Aufwand war die
App nicht sicher. Und jetzt? Was machen

wir jetzt? Ich zähle noch mal auf: Es gibt
grundlegende Probleme bei allen

elektronischen Gesundheits-Apps, bei
denen, die einmal unsere Gesundheitsdaten

verwalten sollen. Sicherheit ist ein
Wettbewerbsnachteil, das haben wir zum

Beispiel bei Vivy gesehen. Vivy hat
Pentests, Zertifikate, Bugbounties erst

nachher durchführen lassen. Zum großen
Teil auch vorher schon, aber eben nicht in

sichere Architektur gesetzt. Das zeigt
sich schon: Wenn von der Allianz der CISO

kommen muss, weil man bei Vivy eine
Sicherheitslücke meldet, dass da bei Vivy

kein professioneller IT-Security-Analyst
da war, der sich damit auskennt. Ist halt

ein Start-Up. Von all diesen Apps, die ich
eben aufgezählt habe, mit diesen Apps

laufen coordinated disclosure-Verfahren.
Die sind schon seit zweieinhalb Monaten

bekannt. Wenn ich jetzt diesen Report
nicht mit Kostenstelle veröffentlicht

hätte, hätte keiner von euch davon gehört.
Es gab hier keine Meldungen an

Aufsichtsbehörden oder irgendwen. Das
heißt: Wenn kümmerts. Ein Angreifer würde

das nicht öffentlich machen. Und dann
haben wir jetzt neu: 2019 soll die

Patientenakte kommen. Die Patientenakte
soll wirklich sicher werden. Die ist vom

BSI mit der gematik zusammen ausgearbeitet
worden. Die Spezifikation ist seit ein

paar Tagen online. gematik.de, einfach mal
anschauen. Die Spezifikationen für den

Tablet und mobilen Zugang kommt noch, in
drei Monaten, spätestens. Unbedingt mal

reinschauen, was da drin steht für die,
die es interessiert. Die soll dann auch

wirklich sicher sein. Wer weiß. Aber es
ist auch gar nicht so relevant, weil, wenn

ich ein Anbieter bin, warum soll ich eine
Patientenakte anbieten, wenn ich genauso

gut eine Gesundheitsakte anbieten kann und
mit der Gesundheitsakte auch an die

Telematik in der Infrastruktur gekoppelt
werde, aber eben nicht diese ganzen

Standards einhalten muss. Vivy ist eine
Gesundheitsakte und keine Patientenakte.

Das ist ein sehr wichtiges Wortspiel. Das
wird aber wahrscheinlich keiner in der

Öffentlichkeit wahrnehmen, dass es da einen
großen Unterschied gibt. Das Hauptproblem

aus meiner Sicht ist: Gesundheitsdaten
sind keine Bankdaten. Ich kann hier keine

finanzielle Risikoanalyse ausstellen und
sagen: "Wir haben ein Jahresbudget von 18

Millionen und damit hat sich das." Das hat
gesellschaftliche Auswirkungen, wenn diese

Daten öffentlich sind. Wir können nicht 18
Millionen zahlen und dann haben wir eine

neue Kreditkarte und dann ist alles
vergessen. Das geht nicht. Die Daten sind

dann bei irgendwem, irgendwo. Als HIV-
Infizierte darf ich dann nicht mehr in

andere Länder reisen, weil die dann ganz
genau wissen, was ich da für ansteckende

Krankheiten habe. Dann kann ich mir das
streichen. Oder, falls ein deutscher

Politiker auf die Idee kommt, dass man
Infizierte mit bestimmten Krankheiten...

Die Szenarien kann man sich ausdenken. Die
sind jetzt nicht erfunden. Seehofer hatte

mal drüber nachgedacht, HIV-Infizierte zu
konzentrieren, als das Thema neu war. Mit

so einer Gesundheitsakte oder
Patientenakte ist das kinderleicht. Es

entsteht hier nicht ein finanzieller
Schaden, sondern ein gesellschaftlicher

Schaden und ein langfristiger Schaden über
Generationen hinweg. 23andMe und so

weiter, die ganzen DNA-Analyse-Services,
gab es ja schon Vorfälle, aber was

Richtiges ist wohl noch nicht passiert.
Wir wissen es nicht. Aber wenn ich mein

Genom dann sequenziert in der App
speichere, dann haben auch meine Kinder

noch was davon. Es gibt keine langfristig
sicheren Datenspeicher. Der Professor

Buchmann von der TU Darmstadt hat jetzt
erst vor zwei Wochen – ein anerkannter

Kryptologe – darüber veröffentlicht, dass
wir in 20 Jahren keine sicheren

Gesundheits-Apps haben. Nein, keinen
Speicher haben, der für 20 Jahre sichere

Speicherung garantieren kann. In 20 Jahren
sind wahrscheinlich alle jetzt auf

höchstem Stande verschlüsselten Daten
öffentlich, für jeden, der sie jetzt

einsammelt. Und das ist ein ganz großes
Problem, das wird nirgendwo besprochen.

Also wenn ich jetzt fleißig Daten sammele,
in zwanzig Jahren haben die noch denselben Wert

oder einen viel höheren Wert. Das ist
anders als Bankdaten. Wenn ich jetzt

anfange, Bankdaten zu sammeln,
interessiert die in zwanzig Jahren keiner mehr.

Gesundheitsdaten schon. Und das denke
nicht ich, das denkt Johannes Buchmann,

Professor an der TU Darmstadt, und wenn er
das so sieht, dann vertrau ich dem. Wie

sieht die Zukunft aus? Die Welt hat es mal
schön dargestellt: "Angst vor

Datenmissbrauch hemmt Fortschritt im
Gesundheitswesen.": "Der Patient muss

wissen, dass Datenmissbrauch sowohl
strafbar als auch enorm schwer

durchzuführen ist." Enorm schwer. "Wer
sich der elektronischen Gesundheitsakte

bei erfolgreicher Implementierung trotz
jeglicher Sicherheitsvorkehrungen

verweigert, sollte zwar zunächst keinen
spürbaren Qualitätsverlust der Behandlung

per se erleiden, kann aber auch nicht in
den Genuss eines schnellen und bequemen

Behandlungsablaufs kommen." Und dann
resümiert man bei der Welt: "Längerfristig

muss man damit rechnen, dass mangelndes
Vertrauen mit Einbußen in der

Behandlungsqualität vergolten wird." Da
muss ich zustimmen, die Patientenakte wird

kommen. Das führt zu vielen Vorteilen. Es
hat wirklich Vorteile. Die liegen auf der

Hand. Ich kann Doppeluntersuchungen
vermeiden. Ich kann Fehlmedikation

vermeiden, weil ich die Wechselwirkungen
automatisch erkenne. Ich kann Patienten

besser steuern. Ich kann sie anschreiben,
wenn irgendwo was aufgetaucht ist: Neue

Behandlungsmethode, Wechselwirkungen zu
irgendeinem Medikament, irgendein Rückruf.

Es geht alles über die Patientenakte, hat
sehr viele Vorteile. Und wenn sich jemand

hier entscheidet, seinen Kindern keine
solche Akte anzulegen, Patientenakte,

trägt er dann das Risiko dafür, dass die
Kinder eine höhere Sterblichkeit haben

oder schlechtere Behandlungsqualität oder
länger warten müssen? Wenn neunzig Prozent der

Bevölkerung diese elektronische
Patientenakte nutzen und ihr seid die zehn

Prozent oder zwei Prozent oder ein
Prozent, leidet ihr darunter,

beziehungsweise auch wir. Und das ist die
Realität. Damit schließe ich den Talk. Hat

jetzt mehr Fragen aufgeworfen am Ende.
Genau das ist aber auch die Intention. Ich

will das zeigen, wie es aussieht,was kommt
und will jetzt eine Debatte anstoßen. Denn

jetzt können wir noch beeinflussen. Jetzt
haben wir noch die Möglichkeit, auf das

Update für das E-Health-Gesetz, das heißt
Termin- irgendwas Vorsorge-Gesetz,

Einfluss zu nehmen. Noch können wir
Abgeordnete anschreiben. Noch können wir

Dinge fordern oder uns Gedanken machen.
Und wir können uns überlegen, wie eine

Gesellschaft aussieht, in der alle unsere
Gesundheitsdaten offenliegen. Wir können

uns überlegen, wie wir diese Folgen davon
abschätzen und wie wir sie vielleicht auch

verhindern können. Und
Technikfolgenabschätzungen, damit

beschäftigen wir uns ja hier. Deswegen
ganz herzlichen Dank, dass ihr alle

zugehört habt. Und wenn jetzt es Fragen da
sind, Anregungen, Diskussionen, freue ich

mich sehr.
<i>Applaus</i>

Herald: Sind denn Fragen aus dem Internet
da? Dann mach mal, stell eine.

Signal Angel: Ich fang mal mit einer vom
Anfang an. Da geht es mehr oder weniger um

Nutzung von Vivy, wie man da hinkommt und
inwiefern das mit Identifikationssystemen

verbunden ist. Also wahrscheinlich Post-
Ident oder so, oder ob man eine

Wegwerfadresse nutzen kann.
Martin: Bei Vivy zum Beispiel muss man ein

Video von sich aufnehmen mit seinem
Personalausweis. Ich habe einen

Zwillingsbruder. Ich wollte das mal
testen. Man muss nur seinen Namen

austauschen und wird dann als der auf dem
Personalausweis identifizierte Bürger in

Vivy hinterlegt und kann dann im Namen
dieses Versicherten Daten anfragen. So

sieht es bei Vivy aus. Andere Verfahren
nutzen gerade die privaten

Krankenversicherten, andere Methoden der
Verifikation, aber nicht unbedingt sicher.

Herald: Du, mir fällt da gerade noch eine
Frage ein. Für diese supertoll

geschriebene Software, wie viel Geld haben
die nochmal bekommen?

Martin: Vivy?
Herald: Ja.

Martin: Das ist von Bitmarck, von dem IT-
Dienstleister von neunzig Krankenkassen

ausgeschrieben worden. Wieviel Geld die
dafür bekommen haben, kann man bestimmt

erfragen. Das wäre mal eine interessante
Frage. Fragdenstaat.de.

Herald: Sehr schön. Mikrofon acht bitte.
Mikrofon 8: Moinmoin. Ich hatte überlegt,

noch einen Kommentar zu geben, aber ich
mache eine Frage draus.

Herald: Danke.
Mikrofon 8: Letztens, im zweitvorherigen

Talk, ging es um diese Venenbilder. Und da
meinte der... wie war sein Name? Ich habe

es vergessen. Der meinte, wir müssten mal
in der Datenschleuder dann die Venenbilder

von irgendeinem Minister haben. Und ich
denke, eigentlich bräuchten wir die

Gesundheitsakte von einem Minister.
Martin: Das hätte eine Schockwirkung, ja.

Mikrofon 8: Und das ist meine Frage.
Martin: Aber...

Mikrofon 8: Würde das irgendwas bringen?
Martin: Wahrscheinlich nicht. Es wäre

zumindest eine Aktion, die nicht den
Respekt der Gesellschaft dir bringt, der

es dir ermöglicht, eine Änderung zu
erkämpfen, aus meiner Sicht. Aber da haben

viele andere Meinungen. Das wäre
vielleicht etwas, was man persönlich

diskutieren kann.
Herald: Mikrofon vier bitte.

Mikro 4: In den letzten Tagen ging eine
Meldung durch die verschiedenen Zeitungen,

dass Frau Dorothea Bär, Staatsministerin,
gesagt habe, das Problem, dass die

Digitalisierung des Gesundheitswesens bei
uns so hintendran ist, da gab's einen

OECD-Report, wo wir auf dem vorletzten
Platz gelandet sind, das läge an dem

Datenschutz. Und wir müssten dort
abrüsten. Haben wir nicht schon längst

abgerüstet?
Martin: Ich meine, wir können jetzt nicht

Deutschland sagen, ohne die gesamte
Europäische Union zu vergleichen. Wir

haben ja überall dieselbe
Datenschutzgrundsatzverordnung. Deshalb

verstehe ich das Argument erstmal nicht,
dass wir in Deutschland einen besonders

guten Datenschutz haben. Das ist nämlich
dasselbe wie in allen anderen Ländern der

Europäischen Union.
Und ich habe ja paar Beispiele gezeigt:

Norwegen usw. Da hilft es ja auch nichts.
Also abrüsten ist, glaube ich, nicht die

Lösung. Nein. Das Gegenteil ist der Fall.
Herald: Das Internet, bitte nochmal!

Internet: Inwiefern wurden denn bei den —
es waren ja jetzt bisher nur gesetzliche

Krankenkassen — wurden denn betriebliche
Krankenkassen überprüft?

Martin: Betriebliche Krankenkassen? Ich
glaube, da waren einige dabei. Bei Vivy

sind, glaube ich - oder bei TeleClinic z. B.,
die stellen Betriebsärzte und so

weiter. Also alle Anbieter, also Vivy,
TeleClinic, CGM, vitabook, die sind sowohl

privaten als auch gesetzlich
Krankenversicherungen offen. Und die

arbeiten auch sehr viel mit privaten
Krankenversicherungen zusammen. Z. B. AXA.

Wie weit jetzt betriebliche noch mit
involviert sind, müsste man recherchieren.

Herald: Mikrofon drei, bitte!
Mikro 3: Mich würde interessieren, ob es

da nicht eine Möglichkeit gibt, dass man
da tatsächlich mit einem Lesegerät und der

Gesundheitskarte etwas macht. Ich verstehe
nicht, dass man da einen externen Chip

hat, auf dem man möglicherweise die
Private Keys eben nur schreibbar etc.

speichern kann und auf der Basis nicht
irgendwie ein sicheres

Authentifizierungsmerkmal oder -methode
dann eben ausbaut.

Martin: Eine sehr gute Frage. Also wir
haben ja ein Trust Anchor: Das ist ja die

elektronische Gesundheitskarte. Da haben
wir einen privaten Schlüssel drauf. Warum

nehmen wir den nicht? Ganz einfach: Keiner
hat ein USB-Lesegerät, was er einfach an

sein Smartphone stecken kann. Und die
Vision von unserem Gesundheitsminister ist

ja, dass das über ein Smartphone, wie
Online-Banking, genutzt werden soll. Denn

bisher nutzt es ja keiner. Es nutzt ja
keiner, und das bringt dann den

Krankenkassen auch nichts.
Herald: Du kannst einmal tief durchatmen -

wir haben richtig Zeit noch, 12 Min.
Martin: Ah, wir haben noch 12 Min. Da kann

ich nochmal ganz kurz was dazu sagen: Wir
haben nämlich in dem aktuellen Standard,

den die gematik verabschiedet hat, jetzt vor paar
Tagen, vor einer Woche glaub ich genau, ist

die elektronische Patientenakte so
spezifiziert, dass der Zugang nur über die

elektronische Gesundheitsakte möglich ist.
Das Problem ist, das wird niemand nutzen.

Außer ein paar Verschrobene, die halt
ihren Cardreader an den PC anschließen

und dann einen Androidsimulator laufen
lassen, oder das vielleicht gleich an das

Androidgerät stecken. Also – das wird nicht
genutzt. Und deswegen wurde jetzt auch

schon gleich von der gematik gesagt:
Spätestens bis zum März, Ende März 2019,

kommt das Update raus. Und zwar:
Patientenakte 1.1. Und da sind wir dann

soweit. Und da wird dann spezifiziert, wie
wir ohne die Gesundheitskarte darauf

zugreifen dürfen. Und es bringt auch
nichts zu sagen: "Die Patientenakte können

wir nur mit Gesundheitskarte benutzen. Nur
sicher, nur mit Gesundheitskarte." Denn da

kommen Anbieter wie Vivy und sagen: "Bei
uns geht das ohne! Kommt doch zu uns!

Viel einfacher!" Und klar, dann nutzen die
Mehrheit der Versicherten natürlich die

einfache Variante. Das heißt, hier haben
wir wirklich diesen Wettbewerbsnachteil,

über den ich geredet habe. Die sicher
spezifizierte Akte wird niemand nutzen.

Herald: Mikrofon sechs, bitte!
Mikro 6: Ja, also eine Anmerkung: Es wird

wahrscheinlich sehr interessant, sobald es
Quantencomputer gibt, die genug

physikalische Qubits haben, um reale
Qubits fehlerfrei genug zu simulieren,

dass man tatsächlich auch Anwendungen wie
beispielsweise Brute-Force an

verschiedensten Verschlüsselungsverfahren
ausführen kann, wird es sehr interessant,

genau solche Daten eben geheim zu halten.
Gerade wenn man so Reaktionen sieht, wie

langsam das dann abläuft. Es muss ja,
sobald irgendwie bekannt wird, dass es so

einen Quantencomputer gibt, sofort auf
andere Algorithmen umgestellt werden, die

dann... ja, ich beende das einfach jetzt.
Martin: Ja, also man müsste klar auf

Quantenkryptographie zurückgreifen,
Algorithmen die dort noch als sicher

gelten. Im Zeitalter der Quantenkrypto –
da gab es doch diesen Einführungstalk –

wer war alles da? Vielleicht können da
Leute jetzt die Frage beantworten. Also –

das Problem ist, dass wir in zwanzig Jahren
nicht sagen können, ob dieser oder jener

Algorithmus dann noch Sicherheit bietet.
Auch mit Quantenkryptographie. Es gibt

Vorschläge, wie wir auch über zwanzig Jahre
hinaus Gesundheitsdaten sicher speichern

können. Und da setzen wir eben nicht auf
Kryptographie, sondern auf verteilte

Speicherung. Das heißt wir müssen die
Daten ein bisschen hier, ein bisschen da,

ein bisschen dort speichern, und
versuchen, diese Zuordnung irgendwie

geheim zu halten. Wie das genau geht, das
weiß ich nicht. Habe ich nur kurz gelesen.

Das ist der Prof. Buchmann von dem ich
vorhin geredet habe. Der hat sich da wohl

– der ist da wohl sehr kundig. Also es
gibt da Ansätze, wie wir auch ohne

kryptografisch sichere Algorithmen in zwanzig
Jahren Daten noch sicher halten können.

Problem ist nur: Die gematik spezifiziert
eine zentrale Datenhaltung. Also, es ist

jetzt spezifiziert und das ändert sich
auch so schnell nicht.

Herald: Mikrofon fünf, bitte!
Mikro 5: Du hast in deinem Talk die

Datenschutz-Grundverordnung und das
finanzielle Risiko der Betreiber

angesprochen. Wie viele Betroffene oder
potentiell Betroffene müssten sich

beschweren oder sich vertreten lassen beim
Beschweren durch so etwas wie

"Datenschmutz", damit es denen wirklich
weh tut, damit die wirklich etwas daran

ändern.
Martin: Das ist nicht mein Gebiet, ist

aber eine sehr gute Frage, und die würde
ich gerne weitergeben. Vielleicht gibt es

jemanden im Publikum, der sich damit
auskennt. Also, das Problem ist ja auch:

Wie bezifferst du den Schaden der dadurch
entsteht? Also bislang hat der Betreiber

ja keine persönliche Haftung dafür, dass
er deine Gesundheitsdaten veröffentlicht

und dass du dann in zehn Jahren keinen Job
bekommst. Wie willst du das nachweisen?

Ich glaube das wird ganz schwer und das
ist etwas was wir vielleicht jetzt anregen

sollten, darüber mal nachzudenken: Also
wie beziffere ich den Schaden der

entsteht, wenn meine Gesundheitsdaten
komplett offenliegen. Meine Gesundheit für

die nächsten 80, 70 Jahre, je nachdem wie
lange ich leben möchte. Also auch die

meiner Kinder.
Herald: Mikrofon zwei!

Mikro 2: Bei den Dingen, die ihr da
entdeckt habt, an diesen Applikationen

dort, da wird es keine zwanzig Jahre dauern,
bis die Daten alle öffentlich sind. Aber diese

Aussage, es gibt keinen Datenspeicher der
auf die nächsten zwanzig Jahre sicher ist,

ist jetzt auf einen zentralen Datenspeicher
bezogen. Mal darüber nachgedacht, wie es

eigentlich aussieht mit den ganzen
Patientenmanagementsystemen, die wir jetzt

so verstreut haben, und dann muss es
eigentlich eine sehr ähnliche Aussage

geben, und ich bin eigentlich erstaunt
darüber dass man wirklich noch mit zwanzig

Jahren rechnet. Gibt's da 
irgendwie Daten zu?

Martin: Also diese zwanzig Jahre, die habe ich
aus einem Zeitungsbericht oder Interview

von dem Prof. Buchmann genommen. Da würde
ich sagen: Besser mal in die Literatur

schauen, was da wirklich dahinter steht.
Aber, was die Datenspeicherung angeht:

Momentan liegen die Daten alle verstreut
in Arztinformationssystemen,

Klinikinformationssystem, und natürlich
wird hier und da schon mal was geleakt

oder gestohlen. Problem ist halt nur, wenn
die Daten auf einmal auch ausgetauscht

werden können, und wenn es eine zentrale
Datenhaltung gibt, dann wird das Ganze auf

einmal angreifbarer. Und da muss ich nicht
überall hingehen und ein bisschen was

klauen. Und dann wird das auch viel eher
genutzt, diese Datenspeicherung. Und dann

hab ich viel eher die Möglichkeit, auch
zentral Daten abzuführen. War das so –

oder worauf zielte die Frage ab?
Mikro 2: Die Firma CGM, die da genannt

worden ist, hat mehrere
Konkurrenzunternehmen aufgekauft und

bietet den Ärzten an, dass dann die Daten
konvertiert werden, weil sie diese

Produkte nicht mehr fördern, aber eine
eigene Applikation haben, die natürlich

ganz wunderbar ist, die sie den Ärzten
dann gerne verkaufen. Und dann werden die

Daten konvertiert. Das heißt also, da gibt
es schon so an einer gewissen Stelle eine

gewisse zentrale Datenhaltung.
Martin: Ja, das Problem ist, ich glaube,

vielleicht wissen wir auch vieles noch
nicht. Vielleicht ist es auch noch nicht

so an die Öffentlichkeit gelangt, wo es
denn schon Leaks gab. Also, das was ich

aus den USA gezeigt habe, dass waren halt
meldepflichtige Leaks, da wo Daten

abhanden gekommen sind. In Deutschland
habe ich da zu Gesundheitsdaten noch nicht

viel gefunden.
Herald: Mikrofon vier, bitte!

Mikro 4: Die Gesundheitsdaten, die sollen
ja auch pseudonymisiert für

Forschungszwecke verwendet werden dürfen.
Könntest das vielleicht noch ausführen?

Martin: Ja, das habe ich jetzt nicht in
diesen Talk eingebaut, das wäre nochmal

ein komplett eigenes Thema:
Pseudonymisierte Speicherung. Kann man

kritisieren. Vivy speichert auch
pseudonym, schickt dann aber z. B. deinen

<i>lacht</i> 2-Faktor-Code mit. <i>Lacht</i> Oder:
Wenn du dich in Vivy einloggst, loggt sich

Vivy zeitgleich in dein pseudonymisiertes
Konto ein und schickt dann die Daten

pseudonymsiert da hoch. Das heißt, du
bist in dein Originalkonto eingeloggt und

gleichzeitig auch in ein Schattenkonto.
Nennt sich so, "Shadow Profile". Das heißt

du bist immer gleich zweimal angemeldet:
Mit deinem Gerät, mit deinem Token und so

weiter. Das heißt: Auf der Seite der Vivy-
Plattform ist es eigentlich technisch machbar,

dich wieder zuzuordnen. Da muss man wirklich
dem Anbieter vertrauen. Es gibt ja auch

schon Forderungen, dass man Datenspenden
einfordert. Das heißt, es gab politisch die

Forderung, dass die Datenspende erzwungen
werden muss, um forschenden

Pharmaunternehmen Zugriff zu gewähren.
<i>lacht</i> ...ja.

Herald: Mikrofon drei, bitte!
Mikro 3: Nümünümünümüne...Ich dachte

eigentlich immer, dass der Austausch von
verschlüsselten Daten oder generell von,

naja, verantwortungsvollen Daten gelöst
sei. Also ich meine, in den Gremien, in

denen ich sitze, schaffen es Leute auch
wirklich sichere Daten miteinander

auszutauschen. Ich meine, mein Seafile
kann das. Warum kriegen das die Ärzte

nicht hin? Gibt es eine Alternative, die
wir den Ärzten vorschlagen könnten, die

sie zumindest für die nächsten zehn Jahre
benutzen könnten. Ob dann eben mit Post-

Quantum-Kryptographie die Daten in Nevada,
die im DE-CIX ausgelesen werden, dann doch

entschlüsselt werden, ist ja nochmal eine
andere Debatte.

Martin: Das Problem ist: Spezifikation ist
nicht immer das, was implementiert wird.

Also für Vivy gibt es ein Whitepaper des
Fraunhofer-Instituts AISEC, wo das alles

schön spezifiziert ist. Aber was dann
implementiert wurde, ist nicht unbedingt

das, was da drin steht. Das heißt, 
da gibt es eine Kluft. Da wird

nicht verifiziert oder validiert, dass das 
auch so stimmt. Und dann, <i>räusper</i>

wenn ich diese Daten – Entschuldigung, 
die Frage nochmal ganz kurz?

Mikro 3: Gibt es eine Alternative, die wir
den Ärzten jetzt empfehlen können, um

gemeinsam Daten auszutauschen?
Martin: Schwierig. Also wirklich sehr

schwierig. Immer möglichst dezentral,
möglichst nicht über einen zentralen

Datenspeicher. Da kann ich jetzt nichts
empfehlen. Also bislang geht das halt:

ausdrucken und mitnehmen. Es ist jetzt
auch keine Alternative für die, die

chronisch krank sind.
Mikro 3: Faxen!

Martin: Ja, faxen. <i>lacht</i>
<i>Gelächter</i><i>Applaus</i>

Herald: Das Schlimme ist: Er hat
wahrscheinlich Recht, oder?

Martin: Das große Problem ist: Wir haben
halt keine - Wenn wir Ende-zu-Ende

verschlüsseln wollen, wie bei PGP, dann
brauche ich ja Keys, die muss ich ja mal

ausgetauscht haben, verifiziert haben. Und
das muss irgendwie automatisiert gehen

sonst läuft das im großen Stil nicht. Und
das fehlt halt. Wir haben halt auf Seiten

der Ärzte inzwischen die Telematik-
Infrastruktur bei vielen. Da gibt es dann

eine Identität, darüber können wir das
laufen lassen. Auf Seiten der Patienten

gibt es die Gesundheitskarte. Ja, das ist
genau das Problem: Patientenakte wollen

wir halt nicht mit der Gesundheitskarte
verknüpfen, weil es keiner nutzt.

Herald: So, und jetzt die letzten drei
Fragen die hier stehen, die möchte ich

alle drei noch abschießen. Ganz schnelle
Frage – ganz schnelle Antwort. Nummer vier!

Mikro 4: Was ist der Unterschied zwischen
Gesundheitsdaten und Patientendaten?

Martin: Die Gesundheitsakte und
Patientenakte, die zwei? Gesundheitsakte

ist optional zu verwenden für die Ärzte.
Patientenakte ist – wenn du eine hast,

müssen die Ärzte die Daten da
reinspeichern. Das ist quasi funktional

der einzige Unterschied. Und:
Patientenakte wird von der gematik

spezifiziert.
Herald: Die Nummer acht!

Mikro 8: Zu Vivy: Du hast gesagt, die
haben den Schlüssel, den Private Key, auf

dem Ärztefrontend irgendwie lesegeschützt.
Wie soll denn das gehen im Browser, wenn du

XSS kannst?
Martin: Es gibt diese Web-Crypto-API im

Browser. Und die Web-Crypto-API, da kannst
du sagen: "Exportable". Also kannst du

sagen: "Der Key kann ich exportiert
werden." Das heißt, das ist ein Objekt, das

Objekt kapselt den Zugriff und solange die
JavaScript-Engine richtig implementiert

ist, kannst du dann auch nicht auf diesen
internen privaten Variablen zugreifen.

Mikro 8: Also du gibst dann deine Daten
rein, der macht Crypto, und...

Martin: Ja, du hast ein Objekt mit der
Methode Encrypt() und Decrypt(), aber den

Schlüssel bekommst du nicht zu sehen.
Mikro 8: Alles klar!

Herald: Last but not least. Nummer fünf!
Mikro 5: Ich habe keine Frage, ich würde

noch kurz eine Idee anmerken, die halt
nicht auf einer technischen Ebene ist,

aber wie schon angesprochen wurde: Alle
Gesundheitsdaten sind sensibel und

besonders auch so Sachen wie
Schwangerschaftsabbruch und HIV oder

andere Diagnosen, so Schizophrenie,
Depression, alles. Und ich würde sagen,

die Idee ist halt sich auch mit den Leuten
und den Interessenverbänden jetzt schon

mal auseinanderzusetzen und was die jetzt
schon an Forderungen haben zu versuchen

umzusetzen, weil technisch glaube ich
werden die Daten halt öffentlich sein und

dann ist es halt: Wie gehen wir
gesellschaftlich mit Leuten um, die

schwierige Diagnosen haben. 
Martin: Genau das ist auch die Aussage

von meinem Talk. Ich kann die 
technischen Probleme aufzeigen, aber

die gesellschaftliche Antwort – wie wir damit 
umgehen oder was die Forderung daraus

sind, das müssen wir gemeinsam 
machen, bzw. auch mit den Medical

Professionals, mit denen, die sich wirklich 
damit ihr Leben lang beschäftigt haben.

Herald: Doch noch eine Frage, weil ihr
seid nicht barrierefrei, Ich kann durch

euch nicht durchschauen. Bitte einmal
Mikrofon drei!

Mikro 3: Dankeschön. Meins rangiert eher
unter Anmerkung. Ich habe vor etwas über

einem Jahr an CGM eine Mail geschickt, die
habe ich gerade mal rausgekramt. Da wurde

von einem Facharzt, habe ich einen Link
gehabt: http. Und da sollte ich dann meine

persönlichen Daten eingeben. Da hab ich
gedacht ok, das breche ich jetzt ab. Habe

denen gemailt: "Leute, https wäre mir an
der Stelle lieber gewesen." Und habe dann

die Antwort bekommen: "Zu Ihrer Anmerkung
bezüglich der verschlüsselten Verbindung

können wir sie beruhigen: Die Übermittlung
der Daten erfolgt über eine interne

sichere Leitung in verschlüsselter Form."
Das sei vorgeschrieben und – toll!

<i>Gelächter</i><i>Applaus</i>
Martin: Interessanter Beitrag!

Herald: Auf die Qualität können wir uns in
Zukunft freuen, ne?

Martin: <i>lacht</i> ja...
Herald: Martin Tschirsich!

<i> 35C3 Abspannmusik</i>

Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!