1
00:00:00,000 --> 00:00:22,498
rc3 Vorspannmusik
2
00:00:25,507 --> 00:00:30,250
Herald: Als nächstes kommt ein Talk auf
den ich mich schon den ganzen Tag freue.
3
00:00:30,250 --> 00:00:35,826
Und zwar "Digitalisierung. In eriner
Pandemie. Im Gesundheitsamt!". Deutsche
4
00:00:35,826 --> 00:00:42,630
Behörden und Digitalisierung ist ja eher
ein Oxymoron als schöne Wirklichkeit. Und
5
00:00:42,630 --> 00:00:47,820
was man dann erlebt, wenn Gesundheitsämter
in einer Pandemie auf einmal wirklich
6
00:00:47,820 --> 00:00:53,280
relevant werden, das wird uns jetzt Bianca
Kastl erzählen.
7
00:00:54,875 --> 00:01:00,110
Bianca: Guten Abend, mein Name ist Bianca
Kastl und das Thema für die nächsten 40
8
00:01:00,110 --> 00:01:05,630
Minuten bei diesem Talk ist
"Digitalisierung. In einer Pandemie. Im
9
00:01:05,630 --> 00:01:12,380
Gesundheitsamt!". Jo, wer bin ich? Mein
Name ist Bianca, ihr findet mich unter
10
00:01:12,380 --> 00:01:18,540
bkastl.de im Wold Wide Web, bei Twitter
unter @bkastl und bei Mastodon
11
00:01:18,540 --> 00:01:25,670
@bkastl@mastodon.social. Wenn Ihr zufällig
mein Büro finden solltet, dann steht davor
12
00:01:25,670 --> 00:01:29,729
das Thema "Digitalisierung". Das ist
nämlich mein Büroschild. Und das ist
13
00:01:29,729 --> 00:01:33,899
tatsächlich auch das, was ich beruflich
eigentlich aktuell gerade mache, denn ich
14
00:01:33,899 --> 00:01:38,772
bin, naja, hab so ein bisschen 'ne
Karriere hinter mir in dem Bereich. Ich
15
00:01:38,772 --> 00:01:43,009
bin eigentlich Software-Projektmanagerin,
bin Web-Entwicklerin, habe aber wärend der
16
00:01:43,009 --> 00:01:45,887
Pandemie die digitale
Kontaktnachverfolgung in verschiedenen
17
00:01:45,887 --> 00:01:50,369
Gesundheitsämtern betreut, arbeite aktuell
an einer Digitalisierung im Gesundheitsamt
18
00:01:50,369 --> 00:01:55,149
Frankfurt, wie erwähnt, das war dazu das
Schild, bin die Verfahrensverantwortliche
19
00:01:55,149 --> 00:02:01,414
für das Thema IRIS connect, das ist eine
Schnittstelle für Kontaktnachverfolgung in
20
00:02:01,414 --> 00:02:06,643
aktuell 5 Bundesländern, und ich habe auch
schonmal die Luca App gehackt, vielleicht
21
00:02:06,643 --> 00:02:13,204
kennen mit die einen oder anderen dazu.
Jo, dieser Talk ist eigentlich ein Meta
22
00:02:13,204 --> 00:02:17,598
Talk. Das heißt, dieser Talk geht nicht
auf sehr viele fachliche Details in der
23
00:02:17,598 --> 00:02:22,390
Tiefe ein, geht aber auf sehr viele
verschiedene Bereiche, die alle irgendwas
24
00:02:22,390 --> 00:02:26,709
mit Digitalisierung, Problemen und
Erfahrungen in dem Bereich zu tun haben
25
00:02:26,709 --> 00:02:31,830
ein. Wenn ihr jetzt irgendwelche Luca-
Talks von mir suchen wollt, die gibt's im
26
00:02:31,830 --> 00:02:38,671
am Ende auch im Anhang. Aber das ist jetzt
ersmal so der Versuch, den ich gemacht
27
00:02:38,671 --> 00:02:43,819
habe: "10 Erkenntnisse aus dem Versuch,
die Pandemie mit digitalen Tools besser zu
28
00:02:43,819 --> 00:02:55,174
bewältigen" in relativ kurzer Form
überblicksweise zu vermitteln. Das hat
29
00:02:55,174 --> 00:03:01,109
erstmal keine Priorität, diese 10
Erkenntnisse, sondern das ist erstmal so
30
00:03:01,109 --> 00:03:05,025
eine historische, chronologisch gewachsene
Kenntnis, die man so vielleicht auch ein
31
00:03:05,025 --> 00:03:11,310
bisschen aus der Erfahrung der letzten
Zeit mitgeben kann. Falls ihr euch fragt,
32
00:03:11,310 --> 00:03:14,719
wie ich zu dem Thema digitale
Kontaktnachverfolgung, Gesundheitsämtern
33
00:03:14,719 --> 00:03:18,660
kam, das ist eigentlich eine sehr, sehr
spannende Geschichte, weil irgendwann im
34
00:03:18,660 --> 00:03:24,170
August 2020 wurde ich mal angerufen und es
kam an mich der Auftrag "Ja, Frau Kastl,
35
00:03:24,170 --> 00:03:27,825
Sie müssen uns dabei helfen, die
Zettelwirtschaft im Gesundheitsamt
36
00:03:27,825 --> 00:03:32,249
abzuschaffen.". Das war auch schonmal eine
sehr konkrete Ansage, was ich denn
37
00:03:32,249 --> 00:03:37,579
eigentlich zu tun hätte. Wie ich dann dazu
kam und was dann daraus passiert ist,
38
00:03:37,579 --> 00:03:41,560
werden wir nachher noch mitkriegen, aber
tatsächlich ist mein Einstieg in das Thema
39
00:03:41,560 --> 00:03:46,320
"Digitalisierung von Gesundheitsämtern"
ein sehr praktisches gewesen, nämlich
40
00:03:46,320 --> 00:03:51,390
tatsächlich in dieser Pandemie in dem
Bereich. Wir haben grad Pandemie, wir
41
00:03:51,390 --> 00:03:55,997
haben sehr viele Daten, müssen Kontakt
nachverfolgen, können uns dabei helfen.
42
00:03:55,997 --> 00:04:04,388
Dazu aber später noch ein bisschen mehr.
Erste These, erste Erfahrungen, die man
43
00:04:04,388 --> 00:04:08,065
bei digitaler Kontaktnachverfolgung ganz
besonders hat, aber auch bei anderen
44
00:04:08,065 --> 00:04:12,512
Themen, sei es beim Thema Impfen oder wie
auch immer. Das schlechte
45
00:04:12,512 --> 00:04:18,151
Benutzererfahrung nicht skaliert. Das ist
eigentlich offensichtlich, nur muss man es
46
00:04:18,151 --> 00:04:21,909
glaube ich im Thema der Digitalisierung
idie jetzt in Gesundheitsämtern passiert
47
00:04:21,909 --> 00:04:28,130
dann noch ein bisschen anders sehen. Wir
haben ja so Szenarien, die sich ganz gerne
48
00:04:28,130 --> 00:04:33,382
wiederholen von Benutzerflows. Dann haben
wir zum Beispiel diesen hier. Es kam
49
00:04:33,382 --> 00:04:39,026
neulich mal die Ansage Mitte des Jahres.
Sag mal, du Bianca, wir legen total viele
50
00:04:39,026 --> 00:04:43,133
Kontaktpersonen im gleichen Haushalt an.
Kann man das nicht irgendwie vereinfachen?
51
00:04:43,133 --> 00:04:46,873
Ähm, das ist eigentlich immer der gleiche
Vorgang. Man telefoniert mit einer
52
00:04:46,873 --> 00:04:52,440
positiven Person, die hat meistens dann
halt Corona und frägt die dann: Ja, Sie
53
00:04:52,440 --> 00:04:55,867
sind jetzt positiv. Jetzt haben sie
vielleicht irgendwelche Kontakte. Die
54
00:04:55,867 --> 00:05:00,873
müssten wir jetzt isolieren, damit wir die
Ansteckung eindämmen können. Wer ist denn
55
00:05:00,873 --> 00:05:05,690
da so noch Kontaktpersonen bei Ihnen? Man
wird dann feststellen. Ja, also natürlich,
56
00:05:05,690 --> 00:05:11,998
ich bin, wohne im Haushalt. Dann ist z.B.
meine Familie, die Kinder, ähm,
57
00:05:11,998 --> 00:05:16,449
Lebenspartner, -partnerinnen. Und, und von
denen muss man eigentlich irgendwie Daten
58
00:05:16,449 --> 00:05:20,887
erheben. Weil es geht darum, dass man
natürlich denen einerseits vielleicht
59
00:05:20,887 --> 00:05:27,077
Quarantäne-Bescheide erstellt. Es geht
aber auch um Abrechnungen von, z.B.
60
00:05:27,077 --> 00:05:32,209
Ausfall von Arbeitsleistung. Das ist
eigentlich ein Datenerfassungsvorgang. Das
61
00:05:32,209 --> 00:05:36,768
passiert sehr häufig über Telefon. Das es
sehr wenig digitalisiert. Ich habe
62
00:05:36,768 --> 00:05:40,590
tatsächlich... Mein Einstieg in das Thema
war, diesen Prozess zu digitalisieren.
63
00:05:40,590 --> 00:05:44,694
Aber das ist tatsächlich telefonieren.
Leute fragen, wen sie getroffen haben in
64
00:05:44,694 --> 00:05:50,452
dem relevanten Zeitraum und davon dann die
Daten aufnehmen. Dieser Prozess passiert
65
00:05:50,452 --> 00:05:57,135
bei jedem, bei jedem Fall eigentlich.
Zumindest, als es noch anständige
66
00:05:57,135 --> 00:06:00,549
Kontaktnachverfolgungen in
Anführungszeichen gab. Immer wieder von
67
00:06:00,549 --> 00:06:05,879
vorne. Das heißt, wir haben zum Beispiel
100 Fälle pro Tag. Haben dann die
68
00:06:05,879 --> 00:06:12,691
Erfassung von Kontaktpersonen. Das sind so
4, 5 in der Zeit 2020. Das ist natürlich
69
00:06:12,691 --> 00:06:17,710
in der Zeit, in der wir jetzt leben, mit
vielen Kontakten oder wo wir viele
70
00:06:17,710 --> 00:06:23,042
Kontakte hatten, sind es natürlich sehr
viel mehr. Also heißt das, man macht den
71
00:06:23,042 --> 00:06:27,460
gleichen Benutzerflow, den man auch immer
händisch am Telefon quasi durch
72
00:06:27,460 --> 00:06:33,040
telefoniert und abtippt immer wieder. Der
heißt Ich möchte zu einem Fall eine
73
00:06:33,040 --> 00:06:37,362
Kontaktperson anlegen. Die möchte ich dann
auch noch sagen, ist im gleichen Haushalt.
74
00:06:37,362 --> 00:06:41,608
Die hat dann wahrscheinlich die gleiche
Adresse, wie die Index Person. Also der
75
00:06:41,608 --> 00:06:45,878
positive Corona-Fall. Hat dann vielleicht
auch die gleiche Telefonnummer und sehr
76
00:06:45,878 --> 00:06:50,846
viele Daten werden sich gleichen. Aber
irgendwie fehlt dazu wahrscheinlich so ein
77
00:06:50,846 --> 00:06:54,895
Nutzerflow. Das ist eigentlich in der
Benutzererfahrung relativ einfach zu
78
00:06:54,895 --> 00:06:59,477
lösen, indem man einfach einen Button
schafft, der sagt: Naja, neue
79
00:06:59,477 --> 00:07:04,550
Kontaktperson im Haushalt anlegen. Nun
muss man dazu natürlich diesen Prozess
80
00:07:04,550 --> 00:07:10,012
auch wirklich tatsächlich mal begleiten.
Man muss Leuten zuhören und sie fragen:
81
00:07:10,012 --> 00:07:13,603
Ja, was behindert euch denn bei der
Benutzung von unserer Software denn am
82
00:07:13,603 --> 00:07:17,015
ehesten? Wo könnte man am ehesten
optimieren? Wo können wir denn
83
00:07:17,015 --> 00:07:21,931
kontinuierlich optimieren? Und erst dann
kommen auch so Einsparungen, die sich
84
00:07:21,931 --> 00:07:28,110
tatsächlich aus der Benutzung ergeben, wie
dieses beim Telefonieren die ganze Familie
85
00:07:28,110 --> 00:07:33,440
erfassen. Da würde ein Button helfen, dass
man so eine Software tatsächlich auch
86
00:07:33,440 --> 00:07:40,790
besser macht. Denn Software, damit sie
sinnvoll genutzt werden kann. Und dass
87
00:07:40,790 --> 00:07:44,650
Software oder Dienstleistungen wirklich
sinnvoll genutzt werden können, braucht es
88
00:07:44,650 --> 00:07:48,367
nicht nur gute Konzeption zu Beginn,
sondern es braucht auch immer die Adaption
89
00:07:48,367 --> 00:07:54,020
an die Benutzung und es braucht konstante
Begleitung. Und ich kann euch sagen, dass
90
00:07:54,020 --> 00:07:57,551
als wir diese
Kontaktnachverfolgungssoftware entwickelt
91
00:07:57,551 --> 00:08:03,330
haben, in einem agilen Verfahren. Es war
kein SORMAS. Es tut mir leid. Haben wir da
92
00:08:03,330 --> 00:08:07,599
auch relativ gute Erfahrungen gemacht, zu
sagen: Ja gut, lass uns doch mal gucken,
93
00:08:07,599 --> 00:08:11,516
was haben wir denn für Benutzungsflows,
die wir ständig optimieren können, weil da
94
00:08:11,516 --> 00:08:15,543
wir auch tatsächlich Zeit sparen, weil
sich die wiederholen, da ist Potenzial
95
00:08:15,543 --> 00:08:22,404
drin. Und ja, die haben wir quasi dann
kontinuierlich eigentlich in so einem
96
00:08:22,404 --> 00:08:28,373
agilen Benutzungs-User-Story-Szenario
optimiert und das hatte tatsächlich auch
97
00:08:28,373 --> 00:08:33,573
nachher dann positive Auswirkungen. Wie
gesagt, in einem Gesundheitsamt, in der
98
00:08:33,573 --> 00:08:41,880
Pandemie. Das geht alles. Zweite These:
Softwareprozesse solltest du immer
99
00:08:41,880 --> 00:08:47,853
lauffähig halten. Ein Szenario, was wir im
Januar 2021 hatten, war der erste
100
00:08:47,853 --> 00:08:53,166
B.1.1.7-Fall. Das ist das, was man heute
unter Alpha kennt. Das ist eine
101
00:08:53,166 --> 00:08:59,651
Virusvariante. Die war damals halt quasi
die erste große Virus Variante, die
102
00:08:59,651 --> 00:09:03,497
bedeutend war. Früher gab es den Wildtyp.
Das war nur Corona und dann gab es die
103
00:09:03,497 --> 00:09:10,325
Virusvariante B.1.1.7 und das war damals
im Januar 2021, als es nach Deutschland
104
00:09:10,325 --> 00:09:14,348
kam etwas Besonderes. Weil es war
natürlich noch mal ansteckend, es war
105
00:09:14,348 --> 00:09:21,072
gefährlicher. Und ja, wie passiert sowas
dann? Wie kriegt man so so Mutanten in ein
106
00:09:21,072 --> 00:09:25,772
System rein? Ja gab irgendwann an nem
Donnerstag, gab es einen Anruf, der hieß
107
00:09:25,772 --> 00:09:29,899
dann: Ja, jetzt müssten wir mal schnell
mal das mit den Mutanten da rein kriegen.
108
00:09:29,899 --> 00:09:33,821
Das haben wir dann auch sehr, sehr schnell
aufgenommen, weil wir auch wussten, das
109
00:09:33,821 --> 00:09:38,349
ist natürlich relativ eilig. Das sollte
man auch sinnvoll erfassen, weil sich
110
00:09:38,349 --> 00:09:43,889
dadurch, durch Mutanten auch verschiedene
Containment Strategien daran anschließen.
111
00:09:43,889 --> 00:09:50,084
Weil Mutanten muss man unter Umständen
besser isolieren als normale Fälle. Weil
112
00:09:50,084 --> 00:09:54,630
die ist ja beide irgendwie... schon
schlimm sind, aber Mutanten waren damals
113
00:09:54,630 --> 00:10:01,154
halt noch, nochmal um so schlimmer. Und
dann war die Ansage: Baut mal da dieses
114
00:10:01,154 --> 00:10:06,980
Thema mit Virusvarianten in das System
ein. Und ja, haben wir gemacht, hat drei
115
00:10:06,980 --> 00:10:10,691
Stunden gedauert. Nach drei Stunden waren
wir fertig und haben es dann am Abend
116
00:10:10,691 --> 00:10:16,542
deployed. Ähm. Das klingt jetzt irgendwie
nicht so beeindruckend. Man muss es aber
117
00:10:16,542 --> 00:10:22,187
glaube ich auch so sehen, dass das
natürlich auch, äh, ein laufendes Produkt
118
00:10:22,187 --> 00:10:28,359
war, was man einfach kontinuierlich
erweitern konnten. Und es stellte sich
119
00:10:28,359 --> 00:10:32,169
raus, als wir das am Donnerstag deployt
hatten... Wir dachten uns ja, das haben
120
00:10:32,169 --> 00:10:36,876
jetzt mal sinnvoll erstellt, haben wir
schnell erledigt. War gut. Werden wir
121
00:10:36,876 --> 00:10:41,100
jetzt bald in zwei Wochen brauchen. Ne, es
hat sich rausgestellt: dieses Feature, was
122
00:10:41,100 --> 00:10:46,981
wir am Donnerstag fertiggestellt hatten,
wurde dann am Samstag schon benötigt, weil
123
00:10:46,981 --> 00:10:50,950
es am Samstag den ersten B.1.1.7 Fall gab
in dem Gesundheitsamt, was ich damals
124
00:10:50,950 --> 00:10:55,182
betreut hatte. Und man kann durchaus
sagen, dass wir dann eigentlich so schnell
125
00:10:55,182 --> 00:11:01,310
reagiert haben auf die Veränderungen, die
es eben gab, ähm, dass wir dann...
126
00:11:01,310 --> 00:11:06,400
Eigentlich das Feature als wir das
deployed hatten, war der erste Fall, der
127
00:11:06,400 --> 00:11:10,640
dafür relevant war, schon unterwegs. Das
heißt, das ist auch die Agilität und die
128
00:11:10,640 --> 00:11:14,977
Flexibilität, mit der man auch in
Softwareprozesse rangehen muss. Das war so
129
00:11:14,977 --> 00:11:18,780
ein bisschen wie ein... Ja, was jetzt
aktuell mit log4j so bisschen rumschwirrt.
130
00:11:18,780 --> 00:11:22,792
Da muss man auch schnell reagieren und das
war mit den Virusvarianten tatsächlich in
131
00:11:22,792 --> 00:11:27,167
der Softwareentwicklung genauso. Das geht
aber nur, wenn du lauffähige Prozesse
132
00:11:27,167 --> 00:11:31,676
hast. Das heißt, wenn du auch Deployment,
wenn du Entwicklung, wenn du alles das
133
00:11:31,676 --> 00:11:36,815
aktiv hast und auch relativ schnell wieder
aktivieren kannst. Und es ist nie nur ein
134
00:11:36,815 --> 00:11:39,723
Projekt, wo du sagst, es ist
abgeschlossen, es wird nie wieder
135
00:11:39,723 --> 00:11:44,524
weiterentwickelt, das wird nie wieder
angefasst, sondern es ist immer auch ein
136
00:11:44,524 --> 00:11:48,471
lebendes Produkt Software. Und Projekte
sind immer so abgeschlossene Dinge,
137
00:11:48,471 --> 00:11:52,680
die man nie wieder anfasst. Das ist es
aber nie. Speziell auch nicht in einer
138
00:11:52,680 --> 00:11:59,102
Pandemie. These Nummer drei: Agiles
Arbeiten kann auch in einer Verwaltung
139
00:11:59,102 --> 00:12:04,153
funktionieren. Das klingt so ein bisschen
utopisch. Ähm, Verwaltungen, agil
140
00:12:04,153 --> 00:12:08,761
arbeiten, das passt eigentlich gar nicht.
Ich kann aber bestätigen: es kann
141
00:12:08,761 --> 00:12:17,297
funktionieren. Ähm. Eckdaten dazu: Wir
hatten sechs Monate lang ein agiles
142
00:12:17,297 --> 00:12:21,014
Softwareprojekt. Das war eigentlich fully
remote. Also teilweise waren auch die
143
00:12:21,014 --> 00:12:24,245
Leute in der Verwaltung, die diese
Software genutzt haben und mit uns
144
00:12:24,245 --> 00:12:29,820
entwickelt haben, remote beteiligt an
diesem Projekt. Jetzt hab ich Projekt
145
00:12:29,820 --> 00:12:35,864
gesagt. Naja, an dieser Software. Und wir
haben tatsächlich dann über
146
00:12:35,864 --> 00:12:42,468
Videokonferenzen und voll remote dieses
Thema 6 Monate lang entwickelt. Wir haben
147
00:12:42,468 --> 00:12:46,266
das in Scrum getan. Es gab 2-Wochen-
Sprints. Wir haben es auch mal mit
148
00:12:46,266 --> 00:12:50,652
kürzeren Sprints versucht, weil das Thema
so dynamisch war. Es ging tatsächlich um
149
00:12:50,652 --> 00:12:58,028
Kontaktnachverfolgung und was da eben so
sich auch dynamisch verändert. Und ein
150
00:12:58,028 --> 00:13:02,323
sehr dynamisches Feld übrigens. Und ja,
wir haben dann versucht, mal kürzere
151
00:13:02,323 --> 00:13:06,272
Sprints zu machen. Hat nicht so ganz
funktioniert. 2-Wochen-Sprints sind für ne
152
00:13:06,272 --> 00:13:10,781
Verwaltung eigentlich ganz okay, weil da
ändert sich kontinuierlich was. Aber Leute
153
00:13:10,781 --> 00:13:15,927
können dann Leute auch gegenseitig
schulen, dass sich was verändert. Das hat
154
00:13:15,927 --> 00:13:19,842
ganz gut funktioniert. Und was tatsächlich
auch ganz gut funktioniert hat,
155
00:13:19,842 --> 00:13:24,565
erstaunlicherweise, war softwarebezogene
Kommunikation über GitLab. Das heißt,
156
00:13:24,565 --> 00:13:31,941
Leute in Issues und in Meilensteinen und
in projektbezogene Kommunikation
157
00:13:31,941 --> 00:13:35,890
einzuführen und nicht irgendwelche E-Mails
wüst hin- und her zu schicken, hat
158
00:13:35,890 --> 00:13:40,181
wunderbar funktioniert, wurde wunderbar
angenommen, war für alle Leute gut
159
00:13:40,181 --> 00:13:44,020
einsehbar und war eigentlich ein voller
Erfolg. Ich weiß eigentlich nicht, warum
160
00:13:44,020 --> 00:13:51,499
wir nicht mehr über so Strukturen wie z.
B. GitLab oder Issues, Meilensteine,
161
00:13:51,499 --> 00:13:56,346
Projekt-Boards bei manchen Dingen
arbeiten, scheint in Verwaltungen einfach
162
00:13:56,346 --> 00:14:03,258
noch so ein bisschen verschlafen worden zu
sein. Das Ergebnis dieses ganzen
163
00:14:03,258 --> 00:14:06,727
Softwarevorgehens war, dass wir diese
Kontaktnachverfolgung von Fällen und
164
00:14:06,727 --> 00:14:13,190
Kontaktpersonen messbar auch tatsächlich
zu 90% aller Fälle und Kontaktpersonen
165
00:14:13,190 --> 00:14:19,806
tagaktuell erreicht haben. Das heißt, wir
haben 90% aller Fälle und Kontaktpersonen,
166
00:14:19,806 --> 00:14:24,771
diese Person auch am gleichen Tag
erreicht. Das ist auch das, was du
167
00:14:24,771 --> 00:14:28,390
ansetzen musst, um überhaupt irgendwie
eine Eindämmung in dieser Pandemie zu
168
00:14:28,390 --> 00:14:34,963
erreichen. Da muss alles das, was du
verarbeitest, eigentlich tagaktuell sein.
169
00:14:34,963 --> 00:14:39,270
Wir haben auch eine digitale Einbindung
aller Beteiligten an diesem ganzen Prozess
170
00:14:39,270 --> 00:14:44,215
hinbekommen und zwar über eine Plattform.
Da war beteiligt u. A. das Gesundheitsamt
171
00:14:44,215 --> 00:14:48,456
natürlich. Das Gesundheitsamt ist dafür
zuständig, diese Kontaktperson zu
172
00:14:48,456 --> 00:14:52,056
erfassen, diese Fälle zu erfassen. Aber
das geht dann auch weiter an
173
00:14:52,056 --> 00:14:57,850
Ordnungsämter, die sich dann kümmern um
Quarantänebescheide. Zumindest ist das so
174
00:14:57,850 --> 00:15:02,210
in Baden-Württemberg. Und das geht dann
auch noch an Ortspolizeibehörden, die sich
175
00:15:02,210 --> 00:15:06,823
dann um die Quarantäne-Überwachung
kümmern. Das heißt, wir haben auch noch 23
176
00:15:06,823 --> 00:15:11,729
Gemeinden angebunden an ein System. Das
war durchaus spannend, auch als wir denen
177
00:15:11,729 --> 00:15:15,596
dann erklärt hatten, dass sie jetzt Zwei-
Faktor- Authentifizierung nutzen müssen.
178
00:15:15,596 --> 00:15:23,070
Hat auch funktioniert. Und ja, es war kein
SORMAS. Zu SORMAS aber später noch mehr
179
00:15:23,070 --> 00:15:28,129
vielleicht. Aber wie ihr seht: Es kann
tatsächlich auch in einer Pandemie
180
00:15:28,129 --> 00:15:33,658
funktionieren, digitale Software agil zu
entwickeln, auch in einer Verwaltung, weil
181
00:15:33,658 --> 00:15:37,812
Leute auch gesehen haben: Okay, da sind
sehr viele Daten, da müssen wir unsere
182
00:15:37,812 --> 00:15:41,474
Prozesse irgendwie optimieren und gucken,
dass wir das auch irgendwie besser
183
00:15:41,474 --> 00:15:47,945
hinkriegen. Und wenn du mit vielen Daten
und Leuten und mit einem gewissen Druck,
184
00:15:47,945 --> 00:15:54,338
die auch erkennen, dass sie ihre Prozesse
auch selbstständig beeinflussen können,
185
00:15:54,338 --> 00:15:58,784
zum Besseren wandeln, dann haben die da
auch tatsächlich Lust drauf, das zu tun,
186
00:15:58,784 --> 00:16:03,171
auch wenn sie in der Verwaltung sind. Das
ist die Erkenntnis, die ich jetzt da
187
00:16:03,171 --> 00:16:08,310
mitgeben kann. Ich weiß nicht, ob es
außerhalb dieses Pandemiekontextes so gut
188
00:16:08,310 --> 00:16:12,103
funktioniert hätte. Aber dadurch, dass da
kontinuierlich auch immer eine gewisse
189
00:16:12,103 --> 00:16:21,458
Arbeitslast da war, hat es erstaunlich gut
funktioniert. Ja, gut funktioniert ist
190
00:16:21,458 --> 00:16:26,057
auch so ein Thema. Was glaube ich auch
wichtig ist, wenn man irgendwelche
191
00:16:26,057 --> 00:16:31,065
Learnings hat, wenn man irgendwas Gutes
tut, sollte man auch darüber schreiben.
192
00:16:31,065 --> 00:16:37,703
Ich habe im März 2021 diesen wunderbaren
Artikel verfasst: "Die Corona
193
00:16:37,703 --> 00:16:42,310
Schnittstellenlage und andere Probleme".
Das ist ein Artikel, der beschreibt
194
00:16:42,310 --> 00:16:47,048
eigentlich so ein bisschen, wie die
Systematik mit SORMAS funktioniert, was
195
00:16:47,048 --> 00:16:52,320
ist DEMIS, also DEMIS ist die
Schnittstelle für Labordaten. Dann gibt es
196
00:16:52,320 --> 00:16:56,270
SORMAS zum Beispiel, dann gibt es SurvNet,
wo dann diese Fälle übermittelt werden in
197
00:16:56,270 --> 00:17:00,180
Gesundheitsämtern. Das war eigentlich so
ein Grundlagenartikel. Den
198
00:17:00,180 --> 00:17:04,816
Grundlagenartikel habe ich wie gesagt am
1. März veröffentlicht. Der lag dann so
199
00:17:04,816 --> 00:17:08,680
ein bisschen rum und hatte irgendwie so
ein bisschen Wind aufgenommen. Und dann
200
00:17:08,680 --> 00:17:14,660
kamen relativ spannende Reaktionen zurück.
Ich habe mal Fanpost bekommen von Smudo,
201
00:17:14,660 --> 00:17:20,649
also dem Smudo, der dann nachher dann
versucht, die luca-App zu verkaufen. Der
202
00:17:20,649 --> 00:17:24,545
schreibt jetzt, glaube ich, keine Fanpost
mehr, aber damals gab es Fanpost von ihm.
203
00:17:24,545 --> 00:17:28,279
Es gab relativ viele Reaktionen von
Menschen, die da fachlich auch Ahnung von
204
00:17:28,279 --> 00:17:35,386
hatten. Ich habe ja auch Anfragen von
Menschen bekommen, die einfach mal erkannt
205
00:17:35,386 --> 00:17:39,335
haben: Guck mal, du hast ja von dem Thema
wirklich Ahnung, kannst du mal mir das und
206
00:17:39,335 --> 00:17:43,112
das erklären? Eigentlich nur, weil ich
einen Artikel geschrieben habe. Also den
207
00:17:43,112 --> 00:17:48,289
Artikel, war wohl nachweislich irgendwie
ganz okay. Aber wie ihr merkt, es ist
208
00:17:48,289 --> 00:17:53,059
glaube ich immer sinnvoll, egal in welchen
fachlichen Kontexten ihr unterwegs seid,
209
00:17:53,059 --> 00:17:59,192
da auch über eure Erlebnisse und euer
Wissen das auch zu teilen. Und ich weiß
210
00:17:59,192 --> 00:18:02,867
nicht was passiert wäre, hätte ich diesen
Artikel nicht geschrieben. Ich würde
211
00:18:02,867 --> 00:18:06,338
wahrscheinlich nicht hier sitzen und
diesen Vortrag halten. So kann man es
212
00:18:06,338 --> 00:18:11,552
eigentlich auch sehen. Und ja, also wie
gesagt, wenn ihr gute Sachen tut, schreibt
213
00:18:11,552 --> 00:18:19,012
darüber. So, kommen wir zu dem Thema
Digitalisierung. Mein aktuelles
214
00:18:19,012 --> 00:18:24,598
Lieblingsthema. Und dazu die folgende
These: Sinnvolle Digitalisierung
215
00:18:24,598 --> 00:18:29,270
elektrifiziert nicht einfach nur analoge
Abläufe. Das gab es früher mal unter der
216
00:18:29,270 --> 00:18:33,240
platten Formulierung "Wenn du einen
Scheißprozess digitalisierst, hast du
217
00:18:33,240 --> 00:18:37,800
einen scheiß digitalen Prozess." Ich würde
das jetzt erstmal so formulieren, dass die
218
00:18:37,800 --> 00:18:45,240
Digitalisierung halt mehr ist als das, was
man analog hat irgendwie mit
219
00:18:45,240 --> 00:18:50,221
elektronischen Kommunikationsmitteln
aufzubohren. Man sollte sich bei so
220
00:18:50,221 --> 00:18:53,931
Digitalisierungsthemen auch immer die
Frage stellen: Welches Problem wollen wir
221
00:18:53,931 --> 00:18:59,841
denn eigentlich wirklich lösen? Und dazu
gibt es zwei Beispiele. Das ist die
222
00:18:59,841 --> 00:19:06,085
wunderbare Meldekette. Die nennt sich das
German computerized reporting system. Das
223
00:19:06,085 --> 00:19:12,082
ist eigentlich das, wie die Meldekette von
Corona-Fällen immer noch größtenteils
224
00:19:12,082 --> 00:19:16,766
funktioniert. Das ist entnommen aus einer
Beschreibung von SurvNet aus dem Jahre
225
00:19:16,766 --> 00:19:25,453
2006, eigentlich 15 Jahre alt, aber wir
sehen das zum Beispiel, wenn ein Patient
226
00:19:25,453 --> 00:19:30,782
von einem Labor einen Erregernachweis
bekommt, geht dieser Erregernachweis -
227
00:19:30,782 --> 00:19:35,963
damals ging es noch über Fax, inzwischen
geht er digital - über DEMIS, also eine
228
00:19:35,963 --> 00:19:39,825
digitale Schnittstelle, die auch in dieser
Pandemie geschaffen wurde, an das local
229
00:19:39,825 --> 00:19:42,950
health department, also das
Gesundheitsamt. Das Gesundheitsamt hat
230
00:19:42,950 --> 00:19:47,520
dazu auch noch personenbezogene Daten von
dieser Person, um mit dieser Person in
231
00:19:47,520 --> 00:19:53,460
Kontakt zu treten. Das Gesundheitsamt
schickt dann diese Daten via SurvNet über
232
00:19:53,460 --> 00:19:58,889
eine Art E-Mail, also das ist eine E-Mail
mit Transportdaten, an das state health
233
00:19:58,889 --> 00:20:03,929
department, also meistens das
Landesgesundheitsamt. Und das wiederum
234
00:20:03,929 --> 00:20:07,419
fasst diese Dinge zusammen und schickt
diese Dinge dann, auch wiederum via
235
00:20:07,419 --> 00:20:13,990
SurvNet, ans Robert-Koch-Institut. Am Ende
kommen dann beim RKI immer so diese
236
00:20:13,990 --> 00:20:17,610
Tageszahlen von Coronafällen oder anderen
Infektionskrankheiten,
237
00:20:17,610 --> 00:20:21,836
aber aktuell ist
Corona das, was Leute interessiert. Und
238
00:20:21,836 --> 00:20:26,798
wir sehen dann hier so Themen wie: Da
hatte man mal vom Labor zum Gesundheitsamt
239
00:20:26,798 --> 00:20:32,120
24 Stunden Delay. Das kommt immer noch
ganz gut hin. Der Delay zwischen dem
240
00:20:32,120 --> 00:20:35,137
Gesundheitsamt und dem
Landesgesundheitsamt ist ein bisschen
241
00:20:35,137 --> 00:20:39,182
kürzer geworden, zumindest nicht mehr Tage
und ist auch nicht mehr eine Woche, wo das
242
00:20:39,182 --> 00:20:43,679
Landesgesundheitsamt braucht, um's an's
Robert-Koch-Institut zu schicken. Das
243
00:20:43,679 --> 00:20:47,482
macht es eigentlich inzwischen täglich,
aber der Prozess ist als solcher schon
244
00:20:47,482 --> 00:20:52,013
noch im Wesentlichen der gleiche. Es wird
immer noch über mehrere Ecken dieses Thema
245
00:20:52,013 --> 00:20:56,449
durch die Gegend geschickt und deswegen,
weil es über so viele Ecken durch die
246
00:20:56,449 --> 00:21:03,653
Gegend geschickt wird unabhängig davon,
ob's jetzt SORMAS ist oder nicht, wird es
247
00:21:03,653 --> 00:21:07,652
jetzt auch nicht unbedingt vom Prozess her
schneller und effizienter, sondern es ist
248
00:21:07,652 --> 00:21:13,520
halt immer noch ein Prozess mit sehr, sehr
vielen Fallstricken. Auch wenn du
249
00:21:13,520 --> 00:21:18,028
irgendwann mal SORMAS einsetzen würdest
und sagst "Das finden wir total toll" hast
250
00:21:18,028 --> 00:21:21,577
du immer noch vorne irgendwas, wo du
Falldaten übermitteln musst, hast auch
251
00:21:21,577 --> 00:21:25,331
nachher noch eine Anbindung an SurvNet,
hast manchmal auch eine Anbindung an die
252
00:21:25,331 --> 00:21:29,196
Landesgesundheitsämter. Also wie gesagt,
SORMAS ist einfach nur eine moderne Hülle
253
00:21:29,196 --> 00:21:33,084
für den aktuell eh nicht so wirklich
gelungenen Prozess. Denn die Frage ist
254
00:21:33,084 --> 00:21:37,320
eigentlich: Geht es uns um einen
schnellen, möglichst aktuellen Überblick?
255
00:21:37,320 --> 00:21:41,307
Oder geht es darum, dass wir die
Verwaltungsstrukturen, die wir eigentlich
256
00:21:41,307 --> 00:21:45,437
haben, digital abbilden wollen? Diese
Struktur, die ich euch gerade eben gezeigt
257
00:21:45,437 --> 00:21:50,311
habe mit dieser Meldekette von, ja, geht
erst mal ans Gesundheitsamt, dann geht's
258
00:21:50,311 --> 00:21:53,880
einmal von dem Gesundheitsamt ins
Landesgesundheitsamt und dann jetzt geht's
259
00:21:53,880 --> 00:21:57,450
noch ans RKI, ist einfach eine normale
Verwaltungsstruktur, weil halt so die
260
00:21:57,450 --> 00:22:01,550
Zuständigkeiten in diesem Bereich sind.
Und das hat man digital abgebildet. Dass
261
00:22:01,550 --> 00:22:05,309
das natürlich jetzt nicht wirklich gut
skaliert, dass Meldeketten in Deutschland
262
00:22:05,309 --> 00:22:08,830
so ein bisschen ineffizient sind und so
weiter, liegt aber auch daran, dass
263
00:22:08,830 --> 00:22:14,980
natürlich die technische Reife der Lösung
dazwischen nicht wirklich gut ist, das
264
00:22:14,980 --> 00:22:20,467
nicht wirklich skaliert. Man hat
einfach gesagt: Okay, man nimmt das, was
265
00:22:20,467 --> 00:22:26,440
man als Verwaltungszuständigkeit hat, und
baut so eine Meldekette und macht das dann
266
00:22:26,440 --> 00:22:32,573
digital. Das ginge auch wesentlich
effizienter, schneller. Es ist zum
267
00:22:32,573 --> 00:22:36,502
Beispiel auch sehr spannend, dass diese
Meldeketten von Gesundheitsämtern auch
268
00:22:36,502 --> 00:22:40,517
immer nur einmal am Tag ausgeführt werden.
Das weiß auch kein Mensch, warum, aber das
269
00:22:40,517 --> 00:22:46,182
ist halt so dieser digital nachgebaute
Aktenlauf. Menschen in Gesundheitsämtern
270
00:22:46,182 --> 00:22:50,093
fragen mich, warum sie denn das immer noch
manuell übermitteln müssen, wenn sie den
271
00:22:50,093 --> 00:22:56,199
Fall schon abgeschlossen haben. Ja, man
hat einfach so ein bisschen dieses
272
00:22:56,199 --> 00:23:01,758
Verwaltungsdenken - mit Akten und man
packt die Akten dann auf ein Wägelchen und
273
00:23:01,758 --> 00:23:07,794
schiebt die dann weiter zur nächsten
Stelle - digital abgebildet. Und ja, man
274
00:23:07,794 --> 00:23:12,263
könnte dieses Prinzip auch einfacher
machen. Man könnte da natürlich ein paar
275
00:23:12,263 --> 00:23:19,042
Teile der Kette raus nehmen, effizienter
machen, aber es ist auch irgendwie, nach
276
00:23:19,042 --> 00:23:22,521
außen wirkt es so, als wäre es digital. Es
ist aber eigentlich nur ein
277
00:23:22,521 --> 00:23:28,736
elektrifizierter Aktengang von einer zur
nächsten Behörde und dementsprechend auch
278
00:23:28,736 --> 00:23:34,720
nicht wirklich schnell und auch nicht
wirklich immer sehr resilient. Der nächste
279
00:23:34,720 --> 00:23:39,585
Kandidat für das Thema Elektrifizieren von
Prozessen, den ich habe, ist das
280
00:23:39,585 --> 00:23:48,104
wunderbare Thema Luca. Das ist so eine
Chronologie von dem, wie bei Luca dann
281
00:23:48,104 --> 00:23:54,446
Daten abgefragt werden: Man nimmt die
Meldung vom Gesundheitsamt, dann wird die
282
00:23:54,446 --> 00:23:59,165
Person kontaktiert. Die gibt dann Dinge
frei, die merkt dann: Okay, man muss bei
283
00:23:59,165 --> 00:24:03,757
einer Location dann Dinge anfragen und
dann werden diese Dinge dann freigegeben
284
00:24:03,757 --> 00:24:08,088
und dann kann man von den Check-Ins
gucken, wer dann Kontakt hatte. Man
285
00:24:08,088 --> 00:24:11,754
versucht dann, diese Leute irgendwie zu
kontaktieren, sei es jetzt per Telefon
286
00:24:11,754 --> 00:24:16,610
oder inzwischen seit neuestem wohl auch
per Chat oder per Warnung oder wie auch
287
00:24:16,610 --> 00:24:22,862
immer. Aber es ist ein manuell ausgelöster
Prozess. Dieser Prozess hat natürlich von
288
00:24:22,862 --> 00:24:26,331
dem hier funktioniert, auch mal die große
Frage: Was sollen wir jetzt hier
289
00:24:26,331 --> 00:24:31,990
eigentlich damit tun? Will ich möglichst
schnell Leute bei Risikokontakten warnen?
290
00:24:31,990 --> 00:24:37,269
Das würde einfach implizieren, naja,
positive Personen waren Kontakte,
291
00:24:37,269 --> 00:24:42,126
vielleicht in digital, so wie es zum
Beispiel die Corona-Warn-App tut? Oder
292
00:24:42,126 --> 00:24:48,643
möchte ich diesen Datenerhebungsvorgang,
der quasi bei Luca immer stattfindet? Also
293
00:24:48,643 --> 00:24:55,581
ich habe mich wo eingecheckt, habe mich
registriert und habe dann quasi meine
294
00:24:55,581 --> 00:25:00,976
Daten digital angegeben, schicke die dann
quasi an einen Server, wo die Sachen vom
295
00:25:00,976 --> 00:25:04,913
Gesundheitsamt abgefragt werden und
abgearbeitet werden. Möchte ich den
296
00:25:04,913 --> 00:25:10,879
nachbauen? Wie gesagt, wieder ein
elektrifizierter Prozess nicht wirklich
297
00:25:10,879 --> 00:25:16,065
komplett digital gedacht, sondern einfach
nur ah ja, das was in der Corona-
298
00:25:16,065 --> 00:25:22,470
Verordnung drin stand, bestmöglich
versucht zu digitalisieren. Man hat auch
299
00:25:22,470 --> 00:25:28,171
ein paar Kollateralschäden im Bereich der
IT-Security erzeugt. Super. Aber ja, das
300
00:25:28,171 --> 00:25:33,344
ist nicht wirklich die, die Evolution im
Sinne eines gelungenen digitalen
301
00:25:33,344 --> 00:25:39,503
Prozesses. Wir erkennen: konsequente
Digitalisierung verändert die
302
00:25:39,503 --> 00:25:44,374
Zuständigkeiten teils völlig. Sie gibt
etablierten Strukturen vielleicht sogar
303
00:25:44,374 --> 00:25:48,405
das Gefühl, keine Kontrolle mehr über den
Prozess zu haben. Was meine ich damit?
304
00:25:48,405 --> 00:25:53,443
Dieser eigentlich gelungene dgitale Warn-
Prozess, den wir jetzt zum Beispiel bei
305
00:25:53,443 --> 00:25:56,906
der Corona-Warn App-haben. Ist halt
tatsächlich einer, der hat gar keine
306
00:25:56,906 --> 00:26:01,611
Zwischenhändler von Daten mehr, sondern es
ist quasi immer direkt die
307
00:26:01,611 --> 00:26:06,744
entsprechende Person gibt ihr Testergebnis
frei und warnt damit Andere. Das ist der
308
00:26:06,744 --> 00:26:12,430
direktmöglichste Weg. Das ist aber auch
der, der am schnellsten funktioniert. Und
309
00:26:12,430 --> 00:26:17,125
das ist auch der, der am resilientesten
funktioniert. Weil wenn ein Teil der Kette
310
00:26:17,125 --> 00:26:21,053
rausfällt, dann haben wir jetzt mal nen
Test weniger. Aber die generelle Kette
311
00:26:21,053 --> 00:26:28,281
hängt nicht irgendwie an einzelnen Single
Points of Failure. Ja, aber natürlich: es
312
00:26:28,281 --> 00:26:32,345
sind Gesundheitsämter nicht wirklich davon
begeistert, weil sie über diesen Prozess,
313
00:26:32,345 --> 00:26:36,859
der CWA nicht wirklich mehr Kontrolle
haben, weil sie haben ja nichts mehr
314
00:26:36,859 --> 00:26:41,555
davon. Also die einzigen, die Kundschaft,
die von der CWA kommt, ist dann höchstens
315
00:26:41,555 --> 00:26:45,404
die, die dann positiv testet. Aber bei den
restlichen Personen hat sie ja quasi
316
00:26:45,404 --> 00:26:49,766
keinen Einfluss mehr, weil es sind ja
anonyme Personen. Von daher klärt sich
317
00:26:49,766 --> 00:26:53,689
auch ein bisschen, warum Luca damals bei
den Gesundheitsämtern so ein bisschen gut
318
00:26:53,689 --> 00:26:59,066
ankam; teilweise, nicht bei allen. Weil
sie das Gefühl hatten, die Illusion von
319
00:26:59,066 --> 00:27:02,687
Kontrolle zu haben, weil es kamen dann
plötzlich wieder Daten raus, mit denen
320
00:27:02,687 --> 00:27:07,333
hätte man irgendwas machen können, hätte
man die denn die Zeit gehabt. Aber
321
00:27:07,333 --> 00:27:14,159
gelungener, effizienter digitaler Prozess
ist das natürlich nicht. Auch nicht so
322
00:27:14,159 --> 00:27:19,920
gelungen ist bei dem Thema Luca, das Thema
mit der Sicherheit. Wir haben jetzt... bei
323
00:27:19,920 --> 00:27:23,878
Luca wurde viel geworben mit: Wir haben ja
so alles verschlüsselt, und auch doppelt
324
00:27:23,878 --> 00:27:28,889
verschlüsselt und das ist total sicher.
Aber wir haben gelernt, dass Kryptographie
325
00:27:28,889 --> 00:27:34,216
allein keine Sicherheitsprobleme löst.
Dazu gibt es zwei Sicherheitslücken, die
326
00:27:34,216 --> 00:27:38,131
ich jetzt auch offiziell bestätigt vom
Ministerium für Soziales, Gesundheit und
327
00:27:38,131 --> 00:27:41,550
Integration des Landes Baden-Württemberg,
hier als offiziell bestätigte
328
00:27:41,550 --> 00:27:46,897
Sicherheitslücke zitieren kann. Äh, blos,
falls wieder irgendjemand das abstreiten
329
00:27:46,897 --> 00:27:52,470
sollte. Das Ausspähen von QR-Codes, QR-
Code-Schlüsselanhängern, die Möglichkeit
330
00:27:52,470 --> 00:27:56,449
des Kopieren des Codes auf die Contact
Historie des hinterlegten Codes
331
00:27:56,449 --> 00:28:01,147
zurückzugreifen. Und wir haben noch das
Thema der Code Injection beim Download von
332
00:28:01,147 --> 00:28:06,276
CSV-Dateien durch die Gesundheitsämter.
Das sind zwei Dinge, die gingen eigentlich
333
00:28:06,276 --> 00:28:10,558
komplett an dieser ganzen Verschlüsselung
vorbei. Was ist passiert? Wir haben das
334
00:28:10,558 --> 00:28:18,502
Thema LucaTrack, da war ich mit beteiligt
zusammen mit Tobias Rabenstein. Und was
335
00:28:18,502 --> 00:28:22,367
haben wir da gefunden? Bei Luca gabs so
Schlüsselanhänger, das waren so QR-Codes
336
00:28:22,367 --> 00:28:30,942
wo du dich am Luca-System einchecken
lassen hast können. War zu diesem QR-Codes
337
00:28:30,942 --> 00:28:35,473
allerdings noch einen Endpunkt angelegt,
aus dem man dann auch noch sinnloserweise
338
00:28:35,473 --> 00:28:42,519
von diesen QR-Codes dann beliebig die
Bewegungshistorie dieses QR-Codes auslesen
339
00:28:42,519 --> 00:28:46,910
konnte. Heißt: hatte man den QR-Code,
hatte man auch die gesamte
340
00:28:46,910 --> 00:28:51,380
Bewegungshistorie bei allen mehreren
1000 Schlüsselanhängern. Da bringt dir
341
00:28:51,380 --> 00:28:55,949
auch nichts mehr mit Verschlüsselung. Weil
wenn du den Schlüssel dazu auch noch mit
342
00:28:55,949 --> 00:29:03,162
dazu ablegst, ja dann kannst du dein
Krypto-Konzept auch knicken. Ebenso
343
00:29:03,162 --> 00:29:07,627
knicken kannst du dein Krypto-Konzept wenn
du auf die Idee kommst. Hmm, also
344
00:29:07,627 --> 00:29:13,189
angenommen ich schiebe jetzt in dieses
Luca so Code rein, der vielleicht mit CSV
345
00:29:13,189 --> 00:29:16,954
versucht, Dinge zu erzeugen, also zum
Beispiel in Excel eine Formel aufzulösen.
346
00:29:16,954 --> 00:29:23,516
Krieg ich das dann eigentlich durch? Ja,
das ist damals passiert, als Markus Mengs
347
00:29:23,516 --> 00:29:30,395
dieses Thema mit der CSV-Injection bei
Luca vorgeführt hat. Wir haben Schadcode
348
00:29:30,395 --> 00:29:37,363
in Excel, schreiben ihn in Luca in z.B.
ein Kontaktdatenfeld. Wir nehmen mal die
349
00:29:37,363 --> 00:29:44,443
Postleitzahl weil es besonders absurd ist
und tragen dann noch ein... Wir haben
350
00:29:44,443 --> 00:29:48,330
jetzt natürlich nicht direkt die Formel
eingetragen. Sondern wir tragen da so ein
351
00:29:48,330 --> 00:29:52,239
Komma ein und machen dann noch ne Formel
danach. Das war auch der ganze Witz bei
352
00:29:52,239 --> 00:29:56,600
der Nummer. Und dann kriegen wir das
Gesundheitsamt dazu, dass sie diese Daten
353
00:29:56,600 --> 00:30:00,348
öffnen. Ja, sie müssen die wahrscheinlich
auch öffnen, weil sie wollen ne
354
00:30:00,348 --> 00:30:04,527
Kontaktnachverfolgung machen. Also müssen
Sie mit diesen Daten arbeiten. Machen
355
00:30:04,527 --> 00:30:11,833
diese Daten in Excel auf und tada!
Theoretisch könnte man eine Ransomware auf
356
00:30:11,833 --> 00:30:19,479
ein Gesundheitsamt fahren. Das ist vom BSI
auch als plausibel bezeichnet worden. Man
357
00:30:19,479 --> 00:30:23,061
muss es schon weit treiben, aber es ist
durchaus plausibel. Und da bringt
358
00:30:23,061 --> 00:30:26,807
natürlich auch nichts, wenn du ein Krypto-
Konzept hast. Wenn du als Krypto ein
359
00:30:26,807 --> 00:30:30,230
Konzept, wenn dem Krypto-Konzept
vollkommen egal ist, was denn da
360
00:30:30,230 --> 00:30:34,119
eigentlich an Daten durch die Gegend
geschoben wird. Wir lernen: Kryptographie
361
00:30:34,119 --> 00:30:40,649
ist toll, aber es ersetzt natürlich keine
anderen Sicherheitskonzepte und sonstigen
362
00:30:40,649 --> 00:30:44,647
Sicherheitsmaßnahmen, die man eigentlich
sinnvollerweise tun sollte, bevor man
363
00:30:44,647 --> 00:30:48,550
möglicherweise irgendein Krypto-Konzept
über irgendwas drüber packt und sich sagt:
364
00:30:48,550 --> 00:30:53,340
Ja, toll, ist jetzt sicher wegen Krypto.
Das ist das nämlich seltenst, sondern eher
365
00:30:53,340 --> 00:31:04,571
so ein Add-On. So. Was ich bei Luca auch
so ein bisschen durchgezogen hat durch das
366
00:31:04,571 --> 00:31:09,518
Szenario ist so ein Phänomen, was ich mir
als Digital-Savior-Phänom bezeichnen
367
00:31:09,518 --> 00:31:14,581
würde. Es gibt Menschen, die sagen ich
kann doch hier Digitaltechnik. Ich kann
368
00:31:14,581 --> 00:31:19,196
Software. Damit kann ich jetzt alle
Probleme der Welt lösen. Das ist meistens
369
00:31:19,196 --> 00:31:26,059
Unsinn. Denn Digital Saviors können allein
keine Probleme lösen. Dazu folgendes,
370
00:31:26,059 --> 00:31:32,185
folgende Episode aus meinem Alltag. Ich
hatte im März 2021 die Gelegenheit,
371
00:31:32,185 --> 00:31:36,800
zusammen mit dem Gesundheitsamt am
Bodenseekreis die Luca-App zu pilotieren.
372
00:31:36,800 --> 00:31:40,566
Und wird durften die dann ein bisschen
früher ausprobieren und sollten uns dazu
373
00:31:40,566 --> 00:31:45,712
eine Meinung bilden. Und wir stellten dann
schon relativ früh fest, dass dieses Thema
374
00:31:45,712 --> 00:31:52,434
für Kontaktnachverfolgung, Masse und
Effizienz und was auch immer fachlich
375
00:31:52,434 --> 00:31:57,755
extremst ungeeignet ist. Wir haben noch
ein paar Bugs, ein paar Features, Feature-
376
00:31:57,755 --> 00:32:02,654
Requests, ein sonstige Dinge dem guten
Hersteller auch mitgeteilt. Die meisten
377
00:32:02,654 --> 00:32:07,892
Dinge davon hat er inzwischen davon auch
mal erledigt. Aber er hat durchaus relativ
378
00:32:07,892 --> 00:32:14,759
viel Produktentwicklung Know-How
auch aus Gesundheitsämtern bekommen. Ja,
379
00:32:14,759 --> 00:32:18,464
aber dieses Luca war halt nicht so
wirklich der Weisheit letzter Schluss und
380
00:32:18,464 --> 00:32:23,378
auch nicht so wirklich der große Bringer.
Das war wie gesagt im März 2021 schon,
381
00:32:23,378 --> 00:32:31,249
wurde schon fachlich festgestellt, unter
Mithilfe meiner Person. Das ist auch
382
00:32:31,249 --> 00:32:38,834
zitiert in der ZEIT in diesem wunderbaren
Artikel von Eva Wolfangel. Und was in
383
00:32:38,834 --> 00:32:43,419
diesem Artikel auch aufkam neben diesem
Problem, dass es fachlich einfach Luca das
384
00:32:43,419 --> 00:32:52,279
Produkt relativ ja an der Realität vorbei
entwickelt wurde und es natürlich auch
385
00:32:52,279 --> 00:32:56,315
nicht die Rolle des Gesundheitsamtes ist,
Entwicklungshilfe für private Betreiber zu
386
00:32:56,315 --> 00:33:00,321
leisten, kam natürlich auch noch auf,
dass Gesundheitsämter natürlich diese
387
00:33:00,321 --> 00:33:04,049
Software auch nicht auditieren können.
Weil ein Gesundheitsamt ist eigentlich
388
00:33:04,049 --> 00:33:08,011
nicht in der Lage so ein Audit bei
einzelnen Anbietern zu machen. Dass ich
389
00:33:08,011 --> 00:33:12,357
das dann noch in meiner Freizeit gemacht
habe, ist eine relativ lustige Episode,
390
00:33:12,357 --> 00:33:16,033
weil ich ja einerseits das Thema Luca
fachlich schon mal mit betreut hatte und
391
00:33:16,033 --> 00:33:19,600
dann halt noch... Ja, man möchte natürlich
auch wissen, wie so was technisch
392
00:33:19,600 --> 00:33:25,399
funktioniert als, als gute Nerdin.
Deswegen, habe ich das noch ein bisschen
393
00:33:25,399 --> 00:33:29,061
nebenher angeguckt, wie jetzt, was so die
Technik dahinter ist. Nachdem wir ja
394
00:33:29,061 --> 00:33:32,449
festgestellt haben, dass die fachliche
Thematik ja nicht so wirklich gut
395
00:33:32,449 --> 00:33:37,777
abgedeckt wurde. Und ja, wir merken bei
diesem Thema Luca auch immer wieder, dass
396
00:33:37,777 --> 00:33:44,255
es ... Es gibt so Menschen, die sagen: Ich
löse mit digitalen Tools Probleme. Die
397
00:33:44,255 --> 00:33:48,066
sind aber meistens fachlich sehr ignorant.
Weil sie haben ja ... verstehen ja das
398
00:33:48,066 --> 00:33:51,837
Digitale und dadurch verstehen sie auch
irgendwie die Welt. Aber sie verstehen
399
00:33:51,837 --> 00:33:55,679
meistens die fachliche Dimension nicht.
Auf der anderen Seite gibt es wiederum
400
00:33:55,679 --> 00:34:00,366
fachliche Expert.innen, die oft digital
ignorant sind. Ich kenne durchaus viele
401
00:34:00,366 --> 00:34:05,760
Fachverfahrenshersteller, die sagen: Hier
das ist ein super Fachverfahren. Auch in
402
00:34:05,760 --> 00:34:10,991
Gesundheitsämtern, auch im
Kontaktnachverfolgungskontext, auch in
403
00:34:10,991 --> 00:34:17,054
Fachverfahren für Infektionsoftware,
SORMAS. Die sind fachlich gut, aber
404
00:34:17,054 --> 00:34:21,683
meistens digital nicht so ganz ausgereift.
Wir erkennen aber, dass eigentlich
405
00:34:21,683 --> 00:34:26,630
entstehen erfolgreiche digitale
Anwendungen nur durch fachliche und
406
00:34:26,630 --> 00:34:31,094
digitale Expertise. Und, auch immer ganz
wichtig, natürlich kann man das, kann man
407
00:34:31,094 --> 00:34:35,575
so nen Experten-System bauen. Aber das
alles wird nur dann funktionieren, wenn du
408
00:34:35,575 --> 00:34:40,420
das wirklich auch nutzerzentriert baust.
Sei es für Bürger.innen oder zum Beispiel
409
00:34:40,420 --> 00:34:47,388
auch so eine B2B-Anwendung für deine, ja,
die Anwender.innen in deinen Ämtern,
410
00:34:47,388 --> 00:34:56,464
Verwaltungen oder sonstigen
Expertensystemen. So, wenn man dann jetzt
411
00:34:56,464 --> 00:35:00,878
so zu Anwendungen baut, sollte man
eigentlich erst mal anders denken. Man
412
00:35:00,878 --> 00:35:04,777
sollte nämlich zuerst in Infrastruktur
denken, in APIs, und dann in Anwendungen.
413
00:35:04,777 --> 00:35:11,477
Das ist aber so ein bisschen schwierig,
denn eigentlich wollen ja Leute Apps. Apps
414
00:35:11,477 --> 00:35:14,725
wiederum schießen aber keine
Digitalisierungslücken. Wir haben es bei
415
00:35:14,725 --> 00:35:18,210
Luca irgendwie erwähnt ja, es gibt hier
irgendwie so eine Checkin-App, die
416
00:35:18,210 --> 00:35:21,780
macht dann Check-Ins aber die löst zum
Beispiel bestimmte Probleme ja nicht,
417
00:35:21,780 --> 00:35:25,862
die sich auch vielleicht wiederholen
könnten. Also zum Beispiel das Thema "Wie
418
00:35:25,862 --> 00:35:30,341
kann ich Ende-zu-Ende-verschlüsselt Daten
an ein Amt übermitteln, wenn ich als
419
00:35:30,341 --> 00:35:34,672
Bürger.in Informationen austauschen
möchte, und zwar auf einer abstrakten
420
00:35:34,672 --> 00:35:38,270
Basis?" Ich kann natürlich jetzt sagen,
Luca kann ja jetzt Daten hin-und-
421
00:35:38,270 --> 00:35:42,812
herschieben, aber das ist ja kein offener
Standard, sondern es ist irgendwie so ein
422
00:35:42,812 --> 00:35:47,092
sehr spezielles System, das mit doppelter
Verschlüsselung arbeitet, die auch sehr
423
00:35:47,092 --> 00:35:52,036
speziell ist auf den Anwendungsfall der
Kontaktnachverfolgung. Weil es kommt
424
00:35:52,036 --> 00:35:58,698
tatsächlich echt selten vor, dass du Daten
bei einem Anbieter zwischenparkst um sie
425
00:35:58,698 --> 00:36:04,340
dann an ein Amt zu schicken. Meistens gibt
es einen direkten Austausch. Jetzt ist es
426
00:36:04,340 --> 00:36:07,384
aber so wenn man so eine
Basisinfrastruktur baut und wenn man die
427
00:36:07,384 --> 00:36:11,100
jetzt in einer Pandemie baut, dann wird
die jetzt nicht als besonders innovativ
428
00:36:11,100 --> 00:36:15,780
wahrgenommen. Aber es ist natürlich ein
Problem, wenn sie nicht vorhanden ist,
429
00:36:15,780 --> 00:36:21,962
weil sie dann durch ihr Fehlen die
digitale Innovation verhindert. So,
430
00:36:21,962 --> 00:36:26,048
idealerweise solltest du aber nicht nur
Apps erzeugen, sondern eigentlich solltest
431
00:36:26,048 --> 00:36:31,843
du für digitale Infrastruktur sorgen. Wir
haben das mal mit dem Thema IRIS versucht,
432
00:36:31,843 --> 00:36:38,117
also als Gegenentwurf zu skizzieren. Das
ist die Architektur von IRIS Connect, das
433
00:36:38,117 --> 00:36:43,090
ist ein ähnliches System wie Luca: Das
versucht auch, Gästelisten-Apps an
434
00:36:43,090 --> 00:36:48,509
Gesundheitsämter anzubinden und wir sehen
hier so ein paar Sachen. Wir haben zum
435
00:36:48,509 --> 00:36:55,384
Beispiel einen IRIS Client im
Gesundheitsamt, das ist dieses hier. Und
436
00:36:55,384 --> 00:36:59,872
dann haben wir zum Beispiel einen
zentralen Teil im System, das sind aber im
437
00:36:59,872 --> 00:37:06,245
Prinzip nur Dinge, die notwendig sind, um
Verbindungen herzustellen. Aber eigentlich
438
00:37:06,245 --> 00:37:09,674
haben wir verschiedene Clients in
jeweiligen Gesundheitsämtern. Wir haben
439
00:37:09,674 --> 00:37:13,103
eine Anbindung an entsprechende Apps, wir
haben Zertifikate, wir haben so
440
00:37:13,103 --> 00:37:17,041
Endpunktsysteme. Wir haben die
Möglichkeit, das mit und Public und
441
00:37:17,041 --> 00:37:23,252
Private Proxies an Ämter Daten übermitteln
können, sofern diese sie anfragen und wir
442
00:37:23,252 --> 00:37:29,292
haben eigentlich auf abstrakter Ebene ein
System, was einfach ein digitales
443
00:37:29,292 --> 00:37:35,575
Basisinfrastrukturproblem löst und was
dann halt noch als Nebeneffekt
444
00:37:35,575 --> 00:37:39,896
Gästelisten-Apps anbindet, was aber
eigentlich sehr viel mehr tut, weil es
445
00:37:39,896 --> 00:37:46,412
einfach eine Basisinfrastruktur darstellt.
Das kannst du nachher auch nutzen für
446
00:37:46,412 --> 00:37:49,631
andere Themen. Es müssen keine
Gästelisten-Apps sein, es können
447
00:37:49,631 --> 00:37:54,774
Trinkwasserkontrollen sein, es können was-
auch-immer sein, weil die Infrastruktur
448
00:37:54,774 --> 00:37:59,785
hast du ja. Du hast keine App gebaut,
sondern du hast eine Infrastruktur in Code
449
00:37:59,785 --> 00:38:05,119
gegossen. Und das ist wie gesagt, wir
verstehen IRIS Connect als Anbindung von
450
00:38:05,119 --> 00:38:14,642
Apps, aber auch als Basis öffentlicher
digitaler Infrastruktur. Kommen wir fast
451
00:38:14,642 --> 00:38:23,263
zum Ende zum Thema mit guten Intentionen.
Die schützen nicht vor Problemen. Wir
452
00:38:23,263 --> 00:38:32,742
hatten da im Juni diesen Jahres oder Mai
diesen Jahres eine Anfrage, die hieß:
453
00:38:32,742 --> 00:38:39,780
"Könnt ihr da mal ein Security-Audit
machen?" Es ging um ein Impfportal. Also
454
00:38:39,780 --> 00:38:44,912
"worum geht es denn?" "Ja, wir haben da so
ein paar Tausend Emails von Menschen, die
455
00:38:44,912 --> 00:38:50,170
wollen sich impfen lassen". In diesem
Moment war dann war dann eigentlich auch
456
00:38:50,170 --> 00:38:57,631
schon wieder, schlugen wir die Hände über
dem Kopf zusammen und dachten uns "Ja,
457
00:38:57,631 --> 00:39:00,951
wie, ihr sammelt hier Emails, macht
eigentlich auch noch so eine Art
458
00:39:00,951 --> 00:39:05,767
Impfregister. Habt ihr eigentlich schon
verstanden, was ihr da gerade tut? Also
459
00:39:05,767 --> 00:39:09,463
Ihr sammelt Emails, schickt denen
vielleicht noch irgendwelche Impftermine
460
00:39:09,463 --> 00:39:15,692
bei irgendwelchen Ärzten, Ärztinnen und
loggt auch noch Daten davon mit? Es ist
461
00:39:15,692 --> 00:39:19,425
schon ein Problem, was ihr da gerade
erzeugt." Das Problembewusstsein war nur
462
00:39:19,425 --> 00:39:25,087
bedingt ausgeprägt. Das Bewusstsein für
für die sonstigen Probleme bei solchen
463
00:39:25,087 --> 00:39:29,816
Architekturen war auch nur bedingt
ausgeprägt. Aber mit etwas Beratung und
464
00:39:29,816 --> 00:39:33,010
Support beim Thema Architektur und
sonstigen Dingen konnten wir dann
465
00:39:33,010 --> 00:39:39,044
tatsächlich auch dieses Rescue Project
auch noch so unterstützen, dass es auch
466
00:39:39,044 --> 00:39:44,818
noch gewisserweise retten konnten. Falls
ihr euch fragt, was das für ein Portal
467
00:39:44,818 --> 00:39:49,373
war: Das Portal nannte sich "sofort-
impfen.de". Die haben durchaus auch sehr,
468
00:39:49,373 --> 00:39:54,839
sehr viele Daten eingesammelt, haben sehr,
sehr viele Ärzte ongeboarded, haben auch
469
00:39:54,839 --> 00:39:59,452
versucht, sehr sehr viele Impfungen zu
vermitteln. Aber tatsächlich ist es auch
470
00:39:59,452 --> 00:40:05,676
so: selbst wenn du ein ein Rescue Projekt
hast und du versuchst mit irgendwie mit
471
00:40:05,676 --> 00:40:10,677
digitalen Kenntnissen Probleme in der Welt
zu verbessern, musst du dir auch gewahr
472
00:40:10,677 --> 00:40:15,294
sein, dass du deine guten Intentionen auch
auch Nebenwirkungen haben können. Im
473
00:40:15,294 --> 00:40:18,970
Bereich Datenschutz, im Bereich IT-
Sicherheit, im Bereich Liability, im
474
00:40:18,970 --> 00:40:22,832
Bereich sonst irgendwie. Es ist nicht
immer nur an Rescue Project, sondern es
475
00:40:22,832 --> 00:40:27,297
ist auch immer Verantwortung, die du
übernimmst; dem solltest du dir immer
476
00:40:27,297 --> 00:40:36,100
gewahr sein. So als Erkenntnis von sofort-
impfen.de. Was mich zu der letzten Folie
477
00:40:36,100 --> 00:40:42,499
führt, zur letzten These: Es gibt immer so
ein bisschen Frust über den kaputten Stand
478
00:40:42,499 --> 00:40:46,415
der Digitalisierung. Es ist vollkommen
fein, diesen Frust zu nehmen und zu sagen
479
00:40:46,415 --> 00:40:52,060
"Lass es uns besser machen". Nimm deinen
Frust, mach's besser, und das ist jetzt
480
00:40:52,060 --> 00:40:58,139
auch das Ende meines Vortrags und ich
würde mich dann Fragen stellen.
481
00:41:00,844 --> 00:41:06,131
Herald: Ja, danke Bianca für diesen
aufschlussreichen Vortrag. Falls ihr jetzt
482
00:41:06,131 --> 00:41:11,138
noch Fragen habt, könnt ihr die gerne auf
Twitter oder Mastodon unter dem Hashtag
483
00:41:11,138 --> 00:41:20,862
#rc3cwtv, also chaos west stage TV,
stellen und dann können mir Sie auch jetzt
484
00:41:20,862 --> 00:41:29,749
gleich im Anschluss beantworten. Die erste
Frage wäre: Wie stehen die Chancen, dass
485
00:41:29,749 --> 00:41:35,819
andere Verwaltungen, Organisationen,
Bürgeramt, diesem Beispiel folgen in der
486
00:41:35,819 --> 00:41:43,145
Digitalisierung? Insbesondere: Gibt es
Kontakte zu ITDZ, also in Berlin, oder
487
00:41:43,145 --> 00:41:47,814
wollen die alles alleine machen?
Bianca Kastl: Grundsätzlich sind die
488
00:41:47,814 --> 00:41:51,622
Chancen, dass Best Practices abgeguckt
werden, eigentlich grundsätzlich gut. Aber
489
00:41:51,622 --> 00:41:55,140
man muss vielleicht auch ein bisschen
gucken, was war davon jetzt besonders
490
00:41:55,140 --> 00:41:58,950
pandemiegetrieben und was war ein bisschen
improvisiert? Was hätte man vielleicht
491
00:41:58,950 --> 00:42:02,910
unter anderen Voraussetzungen ein bisschen
anders gemacht? Aber ich denke, man hat
492
00:42:02,910 --> 00:42:07,730
zumindest mal verstanden, dass man sowas
tatsächlich auch agil machen kann. Es
493
00:42:07,730 --> 00:42:11,483
kommt aber, glaube ich, immer so ein
bisschen auf die jeweilige Kommune an, das
494
00:42:11,483 --> 00:42:15,644
jeweilige Ministerium, ob geht es
tatsächlich auch wirklich alle wollen. Und
495
00:42:15,644 --> 00:42:19,780
in der Pandemie wollten es alle, deswegen
hat es ganz gut funktioniert.
496
00:42:22,251 --> 00:42:28,760
H: Wie ist es mit Open Data? Im Grunde
sind die Daten ja wohl auch
497
00:42:28,760 --> 00:42:35,000
veröffentlichbar. Journalist.innen würden
sich auch dafür interessieren. Und es gab
498
00:42:35,000 --> 00:42:40,930
da auch mal Beschwerden, weil das RKI dann
ein Format mal unangekündigt am Wochenende
499
00:42:40,930 --> 00:42:45,137
änderte.
B.K.: Also grundsätzlich können alle diese
500
00:42:45,137 --> 00:42:49,104
Daten, die Gesundheitsämter, rausgeben
oder sie auch übermitteln. Die haben ja
501
00:42:49,104 --> 00:42:52,921
irgendwann dann auch keinen Personenbezug
mehr. Das heißt, man könnte theoretisch
502
00:42:52,921 --> 00:42:56,440
auch in Richtung Open Data gehen. Es gibt
auch Kommunen, die machen das zum
503
00:42:56,440 --> 00:42:59,940
Beispiel, dass sie zumindest ihre
Tagesfallzahlendaten und sonstige Daten
504
00:42:59,940 --> 00:43:03,870
auch irgendwie als CSV zur Verfügung
stellen. Es gibt jetzt allerdings nicht so
505
00:43:03,870 --> 00:43:08,722
eine hübsche REST-API, in der man
irgendwie Open Data ausliefern könnte. Das
506
00:43:08,722 --> 00:43:12,222
hat z.B. auch SORMAS nicht, SORMAS es ist
eher mal so gedacht als internes
507
00:43:12,222 --> 00:43:17,890
Fachsystem, was dann halt bei Bedarf Daten
exportiert. Aber die sind nicht so ganz im
508
00:43:17,890 --> 00:43:23,376
API-Zeitalter angekommen, dass man das
sinnvoll mit Open Data integrieren könnte,
509
00:43:23,376 --> 00:43:28,421
leider.
H: Kannst du eine Einordnung geben, ob ein
510
00:43:28,421 --> 00:43:32,597
Impfregister mit der aktuellen Datenlage
machbar ist?
511
00:43:32,597 --> 00:43:37,834
B.K.: Also rein fachlich gesehen ist es
so, dass viele Gesundheitsämter aktuell
512
00:43:37,834 --> 00:43:41,815
ein bisschen das Problem haben, dass sie,
wenn jetzt jemand natürlich sagt, er ist
513
00:43:41,815 --> 00:43:46,028
geimpft, weil er der Quarantäne entgehen
will, dann ist die Nachweisbarkeit relativ
514
00:43:46,028 --> 00:43:49,744
schwierig, weil eigentlich - es gibt
keinen keinen sinnvollen Weg, diese Daten
515
00:43:49,744 --> 00:43:53,585
sicher zu ermitteln. Also verschlüsselte
E-Mails sind in den Gesundheitsämtern
516
00:43:53,585 --> 00:44:00,328
nicht verfügbar, Fax ist auch nichts. Und
oftmals greift man halt dann Daten per
517
00:44:00,328 --> 00:44:04,429
Telefon ab, Chargennummern oder sonstige
Dinge, um zumindest zu verifizieren, ob
518
00:44:04,429 --> 00:44:10,462
diese Impfung sinnvoll ist. Das wäre von
dem Aufbau eines solchen Registers ein
519
00:44:10,462 --> 00:44:15,481
ziemlich umständlicher Weg. Das wäre
einfach händisches Nacharbeiten. Wenn man
520
00:44:15,481 --> 00:44:19,368
so ein Register aufbauen wollen würde -das
ist aber wirklich nur die theoretische
521
00:44:19,368 --> 00:44:23,763
Möglichkeit, ich persönlich habe da
Zweifel - würde man das wahrscheinlich bei
522
00:44:23,763 --> 00:44:32,331
irgendeiner größeren Aktion machen, die eh
stattfindet, sei es irgendwelche
523
00:44:32,331 --> 00:44:37,136
Auffrischimpfung, sonstige Dinge, das wäre
wahrscheinlich einfacher, so was zu tun.
524
00:44:38,125 --> 00:44:43,070
H: Wenn du als Spezialistin ein Problem
bearbeitest und dir Informationen fehlen,
525
00:44:43,070 --> 00:44:47,704
wo wirst du außerhalb deines eigenes
Landkreises oder Bundeslandes zuerst
526
00:44:47,704 --> 00:44:51,160
fündig? Beim Bund oder in einem anderen
Bundesland?
527
00:44:51,160 --> 00:44:59,065
B.K.: Das ist ein bisschen schwierig, da
die Informationen zu finden. Es gibt so
528
00:44:59,065 --> 00:45:03,035
diese Bundesregularien, die man beim Bund
relativ gut findet, wenn sie für den Bund
529
00:45:03,035 --> 00:45:06,957
gelten. Es gibt natürlich auch immer diese
ganzen Landesnummern. Also das, was ich
530
00:45:06,957 --> 00:45:10,582
mit Ordnungsämter und Ortspolizeibehörden
erklärt hatte, das war so in Baden-
531
00:45:10,582 --> 00:45:14,387
Württemberg-Sondernummer, die musst du
dann immer beim Land finden, weil das Land
532
00:45:14,387 --> 00:45:18,170
hat eine Abweichung von dem was im Bund
gilt. Und auch bei allem, was mit Corona
533
00:45:18,170 --> 00:45:22,394
zu tun hat, gab es immer die Corona-
Landesverordnungen, im Vergleich zum Bund.
534
00:45:22,394 --> 00:45:26,027
Also es ist eigentlich immer: erst beim
Land gucken, und dann gucken ob es
535
00:45:26,027 --> 00:45:29,459
vielleicht noch eine Bundesverordnung
gibt, die dann irgendwie dem noch
536
00:45:29,459 --> 00:45:33,192
entgegensteht. Aber meistens ist es das
Land, tatsächlich.
537
00:45:33,830 --> 00:45:39,890
H: Zum Thema Land und Bund: Gefühlt will
da gerade keiner seine Zuständigkeit
538
00:45:39,890 --> 00:45:44,895
abgeben. Wenn zum Beispiel auf Ebene des
Bundeslandes ist, führt es dazu, dass
539
00:45:44,895 --> 00:45:49,653
jedes Bundesland sein eigenes Süppchen
kocht, weil sich die nicht auf etwas
540
00:45:49,653 --> 00:45:55,300
einigen können oder wollen. Irgendwelche
Ideen, wie man diesen gordischen Knoten
541
00:45:55,300 --> 00:46:00,064
durchschlagen kann? Hilft ja nichts, wenn
jeder das Rad neu erfindet und dann nichts
542
00:46:00,064 --> 00:46:04,306
zusammenpasst.
B.K.: Es ist ein bisschen doof, dass man
543
00:46:04,306 --> 00:46:07,868
jetzt im SORMAS als Negativbeispiel für so
was bringen muss, weil es war ja
544
00:46:07,868 --> 00:46:11,746
tatsächlich die Bundeslösung, zu sagen:
"Wir haben eine Bundes-Investitionsschutz-
545
00:46:11,746 --> 00:46:15,660
Anwendung", die dann aber nicht wirklich
funktioniert hat. Ich glaube, man kann den
546
00:46:15,660 --> 00:46:19,230
Leuten schon beibringen, dass ein
Austausch von Daten über Bundeslandgrenzen
547
00:46:19,230 --> 00:46:22,699
hinweg, speziell auch zum Beispiel
Investitionsschutz, eine sinnvolle Idee
548
00:46:22,699 --> 00:46:28,900
ist. Man muss aber Leute tatsächlich auch
immer so ein bisschen da abholen, wo sie
549
00:46:28,900 --> 00:46:32,347
sagen können: Okay, hier ist eine
Grundsoftware, die könnt ihr aber noch
550
00:46:32,347 --> 00:46:37,033
nach euren Landesspezifika und sonstigen
Dingen noch ein bisschen anpassen. Weil
551
00:46:37,033 --> 00:46:42,204
irgendwie brauchen das so Länderfürsten,
das irgendwie noch ihre Spezialitäten in
552
00:46:42,204 --> 00:46:49,468
der Software drin haben, weil sie einfach
das Bundesland sowieso sind. Und im Sinne
553
00:46:49,468 --> 00:46:53,993
von von leicht anpassbarer Software,
leicht anpassbaren Standards, kriegt man
554
00:46:53,993 --> 00:46:58,736
das hin. Man sollte aber nicht davon
ausgehen, dass man oben Software reinwirft
555
00:46:58,736 --> 00:47:02,404
und dass die dann für alle super
funktionieren wird; das geht leider nicht.
556
00:47:02,740 --> 00:47:07,521
H: Die nächste Frage wäre Ist die Luca-App
aus deiner Sicht jetzt tot?
557
00:47:07,521 --> 00:47:15,163
B.K.: Technologisch ja und von der Wirkung
einer Pandemie auch, weil es gibt de
558
00:47:15,163 --> 00:47:18,987
facto, wenn in Gesundheitsämtern keiner
mehr dazu kommt, die Luka-App auszulösen,
559
00:47:18,987 --> 00:47:22,510
Daten abzufragen, passiert auch nichts.
Das heißt, eigentlich ist jetzt die
560
00:47:22,510 --> 00:47:26,470
Arbeitslast so hoch, dass man sagen kann,
sie hat keine Wirkung mehr. Und das hatten
561
00:47:26,470 --> 00:47:30,232
wir eigentlich auch schon zu Beginn dieser
Pandemie gesagt. Dass wir das relativ
562
00:47:30,232 --> 00:47:33,940
selten nutzen werden. Man hat es uns dann
nicht geglaubt, hat erst mal ein paar
563
00:47:33,940 --> 00:47:37,610
Monate ein paar Millionen ausgegeben. Was
schade ist, aber irgendwie lernt man
564
00:47:37,610 --> 00:47:43,294
glaube ich nur doch durch
Geldverschwendung. Ansonsten, ich wüsste
565
00:47:43,294 --> 00:47:47,362
jetzt nicht, was die noch für einen Nutzen
haben soll, speziell mit Fallzahlen, wie
566
00:47:47,362 --> 00:47:50,050
sie vielleicht mit Omikron passieren
könnten.
567
00:47:50,907 --> 00:47:55,300
H: Was war denn das wichtigste
Kommunikationsmittel? GitLab?
568
00:47:55,300 --> 00:48:01,940
B.K.: In der Kommunikation mit, wie wir
agil entwickelt haben, tatsächlich Gitlab,
569
00:48:01,940 --> 00:48:06,902
GitHub, je nachdem, in welchen Projekten
das war. Und was tatsächlich auch
570
00:48:06,902 --> 00:48:10,550
spannend war, in der Verwaltung gibt es
auch so Tendenzen, dass Menschen auch
571
00:48:10,550 --> 00:48:15,179
beginnen zu chatten und zwar tatsächlich
über die VoIP-Anlage. Klingt komisch, aber
572
00:48:15,179 --> 00:48:18,796
wenn das VoIP-Programm auch noch chatten
kann, ist es für Leute tatsächlich
573
00:48:18,796 --> 00:48:21,998
schneller als eine Email zu schreiben. Das
hat es auch gegeben.
574
00:48:22,857 --> 00:48:27,520
H: Macht für dich Infektionsschutz auf
Landesebene Sinn?
575
00:48:27,520 --> 00:48:33,177
B.K.: Ich glaube, Infektionsschutz auf
Landes- oder dezentraler Ebene ist schon
576
00:48:33,177 --> 00:48:37,107
sinnvoll, weil, man muss tatsächlich auch
an den Menschen nah dran sein. Es gibt da
577
00:48:37,107 --> 00:48:40,813
Spezifika, die man glaube ich auch nur
rausfindet in irgendwelchen
578
00:48:40,813 --> 00:48:45,389
Datenzusammenhängen, die man nur kennt,
wenn man Ortskenntnis hat. Ob man jetzt in
579
00:48:45,389 --> 00:48:49,428
jedem Land noch eigene Coronaverordnungen
oder sonstige Dinge braucht, bin ich mir
580
00:48:49,428 --> 00:48:53,486
jetzt unsicher, würde ich mal eher sagen:
Nein. Aber ich glaube, dass man das auch
581
00:48:53,486 --> 00:48:58,321
sehr lokal - Zumindest in der Ausführung
ist es glaube ich wichtig, bei den
582
00:48:58,321 --> 00:49:02,669
gesetzlichen Regularien, kann man durchaus
auch eher eine Vereinheitlichung
583
00:49:02,669 --> 00:49:06,501
anstreben, weil das vielleicht dann doch
irgendwie ein bisschen einfacher zu
584
00:49:06,501 --> 00:49:12,174
handhaben ist in ganz Deutschland.
H: Du hast von der Einbindung von
585
00:49:12,174 --> 00:49:17,366
Gemeinden, Ordnungsämtern mit 2-Faktor-
Authentifizierung gesprochen. Wie lief das
586
00:49:17,366 --> 00:49:22,356
denn? Die fragenstellende Person kann sich
das nicht mit ausreichendem Datenschutz
587
00:49:22,356 --> 00:49:25,313
vorstellen.
B.K.: Ja, das ist eine Baden-Würtemberg-
588
00:49:25,313 --> 00:49:29,959
Sondernummer. Normalerweise ist es so,
dass die Gesundheitsämter auch diese
589
00:49:29,959 --> 00:49:34,806
Aufgaben in Union ausführen, also quasi
die Ortspolizeibehörden sind quasi die,
590
00:49:34,806 --> 00:49:39,820
die die Quarantäne auch überwachen. Und
das wird ja in dem Fall - in Baden-
591
00:49:39,820 --> 00:49:43,422
Württember ist es so: die Polizeibehörde
überwacht quasi die Quarantäne und
592
00:49:43,422 --> 00:49:49,701
übermittelt auch auch die Unterlagen dazu.
Dafür gibt es in Baden-Württemberg auch
593
00:49:49,701 --> 00:49:53,583
eins mit der Datenschutzbehörde
abgestimmtes Tool dazu. Das hat auch
594
00:49:53,583 --> 00:49:58,770
seinen rechtlichen Rahmen und es wurde mit
dem Datenschutz auch abgestimmt. Auch der
595
00:49:58,770 --> 00:50:02,780
Kommunikationsweg ist abgestimmt und so
weiter. Das ist aber tatsächlich eine
596
00:50:02,780 --> 00:50:06,148
Baden-Württemberg-Spezialität.
Normalerweise läuft es zentral über das
597
00:50:06,148 --> 00:50:11,390
Gesundheitsamt des jeweiligen Kreises.
H: Da interessiert sich noch wer dafür -
598
00:50:11,390 --> 00:50:16,690
Die Frage ist: "Ich wüsste gerne mal, wie
die Corona-Warn-App die Daten der
599
00:50:16,690 --> 00:50:20,826
Impfzertifikate ablegt. Sind die gegen
Zugriff durch andere Apps vernünftig
600
00:50:20,826 --> 00:50:24,667
gesichert?
B.K.: Ja, das ist ein ganz tolles Thema,
601
00:50:24,667 --> 00:50:28,385
weil das hat sich jetzt nämlich gerade
verändert. Normalerweise ist es so, dass
602
00:50:28,385 --> 00:50:32,214
die Corona-Warn-App tatsächlich die Daten
sinnvollerweise auch nur auf dem Device
603
00:50:32,214 --> 00:50:37,270
speichert und Zugriff durch die anderen
Apps ist meines Wissens nicht möglich. Nun
604
00:50:37,270 --> 00:50:41,840
hat die Corona-Warn-App mit Version 2.15
noch ein Update rausgebracht, in der es
605
00:50:41,840 --> 00:50:45,828
dann möglich ist, mit Ticket-Buchungen
online das Impfzertifikat zur Prüfung an
606
00:50:45,828 --> 00:50:49,738
einen Prüfprovider zu übermitteln, in dem
Fall die Telekom - da hat auch Lilith in
607
00:50:49,738 --> 00:50:54,744
der Keynote davon gesprochen. Das heißt,
aktuell kann ich nicht abschließend sagen,
608
00:50:54,744 --> 00:50:58,575
dass es sicher ist, weil es gibt diese
Funktion, dass Impfzertifikate an Online-
609
00:50:58,575 --> 00:51:02,822
Prüfprovider übermittelt werden, die sie
dann an ein Ticket-Provider weiterleiten
610
00:51:02,822 --> 00:51:06,501
kann und sagen kann: "guck mal hier, ist
geprüft", aber ich kann im aktuellen
611
00:51:06,501 --> 00:51:11,616
Zustand nicht sagen, dass das vollständig
sicher ist, weil es gibt diese Möglichkeit
612
00:51:11,616 --> 00:51:18,896
zur Ausleitung an diese Prüfprovider.
H: Schade. Weiß man ob Bundesländer schon
613
00:51:18,896 --> 00:51:24,670
ihre Luca-Lizenzen verlängert haben oder
ob die das alle auslaufen lassen?
614
00:51:24,670 --> 00:51:28,636
B.K.: Also gibt es zum Beispiel, in Baden-
Württemberg - da weiß ich es relativ gut,
615
00:51:28,636 --> 00:51:32,540
weil ich sitze hier in Stuttgart - da gibt
es die Option, dass diese Lucageschichte
616
00:51:32,540 --> 00:51:35,981
auf zwei Jahre läuft. Und wenn das Land
jetzt nicht kündigt, wird es sich
617
00:51:35,981 --> 00:51:40,610
verlängern und es ist, glaube ich, in den
meisten Bundesländern so. Es gibt durchaus
618
00:51:40,610 --> 00:51:44,796
Bundesländer, die haben jetzt auch von den
Regularien umgestellt darauf, dass auch
619
00:51:44,796 --> 00:51:49,219
die Corona-Warn-App möglich ist, zum
Beispiel Baden-Württemberg oder auch
620
00:51:49,219 --> 00:51:54,063
Brandenburg oder Bremen. Da deutet sich
an, dass zumindest eine Verlängerung nicht
621
00:51:54,063 --> 00:51:58,832
angestrebt wird. Es gibt aber
Bundesländer, in denen wird das vielleicht
622
00:51:58,832 --> 00:52:02,919
unter Umständen weiter gehen. Aber das
wird sich, glaube ich, erst dann so Anfang
623
00:52:02,919 --> 00:52:09,380
des Jahres bis zum April zeigen, wenn die
Verträge dann tatsächlich auslaufen.
624
00:52:09,380 --> 00:52:15,580
H: Haben die Gesundheitsämter aus deiner
Sicht etwas gelernt und sind auf künftige
625
00:52:15,580 --> 00:52:20,760
Pandemien besser vorbereitet? Und ich
würde gern noch anhängen: Kann man
626
00:52:20,760 --> 00:52:24,860
vielleicht aus diesem Prozess sogar auf
andere Behörden schließen und die besser
627
00:52:24,860 --> 00:52:28,349
in der Digitalisierung mitnehmen?
B.K.:Also ich glaube, Gesundheitsämter,
628
00:52:28,349 --> 00:52:31,599
oder Behörden generell, haben verstanden,
dass Digitalisierung tatsächlich auch
629
00:52:31,599 --> 00:52:34,060
etwas nutzen kann. Das ist, weil ich
glaube, früher gab es eine so eine
630
00:52:34,060 --> 00:52:36,660
Geschichte, man wird jetzt nicht in eine
Situation kommen, wo man dann plötzlich
631
00:52:36,660 --> 00:52:41,260
irgendwie vernetzte, dezentrale
Remoteoffices braucht und so weiter, wo es
632
00:52:41,260 --> 00:52:44,342
total sinnvoll wäre. Die haben schon
verstanden, dass das mit der
633
00:52:44,342 --> 00:52:48,110
Digitalisierung jetzt nicht so komplett
falsch ist, dass es sie auch nutzen kann
634
00:52:48,110 --> 00:52:53,237
und dass man es auch zu seinem Vorteil
nutzen kann. Das Problem, was man
635
00:52:53,237 --> 00:52:56,810
natürlich hat, ist, dass man jetzt aber
nicht von null auf hundert irgendwie
636
00:52:56,810 --> 00:53:01,388
plötzlich dann hundert Digitalexpert.innen
im Amt hat, sondern man muss immer nach
637
00:53:01,388 --> 00:53:05,391
den gleichen Ressourcen arbeiten, die man
hat: Es ist zu wenig Personal, das
638
00:53:05,391 --> 00:53:10,725
Personal ist schlecht bezahlt, es fehlt an
Kompetenz, es fehlt an Fortbildungen, es
639
00:53:10,725 --> 00:53:16,010
fehlt an vielen Dingen. Um da einen
wirklichen Wandel auszulösen, müsste man
640
00:53:16,010 --> 00:53:22,547
mehr tun um dieses
Digitalisierungs-Flow, den man in der
641
00:53:22,547 --> 00:53:28,877
Pandemie gelernt hat, in die
nachpandemische Zeit zu überführen. Also
642
00:53:28,877 --> 00:53:32,821
ich glaube, in Gesundheitsämtern hat man
das erkannt, aber ich glaube da scheitert
643
00:53:32,821 --> 00:53:36,579
es an den Ressourcen. In anderen Ämtern
hat man es vielleicht auch erkannt, dass
644
00:53:36,579 --> 00:53:39,802
es schon ganz gut wäre, wenn man
vielleicht auch mal Homeoffice oder
645
00:53:39,802 --> 00:53:43,650
sonstwas machen könnte und so weiter und
wenn man das mit diesen Portalen ganz gut
646
00:53:43,650 --> 00:53:47,270
funktionieren würde. Aber da gibt es ein
Resourcenproblem und ich glaube, den
647
00:53:47,270 --> 00:53:51,260
Spirit kann man mitnehmen, aber es hängt
an vielen Ressourcen, die einfach -
648
00:53:51,260 --> 00:53:54,630
teilweise ist dieser Ressourcenmangel auch
hausgemacht.
649
00:53:54,630 --> 00:54:00,290
H: Du sprichst öfter von wir. Mit wem
arbeitest du denn zusammen?
650
00:54:00,290 --> 00:54:04,040
B.K.: Ja, es ist ein bisschen kompliziert,
das in diesem Talk ausführlich zu
651
00:54:04,040 --> 00:54:09,196
erklären. Im Prinzip ist es so: Dieser
Talk ist eigentlich zweigeteilt. Ich habe
652
00:54:09,196 --> 00:54:13,301
dieses Thema mit der Kontaktnachverfolgung
im Bodenseekreis gemacht mit meiner Firma
653
00:54:13,301 --> 00:54:18,327
damals in Stuttgart, das ist die Firma
cron. Das Thema IRIS ist zusammen mit dem
654
00:54:18,327 --> 00:54:22,790
InÖG entwickelt worden und der Björn-
Steiger-Stiftung und das Thema mit den
655
00:54:22,790 --> 00:54:27,353
Securitysachen mit Leuten zusammen, wie
man das halt so macht.
656
00:54:27,941 --> 00:54:35,806
H: Cool. Das war auch schon die letzte
Frage. Danke Bianca für deinen Einsatz und
657
00:54:35,806 --> 00:54:41,220
dass du dich auch in deiner Freizeit so
viel mit solchen Dingen beschäftigst, die
658
00:54:41,220 --> 00:54:49,231
uns alle beschäftigen. Das war auch hier
auf der chaos-west- stage schon der letzte
659
00:54:49,231 --> 00:54:54,970
Tag für heute und ich wünsche euch allen
noch einen vergnüglichen rC3.
660
00:54:54,970 --> 00:55:05,450
Abspannmusik
661
00:55:05,450 --> 00:55:20,000
Untertitel erstellt von c3subtitles.de
im Jahr 2021. Mach mit und hilf uns!