-
35c3 Vorspannmusik
-
Herald: Er beschreibt sich selber als
integrierter Bürger mit Kenntnissen in
-
grafischer Datenverarbeitung und IT-
Sicherheit. Er wird euch jetzt mal sagen,
-
warum all your Gesundheitsdaten not belong
to you.
-
Applaus
Martin Tschirsich: Herzlichen Dank, dass
-
so viele zu abendlicher Stunde hier sind.
Es geht um "All Your Gesundheitsdaten Are
-
Belong To Us". Sicherer als Onlinebanking,
haben sie gesagt. Das wollen wir jetzt mal
-
schauen, ob das so stimmt. Vivy – davon
haben vielleicht einige von euch schon
-
gehört. Vivy ist angetreten vor einigen
Monaten als elektronische Gesundheitsakte.
-
In Vivy, eine App, kann man Röntgenbilder
austauschen, man kann seinen Impfpass
-
führen, man kann seine Medikamente dort
hinterlegen. Alles rund um die Gesundheit
-
kann man mit Vivy machen und insbesondere
man kann seine Dokumente an seinen Arzt
-
schicken. Der Arzt kann Befunde dort
hinterlegen, Diagnosen hineinschreiben und
-
so weiter. Hier sehen wir drei Bildschirme
von Vivi. So sieht das aus, eine App für
-
iOS, Android und Vivy wurde am 17.09.
veröffentlicht. Gar nicht so alt. Hat ein
-
großes Medienecho in der Tagespresse
erzeugt. Und das liegt daran, dass Vivy
-
die erste App ist, die von so vielen
privaten und gesetzlichen Krankenkassen
-
gleichzeitig finanziert wird. Das heißt,
da stehen für 13 Millionen – inzwischen
-
deutlich mehr – Versicherte die
Krankenkassen dahinter und bezahlen diese
-
Anwendung. Kostet normalerweise so um die
fünf Euro im Monat. Das übernehmen die
-
Krankenkassen, damit ihr diese App nutzen
könnt. Ein Tag nach dem Release von Vivy
-
gab es wieder ein Medienecho, diesmal
anderer Art: Datenschutzmängel. Ein Herr
-
Kuketz hat Vivy angeschaut und gesehen:
Vivy überträgt Telemetriedaten, also
-
wertet das Benutzerverhalten aus und
schickt die Daten an verschiedene Server
-
in den USA, Singapur und so weiter. Das
passt nicht zu so einer Gesundheits-App.
-
Besonders eine, die von unseren ganzen
Krankenkassen finanziert wird. Und das war
-
der Aufhänger. Da habe ich mir Vivy
heruntergeladen. Da habe ich gedacht:
-
Jetzt wird's interessant. Und habs mir mal
angeschaut. Das war das Resultat. Mehr als
-
einen Monat später gab es dann nochmal ein
Medienecho, auch noch Mal zum Thema Vivy:
-
Diesmal Sicherheitsmängel. Es hieß dann
Patientendaten in Gefahr. Vivy –
-
gravierende Sicherheitsmängel in
Krankenkassen-App. Und das Ganze habe ich
-
dann zusammen mit Thorsten Schröder
veröffentlicht in einem Bericht. Ich will
-
mal kurz vorstellen, was denn bei Vivy so
alles schief gegangen ist. Also, Vivy
-
dient hauptsächlich dem Austausch von
Dokumenten zwischen dem Patienten und dem
-
Arzt. Das heißt, der Patient hat sein
Smartphone, hat da verschiedene
-
Röntgenbilder, Diagnosen, Berichte und
möchte die seinem neuen Arzt senden. Das
-
geht über die Vivy-Plattform. Vivy ist
eine Cloud-Plattform. So. Ich schicke die
-
in die Cloud. Vivy erzeugt dann eine
"Session". Das ist eine fünfstellige
-
Session-ID, bestehend aus Kleinbuchstaben.
Lachen Einige haben es schon erfasst,
-
ich sehe. Lachen Ich mache trotzdem
weiter. Für die anderen. So, und der Arzt,
-
dem gibt man diesen Link per E-Mail, Fax,
Telefon, persönlich und er kann dann unter
-
diesem Link das in dieser Session
gespeicherte Dokumente einsehen. So. Ja,
-
weswegen jetzt viele gelacht haben:
Natürlich, eine fünfstellige Session-ID
-
entspricht nicht so ganz den
Sicherheitsvorstellungen, die einige hier
-
wohl haben. So eine Session-ID,
fünfstellig, kann man... Man kann quasi
-
alle Session-IDs, die aus Kleinbuchstaben
bestehen, aus fünf Kleinbuchstaben, kann
-
man an einem Tag locker durchprobieren.
Also nicht händisch, da schreibt man sich
-
dann ein kleines Script und dann läuft das
durch. Und dann hat man alle mal getestet,
-
ob da ein Dokument liegt und eventuell
wird man ja fündig. Und wenn man fündig
-
wird, also wenn man eine Session-ID findet,
unter der tatsächlich jemand ein Dokument
-
gespeichert hat, sieht man sowas. Das sind
Metadaten. Also sowas wie der Name des
-
Versicherten, die Versichertennummer, das
Bild, Adresse, behandelnder Arzt, Adresse
-
des Arztes, Spezialität des Arztes, Alter,
Geschlecht, Sprache – also nur Metadaten,
-
aber wir sehen schon, diese Daten, die
will man nicht öffentlich haben.
-
Insbesondere, wenn ich dann bei einem
sensiblen Thema zu einem Arzt gehe, sagen
-
wir mal, Schwangerschaftsabbruch oder
Schwangerschaft allgemein oder
-
Psychologie. Ich gehe zum Psychologen,
weil ich mich irgendeiner Behandlung
-
unterziehen möchte. Und das können dann
du, ich – jeder kann das einsehen, wenn er
-
möchte oder konnte das einsehen auf der
Vivy-Plattform. Wenn ich die Daten dann
-
einsehen möchte, also das Dokument, was
darüber transportiert wurde in dieser
-
Session, dann muss ich eine vierstellige
PIN eingeben. Okay, also ich sehe das,
-
brauche ich nicht erklären. Vierstellige
PIN das sind – wie viele Versuche? Tausend,
-
genau und dann habe ich die. Also es ist
kein Hexenwerk und ich muss nur schneller
-
sein als der Arzt. Dann klappt das. Vivy
hatte noch mehr Mail. Phishing war ein
-
toller Aspekt, den man nicht erwarten
würde in einer Gesundheits-App. Vivy
-
erlaubt es, zwischen Versicherten
Dokumente auszutauschen und auch Dokumente
-
vom Arzt zu empfangen. Und hier sehen wir
drei Dokumente: zweimal eine invoice, eine
-
Rechnung und einmal eine prescription – eine
Verschreibung – durch den Arzt. Und wenn
-
ich die untere invoice öffne – oh, da muss
ich mich neu einloggen. Das passiert bei
-
Vivy sehr oft. Man muss sich sehr oft
einloggen, ist ein Sicherheitsfeature.
-
Die Session läuft sehr schnell ab. Wenn
ich mich allerdings hier einlogge, dann
-
geht das Passwort nicht an Vivy, sondern
da geht es an mich. Ja. Liegt daran, dass ich
-
HTML-Code in eine Webview in diese App
einschleusen konnte und mir dann basteln
-
konnte, was mir so gefällt. Phishing, das
erwartet man nicht in der Gesundheits-App.
-
Applaus Danke sehr. Applaus Aber wenn
ich das Passwort geklaut hab, komme ich
-
noch nicht in die App rein. Es gibt eine
Zwei-Faktor-Authentifizierung. Klar, die
-
Profis unter euch wissen: Phishing, Zwei-
Faktor-Authentifizierung das geht auch.
-
Aber sagen wir mal, ich habe den zweiten
Faktor nicht. Den brauche ich aber, wenn
-
ich mich einloggen möchte bei Vivy, dann
geht das über folgenden HTTP Request:
-
Username, Passwort und dieser Code. Dieser
Code ist der zweite Faktor. Ein TOTP-Token.
-
Den brauche ich, sonst komme ich
nicht rein. Ja, was mache ich, wenn ich
-
den nicht habe? Naja, probieren wir halt
mal. Also bruteforcing, ganz großes Thema.
-
So simpel es klingt, damit lagen alle
Metadaten dieser Plattform über diese
-
Session-IDs offen. Zweite Faktor-
Authentifizierung konnte ich komplett
-
umgehen. Die Dokumenten-PIN war nutzlos.
Erwartet man so nicht. Aber, es geht auch
-
weiter. Vivy hat eine Ende-zu-Ende-
Verschlüsselung. Das heißt, wenn ich als
-
Benutzer ein Dokument an den Arzt schicke,
geht das nicht so direkt über die Leitung,
-
sondern der Arzt, der öffnet ja diesen
Link in seinem Browser und dann erzeugt
-
der Browser – instant TAN – für den Arzt,
einen Key. Einen kryptographischen
-
Schlüssel, in JavaScript wird der erzeugt
und er wird im Browser gespeichert. So.
-
Der Arzt bzw. sein Browser schickt diesen
Key dann an den Patienten bzw. an die App.
-
Die App verschlüsselt damit das Dokument
und das verschlüsselte Dokument geht dann
-
an den Arzt. So weit, so gut. Problem ist
nur, dieser Schlüssel liegt im Browser. Der
-
lag im local storage, falls das jemandem
was sagt, im Browser. Und Browser-Apps
-
sind anfällig gegenüber Cross-Site-
Scripting. Häufig. Vivy war anfällig
-
gegenüber, ich glaube, drei Persistenten
haben wir gefunden, haben wir aufgehört
-
mit Cross-Site-Scripting-Angriffen. Das
heißt, ich musste dem Arzt nur einen Link
-
schicken und das machen viele, die
schicken dem Arzt ja Links. Und klickt der
-
Arzt darauf, dann kann ich den privaten
RSA-Key auslesen. Applaus Insgesamt
-
ergaben sich dann über 15 Befunde, zum
großen Teil von aus meiner Sicht hoher
-
Kritikalität. Natürlich sieht Vivy das
anders. Das habe ich zusammen mit Thorsten
-
Schröder veröffentlicht, der hat sich da
ein bisschen vor mich gestellt wegen der
-
responsible disclosure, auch nochmal ganz
herzlichen Dank dafür hier, öffentlich.
-
Coordinated disclosure. Applaus So sah
das aus, also eigentlich aus meiner Sicht:
-
So soll es laufen, coordinated disclosure.
Wir haben Vivy informiert. Am 21. hatten
-
wir direkt eine Telefonkonferenz, Vivy
gehört der Allianz zu siebzig Prozent. Da kam
-
der Allianz-CISO, hat sich das auch
angehört, waren wir schön in kleiner
-
Runde. Um elf nachts saßen wir in Berlin,
haben darüber diskutiert. Finaler Bericht
-
ging raus, haben wir ein bisschen
verlängert die Frist und am 30.10.
-
veröffentlicht. Aber dann haben sich
unsere Meinungen ein bisschen auseinander
-
dividiert. Reaktion von Vivy auf unsere
Veröffentlichung: "Ein reales Risiko für
-
die Sicherheit der Gesundheitsakten der
Nutzer bestand zu keinem Zeitpunkt." Ich
-
glaube, ihr würdet das jetzt anders sehen.
Netzpolitik hat dann öffentlich gemacht,
-
was im Hintergrund passiert ist, Vivy
hatte allen Magazinen, Online-
-
Berichterstattern vorgeworfen,
Falschaussagen zu veröffentlichen, hat
-
angerufen in den Redaktionen und gesagt,
dass sind Falschaussagen. Modzero kann das
-
nicht belegen, das heißt, das war mein
Arbeitgeber, ich kann das nicht belegen.
-
"Das müsst ihr zurücknehmen, müsst ihr
öffentlich schreiben, das ist alles wohl
-
nicht wahr." Zum Glück gab es ein paar
Leute, unter anderem bei netzpolitik.org,
-
die den Braten gerochen haben, haben dann
veröffentlicht, was da im Hintergrund
-
passiert. Vivy versucht die
Berichterstattung zu korrigieren. Der
-
Thorsten Schröder, von dem ich eben
geredet hatte, hat dann sich noch anhören
-
müssen, dass es da juristische
Konsequenzen geben soll und das Ganze ging
-
dann auf eine, ich sage mal, auf eine
nicht zu erwartende Art wurde dieser
-
Streit dann fortgeführt. Die Details
erspare ich euch jetzt, nur falls ihr
-
davon was mitbekommen habt zu Vivy, wisst
ihr jetzt die Hintergründe. Also aus
-
unserer Sicht haben wir wirklich versucht
coordinated disclosure so
-
verantwortungsvoll wie möglich zu machen.
Und ich hoffe auch weiterhin, dass... ich
-
werde das auch weiterhin so machen, dass
es vielleicht auch bei Vivy angekommen
-
ist, dass das von unserer Seite aus
verantwortungsvoll laufen sollte und das
-
nicht erwartet war. Frage ist jetzt: Vivy
hat gesagt, innerhalb von 24 Stunden
-
haben die alle Fehler behoben. Wer
glaubt's? Kurzer Applaus Ja, ich habe
-
für euch nachgeschaut. Also offiziell
natürlich nicht, aber ich habe jetzt vor
-
vier Wochen nochmal nachgeschaut und es
gibt da einen lustigen Angriff – das Wort
-
"lustig" nehme ich zurück. Das sollte man
hier nicht verwenden bei Gesundheitsdaten.
-
Dokument an den Arzt schicken als
Versicherter, als Vivy-Nutzer. Ich kann
-
dem Arzt natürlich auch ein bösartiges
Dokument schicken. In diesem Dokument ist
-
JavaScript drin. Dieses JavaScript wird im
Browser vom Arzt ausgeführt und stiehlt
-
dann alle Dokumente, auf die dieser Arzt
Zugriff hat, von allen anderen Versicherten,
-
und sendet sie an mich. Aus meiner Sicht
kritisch. Ich habe mal geschaut, so
-
nach... Applaus Innerhalb von 24 Stunden
behoben. Da sehen wir auf der einen Seite
-
den Angreifer, der gibt sich als Vivy-
Nutzer aus, das ist sein Vivy-Bildschirm
-
auf dem Handy und im Browser, das ist der
Arzt. Der hat den Browser offen und wartet
-
dass er den Link bekommt und eingeben kann.
Ich muss jetzt kurz wechseln, ich will
-
nämlich das als Video zeigen. So sieht das
aus, der Arzt gibt die Session-ID ein, die
-
wurde jetzt verlängert, die Session-ID. Das
sind nicht mehr 5 Stellen. Das haben sie
-
behoben. So. Jetzt gibt der Arzt seine PIN
ein, als bösartiger Nutzer gebe ich die
-
natürlich dem Arzt. Jetzt lädt der Arzt
das Dokument, es wird entschlüsselt und
-
jetzt öffnet der Arzt das Dokument im
Browser. So. Was ist passiert? Das
-
Dokument hatte JavaScript, das JavaScript
wurde ausgeführt. Es hat jetzt von anderen
-
Versicherten, hier ist es der Peter, dem
seine Diagnose heruntergeladen und seine
-
Befunde und hat diese Befunde an
allyourgesundheitsaktenarebelongtous.com
-
geschickt. So. Das passiert jetzt alles im
Browser des Arztes. Angriff funktioniert
-
weiterhin. Naja... nicht behoben.
Applaus Was aber auch geht... Eine Sache
-
haben sie behoben: Man kann den Key nicht
mehr auslesen. Der ist lesegeschützt, aber
-
er ist nicht schreibgeschützt! Gelächter
und Applaus Natürlich überschreibe ich
-
dann den privaten Key mit dem des
Angreifers bzw. dem eigenen. Und wenn ich
-
dann zukünftig solche Dokumente in die
Hände bekomme, kann ich die alle mit
-
meinem Schlüssel entschlüsseln. Das ist
das Problem, wenn ich Ende-zu-Ende-
-
Verschlüsselung habe, ohne dass ich eine
Identität für den Arzt habe, ohne dass ich
-
den authentifizieren kann, dann muss ich
jeden Schlüssel akzeptieren. Ich kann es
-
ja nicht verifizieren. So what. Es gibt
Hunderttausende kaputte Gesundheits-Apps.
-
Warum ist Vivy interessant? Warum ist es
relevant? Da muss ich ganz kurz in das
-
E-Health-Gesetz einsteigen. Es wurde 2015
verabschiedet und sieht vor, dass letztes
-
Jahr die Video-Sprechstunde eingeführt
wurde. In Baden-Württemberg ist es schon
-
soweit, da können gesetzlich Versicherte
per Video den Arzt kontaktieren und mit
-
dem Arzt auch eine Fernbehandlung
durchführen lassen. 2018, also dieses
-
Jahr, gab es den bundeseinheitlichen
Medikationsplan. Und ab nächstem Jahr 1.
-
Januar soll es die elektronische
Patientenakte geben. Bis 2021 soll sie
-
flächendeckend eingeführt sein.
Elektronische Patientenakte. Elektronische
-
Gesundheitsakte gibt's – das ist Vivy.
Schon seit 2004 haben die Krankenkassen
-
die Möglichkeit, das zu erstatten. Läuft
teilweise auf der Telematik-Infrastruktur
-
mit Anbindung eben an die Telematik-
Infrastruktur. Ärzte müssen sie aber nicht
-
nutzen. Die elektronische Patientenakte,
die nächstes Jahr kommen soll, ist jetzt
-
schon von der gematik spezifiziert, in
Teilen zumindest. Die wird dann zwingend
-
auf der Telematik-Infrastruktur laufen und
wird auch zwingend genutzt werden müssen
-
von den Ärzten. Es gab da ein Update für
dieses E-Health-Gesetz in diesem Jahr,
-
weil... Telematik-Infrastruktur,
Gesundheitskarte und so... das läuft ja
-
alles nicht so richtig. Da müssen wir was
machen. Dann hat sich unser
-
Gesundheitsminister gedacht: "Tablet und
Smartphone – darüber müssen wir auf diese
-
Patientenakte zugreifen können.
Gesundheitskarte ist ein bisschen old
-
fashioned, das brauchen wir nicht mehr."
Online-Banking ist das Vorbild. Deswegen
-
auch der Subtitle von dem Talk. Online-
Banking soll als Vorbild in Sachen
-
Sicherheit dienen. Und: diese Maßnahmen
dulden keinen Aufschub. Das heißt, ab
-
sofort, ich glaub, in drei Monaten will
die gematik das fertig spezifiziert haben.
-
Wie ich mich in diese Patientenakte
einlogge, auf meinem Smartphone, ohne
-
Gesundheitskarte. Das ist also der
Hintergrund. Und Vivy ist so etwas wie der
-
Testballon der Krankenkassen für die
Akzeptanz dieser elektronischen
-
Patientenakte. Denn die Krankenkassen,
gesetzlich und privat, sind natürlich sehr
-
interessiert daran, dass möglichst viele
diese Akte nutzen, Vivy oder auch
-
Konkurrenten. Denn damit sich auch
Einsparungen verbunden, damit sind auch
-
Vorteile verbunden für uns alle. Ja, so
what, nehmen wir halt nicht Vivy. Ich habe
-
ja eben gesagt, es gibt auch Konkurrenten.
Es gibt einige, zum Beispiel von
-
CompuGroup gibt es CGM LIFE. Es gibt
vitabook. Es gibt einen ganz alten
-
Vertreter dieser Art, das ist
gesundheitsakte.de von careon. Es gibt von
-
der TK in der Beta-Phase noch TK-Safe. Und
auch was die Video-Sprechstunde anbelangt,
-
da gibt es einige Anbieter. Hier nur eine
kleine Auswahl: TeleClinic, da ist in
-
Baden-Württemberg dieses Experiment, das
ist docdirekt. Und von Ärzten selbst
-
geschaffen gibt es meinarztdirekt, Fern-
Behandlungen für alle. Wer kann es besser?
-
Wer macht es besser als Vivy? Das war die
Frage, die ich gestellt habe, ich kann ja
-
hier nicht nur mit Vivy ankommen. Da
müssen wir mal ein bisschen quantitative
-
Analyse machen. vitabook – vitabook gibt
es schon seit 2011. Die haben schon
-
Erfahrung in dem Thema, waren die ersten
Kunden der Microsoft Cloud in Deutschland
-
und gewährleisten Datensicherheit,
Datenschutz und Compliance auf höchstem
-
Niveau. So sieht das aus. Das hier ist die
Susanne. Das ist ein Testkonto von
-
vitabook. Kann man mal reinschnuppern, wie
das so aussieht. Dasselbe wie bei Vivy.
-
Ich kann Dokumente da speichern,
hochladen, mit dem Arzt teilen,
-
Gesundheitsangaben machen, Notfalldaten
hinterlegen, Impfpass eintragen und alles
-
was ich will. Ich kann meine gesamte
Gesundheit damit verwalten. Das nennt sich
-
Gesundheitskonto, quasi das Girokonto für
Ihre Gesundheit. Klingt erst mal gut. Na
-
ja gut, jetzt 2018 erwartet man das nicht,
aber es erlauben Zugriff auf
-
verschlüsselte Gesundheitsdaten, keine
Ende-zu-Ende-Verschlüsselung. Wir haben
-
unsalted SHA1-Passwort-Hashes in
diesem Ding. Massiven Datenreichtum wohin
-
man schaut. Und, kleines Schmankerl: Wenn
man sich in dieses "Susanne"-Testkonto
-
einloggt, da sind auch Test-Dokumente. Und
woher nimmt man Test-Dokumente, man
-
fotografiert sie vor seinem Schreibtisch.
Zum Beispiel die höchstvertraulichen
-
Emails die ausgedruckt auf dem
Schreibtisch bei Vitabook rum liegen. Über
-
die letzte Sicherheitsanalyse. Applaus
Hier wird irgendein Befund aus irgendeiner
-
IT-Security-Analyse nicht anerkannt. Also
wenn ihr stöbern wollt, Susanne hat es für
-
euch. Vitabook flat-lining, klinisch
sicherheitstechnisch, eher mau.
-
Beschäftigen wir uns nicht weiter mit.
Interessant noch: Vitabook waren die
-
ersten, die Vivy retweetet haben. Lachen.
Vivy schaut mal ja, ja sollte man nicht
-
machen. Das war auch nicht unsere
Intention. Wir wollen wollten da keine
-
Schadenfreude oder irgendwas auslösen. Ja
gut, sind halt Tech-Startups. Vitabook ist
-
glaube ich ein ehemaliger CISCO-Manager –
also nur Vermutung, dahin gestellt. Lasst
-
die Ärzte ran, lasst die Ärzte ran. Die
wissen um die Sensitivität dieser
-
Gesundheitsdaten Bescheid, die haften ja
auch persönlich. Ein Arzt, wenn er die
-
Schweigepflicht verletzt, haftet er. Das
kann teuer werden. Das kann auch
-
Freiheitsentzug bedeuten. Lasst die Ärzte
diese Anwendung mitbetreuen mitentwickeln.
-
Interessantes Beispiel meinarztdirekt.de:
Das ist ein Hausarzt, der das ins Leben
-
gerufen hat. Kein Investor im Nacken. "Wenn
wir Ärzte die Digitalisierung nicht aktiv
-
mitgestalten, dann haben wir alle verloren."
Also, lassen wir die Ärzte mitgestalten und
-
schauen Sie sich das man an.
meinarztdirekt.de. So sieht das aus. Hier
-
habe ich, ich habe versucht auf eine
Rechnung zuzugreifen, das ist natürlich
-
verboten. Ich darf ja nicht auf andere
Rechnungen von anderen Leuten zugreifen
-
und mir anschauen, was die da für
Leistungen bezogen haben. Das geht nicht.
-
Ich wollte es mir anzeigen lassen, da
sehen wir, irgendwiewie "meinarztdirekt.de/
-
invoice/view/id-1". Was ist, wenn ich diese
Daten drucken möchte – nicht anzeigen, nicht
-
view, sondern print? Oh! Was ist denn das?
Applaus Nicht so schön, das will man gar nicht.
-
Eigenbau – schreiben wir das ab, lassen die
Profis ran. Also Arzt ist schon gut, wenn
-
er dabei ist, aber da müssen Profis,
müssen Profis ran. TeleClinic.
-
TeleClinic im Vorstand, drei Leute: Ein
Arzt, ein Informatiker. Viel Geld
-
dahinter. Ganz Baden-Württemberg dafür bei
docdirekt. TeleClinic nutzen. Da wird eine
-
Videosprechstunde hergestellt mit Ärzten
in Baden-Württemberg. Wenn einer von euch
-
gesetzlich versichert in Baden-Württemberg
ist, einfach mal docdirekt, sich einloggen,
-
– okay, nicht mit echten Daten einloggen – und
kann mit dem Doktor sprechen, mit einem
-
Arzt, mit einer Ärztin und sich diagnostizieren
lassen. Dokumente austauschen. Oder auch
-
eine von den Versicherten hier, Arag Debeka,
die bietet das auch an.TeleClinic bietet
-
maximale Datensicherheit und verhindert
Missbrauch auf jeder Ebene. Ein
-
vierstufiges Sicherheitssystem bietet die
höchste Datensicherheit Deutschlands.
-
Meine Damen und Herren die höchste
Datensicherheit Deutschlands. Applaus.
-
Applaus Für TeleClinic. So. Wenn ich jetzt
bei TeleClinic mein Passwort ändern möchte,
-
dann sieht es so aus: Dann habe ich in rot
meine User-ID und in gelb mein Passwort,
-
mein neues und dann sende ich da diesen
HTTP-Request aus meinem Browser ab. Da
-
habe ich mich jetzt gefragt: Was passiert
denn, wenn ich diese rote User-ID ändere.
-
Wenn ich da mal... GelächterApplaus Ah! Jup.
Das ist nicht lustig, das ist die höchste
-
Datensicherheit Deutschlands. Na typisch:
kleine mittelständische Unternehmen – lasst
-
mal die Profis ran. Die, die es wissen. Die
ganz Großen, die wirklich die Mittel dafür
-
haben. Die, die es wirklich besser machen
können. Wir können lachen über die kleinen,
-
aber, wir müssen auch die großen anschauen
– der Fairness halber. TK-Safe sei ein
-
Beispiel. Die haben es richtig gemacht:
Ende-zu-Ende verschlüsselt. Ich habs mir
-
nicht weiter angeschaut, aber: Hier sehen
wir den Schlüssel. Der wird erzeugt in der
-
App. Das ist der Schlüssel für den User.
Wenn dieser Schlüssel verloren geht, dann
-
geht der Zugang zur gesamten Akte
verloren, wenn alles richtig gemacht
-
wurde. Das heißt: Wenn ich mein Handy
verliere, dann habe ich meine gesamten
-
Gesundheitsdaten verloren. Das will keiner,
deswegen, Vivy und alle anderen, die Ende-
-
zu-Ende Verschlüsselung anbieten, fordern
einen auf, diesen Schlüssel zu exportieren.
-
Allerdings sind wir mit Schlüsseln ja noch
gar nicht so vertraut. Was ist denn ein
-
Schlüssel? Passwörter, das hat ziemlich
lange gedauert, bis wir wussten, wie wir
-
Passwörtern umgehen sollen. Und die
meisten kriegen es immer noch nicht hin.
-
Und diesen Schlüssel müssen wir irgendwo
sichern, exportieren. Wie geht das? Wird
-
als QR-Code gespeichert, die Schlüssel.
Einige sehen es schon, der wird nämlich in
-
der Galerie gespeichert. Und zwar, das ist
jetzt ein Android-Bildschirm. Wir sehen
-
der QR-Code, der diesen Schlüssel
darstellt, den ich auch wieder einscannen
-
kann, der wird in der öffentlichen
Bildergalerie auf meinem Handy
-
gespeichert. Der geht dann bei Google
Fotos hoch und überall und alle Apps haben
-
Zugriff drauf. Das ist ein bisschen, wenn
man jetzt hier Schlüssel durch
-
Passwort ersetzt und beide haben ja die
gleiche Funktion. Also wenn ich jetzt
-
Schlüssel durch Passwort ersetze dann
heißt da: Bitte speichern Sie ein Passwort
-
im Klartext in ihrer Bildergalerie. Will
man nicht. Da braucht man einen Passwort
-
Manager, aber für Schlüssel, aber das
gibt's ja noch nicht. Da sehen wir auch
-
wie schwer es ist, sowas richtig zu
implementieren. Gut, ist halt TK-Safe, ist
-
noch in der Betaphase. Die sind noch nicht
live damit in der Produktivphase, also im
-
Betatest. Ihr könnt euch wieder anmelden
wenn ihr möchtet, aber
-
Flüchtigkeitsfehler, passiert. Lasst mal
die Erfahrung sprechen, die die schon
-
lange dabei sind, die wirklich seit
Jahrzehnten auf dem Markt sind. Das ist
-
CompuGroup. CompuGroup CGM Life, 5000
Mitarbeiter, knapp 600 Millionen
-
Jahresumsatz, in 55 Ländern, die müssten's
wissen. Die haben eine Plattform, "CGM Life"
-
nennt die sich. Und auf dieser Plattform,
das ist eine Secret Medical Cloud. Da
-
laufen alle möglichen Anwendungen, viele
Anwendungen, die Gesundheitsdaten
-
austauschen wollen verknüpfen sich einfach
mit diesem CGM Life und speichern da ihre
-
Daten und tauschen die aus. So, einige
dieser Anwendungen sind durch Zwei-Faktor-
-
Authentifizierung geschützt, zum Beispiel
bei der Axa. Wenn ich mich bei der Axa
-
"Meine Gesundheit" einloggen möchte. Wer
ist hier privatversichert bei der Axa? Nicht
-
die Hand heben! Aber, wir sollten es
wissen. Da brauche ich einen Authentification-
-
Code, ansonsten komme ich da nicht rein.
Und das ist diesmal richtig gemacht, nicht
-
wie bei Vivy. Da kann ich nichts
bruteforcen, das ist schön sicher. Problem
-
ist es nur, ich habe ja gesagt, das ist
eine Plattform und ich kann entweder über
-
Axa da reingehen, da geht es nicht. Oder
ich gehe direkt über CGM Life in diese
-
Plattform: Wow, da geht's. Da brauche ich
keinen zweiten Faktor. Ist natürlich
-
bisschen doof, wenn ich verschiedene
Zugänge habe, verschiedene Türen zum Haus,
-
die eine ist mit Kamera ausgestattet, die
andere lässt sich mit einem Schlüssel oder
-
mit eine Hammer öffen – bringt nichts.
Dasselbe wie bei Vivy ist hier auch
-
passiert. Ich weiß nicht, wer da von wem
abgeschaut hat. Wahrscheinlich eher Vivy
-
von denen, weil die sind älter. Ich kann
Akten austauschen: sechsstellige PIN. Das
-
sagt einigen vielleicht jetzt schon was.
Ich kriege eine sechsstellige PIN. Unter
-
dieser PIN, die gebe ich meinem Arzt, dann
kann der Arzt unter aktenblickpunkt.de
-
diese PIN eingeben und da auf meine
komplette Gesundheitsakte zugreifen. Ja
-
gut, sechsstellige PIN, ist ziemlich
leicht gebruteforced und das geht hier auch.
-
Und da kann ich wieder auf entweder auf
die Gesundheitsdaten komplett zugreifen
-
oder zumindest ein paar Meta-Informationen
abgreifen. Erstaunliche Parallele. Was wir
-
sonst noch... was ist jetzt allerdings das
große Problem ist dieser Plattform? Das
-
ist, ja, diese Plattform macht alles
richtig und versucht alles richtig zu
-
machen. Man hat eine Elliptic Curve
Encryption hier implementiert mit einer
-
sicheren elliptischen Kurve. Das wird
Client-seitig alles verschlüsselt, es
-
werden keine Passwörter über den Äther
geschickt. Ich sende also nur meine
-
E-Mail-Adresse an CGM, bekomme dann einen
Public Key und einen Secret zurück. Da
-
habe ich mir gedacht: Einen Secret bekomme
ich zurück, wenn ich eine E-Mail-Adresse
-
hinschicke?. Warum heißt das Secret? Es
ist ein Key Derivation Secret. Was nehmen
-
wir jetzt? Ich habe hier eine Key
Derivation Function,
-
Schlüsselableitungsfunktion. Der gebe ich
mein Passwort plus dieses Secret, was ich
-
da bekomme und dann kriege ich Client-
seitig, offline den Private Key, also das
-
Passwort, der Zugang zu dieser
Gesundheitsakte. Wenn ich das richtige
-
Passwort gewählt habe, dann passt diese
Private Key zum Public Key von
-
meyer@ccc.de. Dann kann ich mich
einloggen. Wenn er nicht stimmt, das
-
Passwort, muss ich halt nochmal weiter
probieren. Wenn ich nicht der Meyer bin,
-
probiere ich es halt so lange, bis es
klappt. Und ich habe ja den Public Key und
-
das Secret offline verfügbar. Da muss ich
nicht mehr mit CGM, mit einem Server
-
interagieren. Ich lade mir das runter und
starte dann einen Wörterbuch-Angriff oder
-
etwas Ähnliches. Das ganze Verfahren sogar
patentiert worden, inklusive des Fehlers.
-
Gelächter
Also nicht nachbauen! Kostet. Ja, ich hab
-
mal geschaut, ob das überhaupt relevant
ist. Dropbox: der Vinzent Haupert, der
-
sich mit Online-Banking beschäftigt hat,
letztes, vorletztes Jahr, hat auch Dropbox
-
genommen. Da habe ich gedacht, das passt
ja thematisch: Onlinebanking, zu diesem
-
Talk. Habe ich auch Dropbox genommen, habe
die E-Mail-Adressen aller Deutschen
-
runtergeladen und mal geschaut, wer davon
bei CGM angemeldet ist und dann mal ein
-
großes Wörterbuch genommen und mal
geschaut, was da so für Passwörter
-
rausfallen. Also für eine Gesundheitsakte
waren die jetzt nicht sehr kreativ. Also,
-
muss ich sagen. Da hätte ich von den
Deutschen mehr erwartet, die ja im
-
Datenschutz so gebildet sein sollen. Aber
gut. Drei Prozent aller Dropbox-User aus
-
Deutschland waren auch bei CGM
angemeldet und auf meinem kleinen
-
Laptop von vor vier Jahren habe ich
drei Prozent davon errechnet.
-
Applaus
Natürlich nur eine Stichprobe. Also wir
-
haben jetzt gezeigt, so ein kleiner
Rundumschlag: Ist wohl nichts. Das
-
ArzneimittelkontoNRW basiert übrigens
auch auf CGM Life – wer das nutzen sollte...
-
Vivy, gesundheitsakte.de habe ich hier
jetzt ausgeklammert. Aber die haben auch
-
ein paar Probleme. docdirect, CGM Life,
CLICK DOC, TeleClinic, CGM Life,
-
eSERVICES, TK-SAFE, mediteo, MEINE
GESUNDHEIT, meinarztdirekt und so weiter
-
und so fort und so fort. Alle haben die
irgendwie dann doch nicht. Wir sind noch
-
nicht mal auf dem Niveau vom Online-
Banking. Schade. So what. Wir wissen alle,
-
es gibt keine perfekte Sicherheit. Das
werden wir nie erreichen. Wir müssen mit
-
Wahrscheinlichkeiten rechnen. So, dann
schauen wir uns mal die
-
Wahrscheinlichkeiten an. So große
Unternehmen wie CGM, die müssen Risiko
-
veröffentlichen. Also in ihrem
Finanzreport, hab ich mal geschaut,
-
gibt's Datenverarbeitungsrisiken. Ist der
Finanzreport vom letzten Jahr. Da steht:
-
"Die Kunden von uns nutzen unsere Produkte,
um sehr vertrauliche Informationen zur
-
Gesundheit zu speichern, zu verarbeiten
und zu übertragen." Sollten eben doch
-
Sicherheitsprobleme auftauchen, dann
könnte das zu Schadenersatzansprüchen,
-
Bußgeldern, Geldstrafen und Ähnlichem
führen, die dann GCM abführen muss. Und
-
deswegen ist es ein Risiko für CGM, weil
natürlich ein finanzieller Schaden
-
entsteht. Und jetzt schauen wir mal.
Gegenüber dem Kunden sagt CGM: Paramount
-
priority. Da gibts nichts, Security ist
alles. Also absolut sicher. Hier heißt
-
es: Ja wir erwarten im Jahr vier Millionen
Schaden. Im Durchschnitt.
-
Jahreshöchstschaden, da sind wir schon bei
18 Millionen. Mit fünf Prozent Wahrscheinlichkeit
-
tritt ein höherer, unerwarteter Schaden in
den Datenverarbeitungsrisiken ein. Das
-
kann man sich jetzt ausmalen, das kann
natürlich auch sein, dass die ganze
-
Datenverarbeitung den Bach hinuntergeht. Aber
es kann natürlich auch sein, dass die
-
ganzen Daten offenliegen. Also fünfprozentige
Wahrscheinlichkeit. Nehmen wir einfach mal
-
diese fünf Prozent und schauen wir, was
passiert. Also im ersten Jahr: 95 Prozent der
-
Wahrscheinlichkeit sind wir sicher. Im
zweiten Jahr 90 Prozent. Im dritten Jahr
-
sind wir noch bei 86 Prozent. Das Problem
bei Gesundheitsdaten ist: Die sind sehr
-
langlebig. Nach fünfizig Jahren sind meine
Gesundheitsdaten immer noch sehr wertvoll,
-
denn ich kann meine Gesundheit ja nicht
ändern. Also wenn ich damals eine
-
Erbkrankheit hab, hab ich in 50 Jahren
immer noch. Es sei denn, die Zukunft
-
bringt eine Erlösung in dem Bereich. Aber
wir gehen mal davon aus. So, 50 Jahre:
-
habe ich acht Prozent Wahrscheinlichkeit. Naja...
Das will man nicht. Aber vielleicht ist ja
-
diese fünf Prozent übertrieben. Oder nicht
nur auf, dass diese Daten veröffentlicht
-
werden, bezogen. Vielleicht habe ich einen
Fehler gemacht oder was anderes
-
hineininterpretiert. Schauen wir in die
USA. In den letzten fünf Jahren in den USA
-
wurden im Durchschnitt dreißig Millionen
Patientenakten gestohlen, gehackt,
-
verkauft. Und das sind nur die öffentlich
gemeldeten, also die meldepflichtig waren.
-
30 Millionen, das sind knapp zehn Prozent der US
Population. Naja, zehn Prozent. Ich habe
-
eben mit fünf Prozent geschätzt. Kommt eigentlich
ganz gut hin. Norwegen 2018. Nicht dass
-
wir sagen, es sind nur die Amerikaner. In
Europa haben wir ja höheren Datenschutz.
-
In Norwegen, dieses Jahr: Jeder dritte
Norweger ist jetzt einem unbekannten
-
Angreifer gegenüber sehr bekannt, wie
seine Gesundheit aussieht. Drei Millionen
-
Patientenakten wurden gestohlen. Dänemark
2016 gab es einen lustigen Vorfall. Ah,
-
nicht lustig. Tschuldigung. Das Wort muss
ich wirklich hier zurücknehmen. Da wurden
-
zwei CDs mit allen, fast allen
Gesundheitsdaten der Bevölkerung aus
-
Versehen an die Visastelle, an die
chinesische Visastelle geschickt.
-
Verhaltenes Lachen
Das passiert, ja. Passiert. Ich habe auch
-
schon mal ne Adresse falsch geschrieben.
Lachen und Applaus
-
Ich weiß nicht, ob sie die zurückgeschickt
haben.
-
Lachen
Müssen wir mal nachfragen. Ja gut. Aber
-
wir sind hier Deutschland, da kann man
solche Sachen ja prüfen lassen,
-
zertifizieren lassen, gemäß Standards
arbeiten, Normen anlegen. Wir haben ja
-
Mittel dagegen. Helfen Zertifikate? Diese
Zertifikate stammen von den Apps, die ich
-
eben gezeigt habe. Wir sind hier bei allen
möglichen, unter anderem Security, Trusted
-
Privacy, E-Privacy. Der Landesbeauftragte
für Datenschutz Rheinland-Pfalz hat unter
-
anderem CGM LIFE geprüft, meine-
gesundheit, und für gut befunden und so
-
fort und so weiter. Zertifikate können das
Problem nicht beheben. Sie sind vielleicht
-
ein Indikator, ein Hinweis für etwas, aber
nicht dafür, dass diese Apps frei sind von
-
Sicherheitsmängeln. Wir schauen es bei
Vivy noch mal ganz kurz an. Vivy hatte ein
-
Datenschutzgutachten machen lassen und ein
Gütesiegel bekommen, eine
-
Sicherheitsprüfung und ein TÜV-Zertifikat
bekommen, zwei Pentests von
-
unterschiedlichen Unternehmen durchführen
lassen. Ich kann nicht sagen, welcher Scope
-
oder – das wird ja nicht veröffentlicht.
Nach diesem Sicherheitsvorfall noch einmal
-
zwei komplette Pentests und danach dann
dieses Beispiel eingangs, das ich gezeigt
-
habe. Nach diesem ganzen Aufwand war die
App nicht sicher. Und jetzt? Was machen
-
wir jetzt? Ich zähle noch mal auf: Es gibt
grundlegende Probleme bei allen
-
elektronischen Gesundheits-Apps, bei
denen, die einmal unsere Gesundheitsdaten
-
verwalten sollen. Sicherheit ist ein
Wettbewerbsnachteil, das haben wir zum
-
Beispiel bei Vivy gesehen. Vivy hat
Pentests, Zertifikate, Bugbounties erst
-
nachher durchführen lassen. Zum großen
Teil auch vorher schon, aber eben nicht in
-
sichere Architektur gesetzt. Das zeigt
sich schon: Wenn von der Allianz der CISO
-
kommen muss, weil man bei Vivy eine
Sicherheitslücke meldet, dass da bei Vivy
-
kein professioneller IT-Security-Analyst
da war, der sich damit auskennt. Ist halt
-
ein Start-Up. Von all diesen Apps, die ich
eben aufgezählt habe, mit diesen Apps
-
laufen coordinated disclosure-Verfahren.
Die sind schon seit zweieinhalb Monaten
-
bekannt. Wenn ich jetzt diesen Report
nicht mit Kostenstelle veröffentlicht
-
hätte, hätte keiner von euch davon gehört.
Es gab hier keine Meldungen an
-
Aufsichtsbehörden oder irgendwen. Das
heißt: Wenn kümmerts. Ein Angreifer würde
-
das nicht öffentlich machen. Und dann
haben wir jetzt neu: 2019 soll die
-
Patientenakte kommen. Die Patientenakte
soll wirklich sicher werden. Die ist vom
-
BSI mit der gematik zusammen ausgearbeitet
worden. Die Spezifikation ist seit ein
-
paar Tagen online. gematik.de, einfach mal
anschauen. Die Spezifikationen für den
-
Tablet und mobilen Zugang kommt noch, in
drei Monaten, spätestens. Unbedingt mal
-
reinschauen, was da drin steht für die,
die es interessiert. Die soll dann auch
-
wirklich sicher sein. Wer weiß. Aber es
ist auch gar nicht so relevant, weil, wenn
-
ich ein Anbieter bin, warum soll ich eine
Patientenakte anbieten, wenn ich genauso
-
gut eine Gesundheitsakte anbieten kann und
mit der Gesundheitsakte auch an die
-
Telematik in der Infrastruktur gekoppelt
werde, aber eben nicht diese ganzen
-
Standards einhalten muss. Vivy ist eine
Gesundheitsakte und keine Patientenakte.
-
Das ist ein sehr wichtiges Wortspiel. Das
wird aber wahrscheinlich keiner in der
-
Öffentlichkeit wahrnehmen, dass es da einen
großen Unterschied gibt. Das Hauptproblem
-
aus meiner Sicht ist: Gesundheitsdaten
sind keine Bankdaten. Ich kann hier keine
-
finanzielle Risikoanalyse ausstellen und
sagen: "Wir haben ein Jahresbudget von 18
-
Millionen und damit hat sich das." Das hat
gesellschaftliche Auswirkungen, wenn diese
-
Daten öffentlich sind. Wir können nicht 18
Millionen zahlen und dann haben wir eine
-
neue Kreditkarte und dann ist alles
vergessen. Das geht nicht. Die Daten sind
-
dann bei irgendwem, irgendwo. Als HIV-
Infizierte darf ich dann nicht mehr in
-
andere Länder reisen, weil die dann ganz
genau wissen, was ich da für ansteckende
-
Krankheiten habe. Dann kann ich mir das
streichen. Oder, falls ein deutscher
-
Politiker auf die Idee kommt, dass man
Infizierte mit bestimmten Krankheiten...
-
Die Szenarien kann man sich ausdenken. Die
sind jetzt nicht erfunden. Seehofer hatte
-
mal drüber nachgedacht, HIV-Infizierte zu
konzentrieren, als das Thema neu war. Mit
-
so einer Gesundheitsakte oder
Patientenakte ist das kinderleicht. Es
-
entsteht hier nicht ein finanzieller
Schaden, sondern ein gesellschaftlicher
-
Schaden und ein langfristiger Schaden über
Generationen hinweg. 23andMe und so
-
weiter, die ganzen DNA-Analyse-Services,
gab es ja schon Vorfälle, aber was
-
Richtiges ist wohl noch nicht passiert.
Wir wissen es nicht. Aber wenn ich mein
-
Genom dann sequenziert in der App
speichere, dann haben auch meine Kinder
-
noch was davon. Es gibt keine langfristig
sicheren Datenspeicher. Der Professor
-
Buchmann von der TU Darmstadt hat jetzt
erst vor zwei Wochen – ein anerkannter
-
Kryptologe – darüber veröffentlicht, dass
wir in 20 Jahren keine sicheren
-
Gesundheits-Apps haben. Nein, keinen
Speicher haben, der für 20 Jahre sichere
-
Speicherung garantieren kann. In 20 Jahren
sind wahrscheinlich alle jetzt auf
-
höchstem Stande verschlüsselten Daten
öffentlich, für jeden, der sie jetzt
-
einsammelt. Und das ist ein ganz großes
Problem, das wird nirgendwo besprochen.
-
Also wenn ich jetzt fleißig Daten sammele,
in zwanzig Jahren haben die noch denselben Wert
-
oder einen viel höheren Wert. Das ist
anders als Bankdaten. Wenn ich jetzt
-
anfange, Bankdaten zu sammeln,
interessiert die in zwanzig Jahren keiner mehr.
-
Gesundheitsdaten schon. Und das denke
nicht ich, das denkt Johannes Buchmann,
-
Professor an der TU Darmstadt, und wenn er
das so sieht, dann vertrau ich dem. Wie
-
sieht die Zukunft aus? Die Welt hat es mal
schön dargestellt: "Angst vor
-
Datenmissbrauch hemmt Fortschritt im
Gesundheitswesen.": "Der Patient muss
-
wissen, dass Datenmissbrauch sowohl
strafbar als auch enorm schwer
-
durchzuführen ist." Enorm schwer. "Wer
sich der elektronischen Gesundheitsakte
-
bei erfolgreicher Implementierung trotz
jeglicher Sicherheitsvorkehrungen
-
verweigert, sollte zwar zunächst keinen
spürbaren Qualitätsverlust der Behandlung
-
per se erleiden, kann aber auch nicht in
den Genuss eines schnellen und bequemen
-
Behandlungsablaufs kommen." Und dann
resümiert man bei der Welt: "Längerfristig
-
muss man damit rechnen, dass mangelndes
Vertrauen mit Einbußen in der
-
Behandlungsqualität vergolten wird." Da
muss ich zustimmen, die Patientenakte wird
-
kommen. Das führt zu vielen Vorteilen. Es
hat wirklich Vorteile. Die liegen auf der
-
Hand. Ich kann Doppeluntersuchungen
vermeiden. Ich kann Fehlmedikation
-
vermeiden, weil ich die Wechselwirkungen
automatisch erkenne. Ich kann Patienten
-
besser steuern. Ich kann sie anschreiben,
wenn irgendwo was aufgetaucht ist: Neue
-
Behandlungsmethode, Wechselwirkungen zu
irgendeinem Medikament, irgendein Rückruf.
-
Es geht alles über die Patientenakte, hat
sehr viele Vorteile. Und wenn sich jemand
-
hier entscheidet, seinen Kindern keine
solche Akte anzulegen, Patientenakte,
-
trägt er dann das Risiko dafür, dass die
Kinder eine höhere Sterblichkeit haben
-
oder schlechtere Behandlungsqualität oder
länger warten müssen? Wenn neunzig Prozent der
-
Bevölkerung diese elektronische
Patientenakte nutzen und ihr seid die zehn
-
Prozent oder zwei Prozent oder ein
Prozent, leidet ihr darunter,
-
beziehungsweise auch wir. Und das ist die
Realität. Damit schließe ich den Talk. Hat
-
jetzt mehr Fragen aufgeworfen am Ende.
Genau das ist aber auch die Intention. Ich
-
will das zeigen, wie es aussieht,was kommt
und will jetzt eine Debatte anstoßen. Denn
-
jetzt können wir noch beeinflussen. Jetzt
haben wir noch die Möglichkeit, auf das
-
Update für das E-Health-Gesetz, das heißt
Termin- irgendwas Vorsorge-Gesetz,
-
Einfluss zu nehmen. Noch können wir
Abgeordnete anschreiben. Noch können wir
-
Dinge fordern oder uns Gedanken machen.
Und wir können uns überlegen, wie eine
-
Gesellschaft aussieht, in der alle unsere
Gesundheitsdaten offenliegen. Wir können
-
uns überlegen, wie wir diese Folgen davon
abschätzen und wie wir sie vielleicht auch
-
verhindern können. Und
Technikfolgenabschätzungen, damit
-
beschäftigen wir uns ja hier. Deswegen
ganz herzlichen Dank, dass ihr alle
-
zugehört habt. Und wenn jetzt es Fragen da
sind, Anregungen, Diskussionen, freue ich
-
mich sehr.
Applaus
-
Herald: Sind denn Fragen aus dem Internet
da? Dann mach mal, stell eine.
-
Signal Angel: Ich fang mal mit einer vom
Anfang an. Da geht es mehr oder weniger um
-
Nutzung von Vivy, wie man da hinkommt und
inwiefern das mit Identifikationssystemen
-
verbunden ist. Also wahrscheinlich Post-
Ident oder so, oder ob man eine
-
Wegwerfadresse nutzen kann.
Martin: Bei Vivy zum Beispiel muss man ein
-
Video von sich aufnehmen mit seinem
Personalausweis. Ich habe einen
-
Zwillingsbruder. Ich wollte das mal
testen. Man muss nur seinen Namen
-
austauschen und wird dann als der auf dem
Personalausweis identifizierte Bürger in
-
Vivy hinterlegt und kann dann im Namen
dieses Versicherten Daten anfragen. So
-
sieht es bei Vivy aus. Andere Verfahren
nutzen gerade die privaten
-
Krankenversicherten, andere Methoden der
Verifikation, aber nicht unbedingt sicher.
-
Herald: Du, mir fällt da gerade noch eine
Frage ein. Für diese supertoll
-
geschriebene Software, wie viel Geld haben
die nochmal bekommen?
-
Martin: Vivy?
Herald: Ja.
-
Martin: Das ist von Bitmarck, von dem IT-
Dienstleister von neunzig Krankenkassen
-
ausgeschrieben worden. Wieviel Geld die
dafür bekommen haben, kann man bestimmt
-
erfragen. Das wäre mal eine interessante
Frage. Fragdenstaat.de.
-
Herald: Sehr schön. Mikrofon acht bitte.
Mikrofon 8: Moinmoin. Ich hatte überlegt,
-
noch einen Kommentar zu geben, aber ich
mache eine Frage draus.
-
Herald: Danke.
Mikrofon 8: Letztens, im zweitvorherigen
-
Talk, ging es um diese Venenbilder. Und da
meinte der... wie war sein Name? Ich habe
-
es vergessen. Der meinte, wir müssten mal
in der Datenschleuder dann die Venenbilder
-
von irgendeinem Minister haben. Und ich
denke, eigentlich bräuchten wir die
-
Gesundheitsakte von einem Minister.
Martin: Das hätte eine Schockwirkung, ja.
-
Mikrofon 8: Und das ist meine Frage.
Martin: Aber...
-
Mikrofon 8: Würde das irgendwas bringen?
Martin: Wahrscheinlich nicht. Es wäre
-
zumindest eine Aktion, die nicht den
Respekt der Gesellschaft dir bringt, der
-
es dir ermöglicht, eine Änderung zu
erkämpfen, aus meiner Sicht. Aber da haben
-
viele andere Meinungen. Das wäre
vielleicht etwas, was man persönlich
-
diskutieren kann.
Herald: Mikrofon vier bitte.
-
Mikro 4: In den letzten Tagen ging eine
Meldung durch die verschiedenen Zeitungen,
-
dass Frau Dorothea Bär, Staatsministerin,
gesagt habe, das Problem, dass die
-
Digitalisierung des Gesundheitswesens bei
uns so hintendran ist, da gab's einen
-
OECD-Report, wo wir auf dem vorletzten
Platz gelandet sind, das läge an dem
-
Datenschutz. Und wir müssten dort
abrüsten. Haben wir nicht schon längst
-
abgerüstet?
Martin: Ich meine, wir können jetzt nicht
-
Deutschland sagen, ohne die gesamte
Europäische Union zu vergleichen. Wir
-
haben ja überall dieselbe
Datenschutzgrundsatzverordnung. Deshalb
-
verstehe ich das Argument erstmal nicht,
dass wir in Deutschland einen besonders
-
guten Datenschutz haben. Das ist nämlich
dasselbe wie in allen anderen Ländern der
-
Europäischen Union.
Und ich habe ja paar Beispiele gezeigt:
-
Norwegen usw. Da hilft es ja auch nichts.
Also abrüsten ist, glaube ich, nicht die
-
Lösung. Nein. Das Gegenteil ist der Fall.
Herald: Das Internet, bitte nochmal!
-
Internet: Inwiefern wurden denn bei den —
es waren ja jetzt bisher nur gesetzliche
-
Krankenkassen — wurden denn betriebliche
Krankenkassen überprüft?
-
Martin: Betriebliche Krankenkassen? Ich
glaube, da waren einige dabei. Bei Vivy
-
sind, glaube ich - oder bei TeleClinic z. B.,
die stellen Betriebsärzte und so
-
weiter. Also alle Anbieter, also Vivy,
TeleClinic, CGM, vitabook, die sind sowohl
-
privaten als auch gesetzlich
Krankenversicherungen offen. Und die
-
arbeiten auch sehr viel mit privaten
Krankenversicherungen zusammen. Z. B. AXA.
-
Wie weit jetzt betriebliche noch mit
involviert sind, müsste man recherchieren.
-
Herald: Mikrofon drei, bitte!
Mikro 3: Mich würde interessieren, ob es
-
da nicht eine Möglichkeit gibt, dass man
da tatsächlich mit einem Lesegerät und der
-
Gesundheitskarte etwas macht. Ich verstehe
nicht, dass man da einen externen Chip
-
hat, auf dem man möglicherweise die
Private Keys eben nur schreibbar etc.
-
speichern kann und auf der Basis nicht
irgendwie ein sicheres
-
Authentifizierungsmerkmal oder -methode
dann eben ausbaut.
-
Martin: Eine sehr gute Frage. Also wir
haben ja ein Trust Anchor: Das ist ja die
-
elektronische Gesundheitskarte. Da haben
wir einen privaten Schlüssel drauf. Warum
-
nehmen wir den nicht? Ganz einfach: Keiner
hat ein USB-Lesegerät, was er einfach an
-
sein Smartphone stecken kann. Und die
Vision von unserem Gesundheitsminister ist
-
ja, dass das über ein Smartphone, wie
Online-Banking, genutzt werden soll. Denn
-
bisher nutzt es ja keiner. Es nutzt ja
keiner, und das bringt dann den
-
Krankenkassen auch nichts.
Herald: Du kannst einmal tief durchatmen -
-
wir haben richtig Zeit noch, 12 Min.
Martin: Ah, wir haben noch 12 Min. Da kann
-
ich nochmal ganz kurz was dazu sagen: Wir
haben nämlich in dem aktuellen Standard,
-
den die gematik verabschiedet hat, jetzt vor paar
Tagen, vor einer Woche glaub ich genau, ist
-
die elektronische Patientenakte so
spezifiziert, dass der Zugang nur über die
-
elektronische Gesundheitsakte möglich ist.
Das Problem ist, das wird niemand nutzen.
-
Außer ein paar Verschrobene, die halt
ihren Cardreader an den PC anschließen
-
und dann einen Androidsimulator laufen
lassen, oder das vielleicht gleich an das
-
Androidgerät stecken. Also – das wird nicht
genutzt. Und deswegen wurde jetzt auch
-
schon gleich von der gematik gesagt:
Spätestens bis zum März, Ende März 2019,
-
kommt das Update raus. Und zwar:
Patientenakte 1.1. Und da sind wir dann
-
soweit. Und da wird dann spezifiziert, wie
wir ohne die Gesundheitskarte darauf
-
zugreifen dürfen. Und es bringt auch
nichts zu sagen: "Die Patientenakte können
-
wir nur mit Gesundheitskarte benutzen. Nur
sicher, nur mit Gesundheitskarte." Denn da
-
kommen Anbieter wie Vivy und sagen: "Bei
uns geht das ohne! Kommt doch zu uns!
-
Viel einfacher!" Und klar, dann nutzen die
Mehrheit der Versicherten natürlich die
-
einfache Variante. Das heißt, hier haben
wir wirklich diesen Wettbewerbsnachteil,
-
über den ich geredet habe. Die sicher
spezifizierte Akte wird niemand nutzen.
-
Herald: Mikrofon sechs, bitte!
Mikro 6: Ja, also eine Anmerkung: Es wird
-
wahrscheinlich sehr interessant, sobald es
Quantencomputer gibt, die genug
-
physikalische Qubits haben, um reale
Qubits fehlerfrei genug zu simulieren,
-
dass man tatsächlich auch Anwendungen wie
beispielsweise Brute-Force an
-
verschiedensten Verschlüsselungsverfahren
ausführen kann, wird es sehr interessant,
-
genau solche Daten eben geheim zu halten.
Gerade wenn man so Reaktionen sieht, wie
-
langsam das dann abläuft. Es muss ja,
sobald irgendwie bekannt wird, dass es so
-
einen Quantencomputer gibt, sofort auf
andere Algorithmen umgestellt werden, die
-
dann... ja, ich beende das einfach jetzt.
Martin: Ja, also man müsste klar auf
-
Quantenkryptographie zurückgreifen,
Algorithmen die dort noch als sicher
-
gelten. Im Zeitalter der Quantenkrypto –
da gab es doch diesen Einführungstalk –
-
wer war alles da? Vielleicht können da
Leute jetzt die Frage beantworten. Also –
-
das Problem ist, dass wir in zwanzig Jahren
nicht sagen können, ob dieser oder jener
-
Algorithmus dann noch Sicherheit bietet.
Auch mit Quantenkryptographie. Es gibt
-
Vorschläge, wie wir auch über zwanzig Jahre
hinaus Gesundheitsdaten sicher speichern
-
können. Und da setzen wir eben nicht auf
Kryptographie, sondern auf verteilte
-
Speicherung. Das heißt wir müssen die
Daten ein bisschen hier, ein bisschen da,
-
ein bisschen dort speichern, und
versuchen, diese Zuordnung irgendwie
-
geheim zu halten. Wie das genau geht, das
weiß ich nicht. Habe ich nur kurz gelesen.
-
Das ist der Prof. Buchmann von dem ich
vorhin geredet habe. Der hat sich da wohl
-
– der ist da wohl sehr kundig. Also es
gibt da Ansätze, wie wir auch ohne
-
kryptografisch sichere Algorithmen in zwanzig
Jahren Daten noch sicher halten können.
-
Problem ist nur: Die gematik spezifiziert
eine zentrale Datenhaltung. Also, es ist
-
jetzt spezifiziert und das ändert sich
auch so schnell nicht.
-
Herald: Mikrofon fünf, bitte!
Mikro 5: Du hast in deinem Talk die
-
Datenschutz-Grundverordnung und das
finanzielle Risiko der Betreiber
-
angesprochen. Wie viele Betroffene oder
potentiell Betroffene müssten sich
-
beschweren oder sich vertreten lassen beim
Beschweren durch so etwas wie
-
"Datenschmutz", damit es denen wirklich
weh tut, damit die wirklich etwas daran
-
ändern.
Martin: Das ist nicht mein Gebiet, ist
-
aber eine sehr gute Frage, und die würde
ich gerne weitergeben. Vielleicht gibt es
-
jemanden im Publikum, der sich damit
auskennt. Also, das Problem ist ja auch:
-
Wie bezifferst du den Schaden der dadurch
entsteht? Also bislang hat der Betreiber
-
ja keine persönliche Haftung dafür, dass
er deine Gesundheitsdaten veröffentlicht
-
und dass du dann in zehn Jahren keinen Job
bekommst. Wie willst du das nachweisen?
-
Ich glaube das wird ganz schwer und das
ist etwas was wir vielleicht jetzt anregen
-
sollten, darüber mal nachzudenken: Also
wie beziffere ich den Schaden der
-
entsteht, wenn meine Gesundheitsdaten
komplett offenliegen. Meine Gesundheit für
-
die nächsten 80, 70 Jahre, je nachdem wie
lange ich leben möchte. Also auch die
-
meiner Kinder.
Herald: Mikrofon zwei!
-
Mikro 2: Bei den Dingen, die ihr da
entdeckt habt, an diesen Applikationen
-
dort, da wird es keine zwanzig Jahre dauern,
bis die Daten alle öffentlich sind. Aber diese
-
Aussage, es gibt keinen Datenspeicher der
auf die nächsten zwanzig Jahre sicher ist,
-
ist jetzt auf einen zentralen Datenspeicher
bezogen. Mal darüber nachgedacht, wie es
-
eigentlich aussieht mit den ganzen
Patientenmanagementsystemen, die wir jetzt
-
so verstreut haben, und dann muss es
eigentlich eine sehr ähnliche Aussage
-
geben, und ich bin eigentlich erstaunt
darüber dass man wirklich noch mit zwanzig
-
Jahren rechnet. Gibt's da
irgendwie Daten zu?
-
Martin: Also diese zwanzig Jahre, die habe ich
aus einem Zeitungsbericht oder Interview
-
von dem Prof. Buchmann genommen. Da würde
ich sagen: Besser mal in die Literatur
-
schauen, was da wirklich dahinter steht.
Aber, was die Datenspeicherung angeht:
-
Momentan liegen die Daten alle verstreut
in Arztinformationssystemen,
-
Klinikinformationssystem, und natürlich
wird hier und da schon mal was geleakt
-
oder gestohlen. Problem ist halt nur, wenn
die Daten auf einmal auch ausgetauscht
-
werden können, und wenn es eine zentrale
Datenhaltung gibt, dann wird das Ganze auf
-
einmal angreifbarer. Und da muss ich nicht
überall hingehen und ein bisschen was
-
klauen. Und dann wird das auch viel eher
genutzt, diese Datenspeicherung. Und dann
-
hab ich viel eher die Möglichkeit, auch
zentral Daten abzuführen. War das so –
-
oder worauf zielte die Frage ab?
Mikro 2: Die Firma CGM, die da genannt
-
worden ist, hat mehrere
Konkurrenzunternehmen aufgekauft und
-
bietet den Ärzten an, dass dann die Daten
konvertiert werden, weil sie diese
-
Produkte nicht mehr fördern, aber eine
eigene Applikation haben, die natürlich
-
ganz wunderbar ist, die sie den Ärzten
dann gerne verkaufen. Und dann werden die
-
Daten konvertiert. Das heißt also, da gibt
es schon so an einer gewissen Stelle eine
-
gewisse zentrale Datenhaltung.
Martin: Ja, das Problem ist, ich glaube,
-
vielleicht wissen wir auch vieles noch
nicht. Vielleicht ist es auch noch nicht
-
so an die Öffentlichkeit gelangt, wo es
denn schon Leaks gab. Also, das was ich
-
aus den USA gezeigt habe, dass waren halt
meldepflichtige Leaks, da wo Daten
-
abhanden gekommen sind. In Deutschland
habe ich da zu Gesundheitsdaten noch nicht
-
viel gefunden.
Herald: Mikrofon vier, bitte!
-
Mikro 4: Die Gesundheitsdaten, die sollen
ja auch pseudonymisiert für
-
Forschungszwecke verwendet werden dürfen.
Könntest das vielleicht noch ausführen?
-
Martin: Ja, das habe ich jetzt nicht in
diesen Talk eingebaut, das wäre nochmal
-
ein komplett eigenes Thema:
Pseudonymisierte Speicherung. Kann man
-
kritisieren. Vivy speichert auch
pseudonym, schickt dann aber z. B. deinen
-
lacht 2-Faktor-Code mit. Lacht Oder:
Wenn du dich in Vivy einloggst, loggt sich
-
Vivy zeitgleich in dein pseudonymisiertes
Konto ein und schickt dann die Daten
-
pseudonymsiert da hoch. Das heißt, du
bist in dein Originalkonto eingeloggt und
-
gleichzeitig auch in ein Schattenkonto.
Nennt sich so, "Shadow Profile". Das heißt
-
du bist immer gleich zweimal angemeldet:
Mit deinem Gerät, mit deinem Token und so
-
weiter. Das heißt: Auf der Seite der Vivy-
Plattform ist es eigentlich technisch machbar,
-
dich wieder zuzuordnen. Da muss man wirklich
dem Anbieter vertrauen. Es gibt ja auch
-
schon Forderungen, dass man Datenspenden
einfordert. Das heißt, es gab politisch die
-
Forderung, dass die Datenspende erzwungen
werden muss, um forschenden
-
Pharmaunternehmen Zugriff zu gewähren.
lacht ...ja.
-
Herald: Mikrofon drei, bitte!
Mikro 3: Nümünümünümüne...Ich dachte
-
eigentlich immer, dass der Austausch von
verschlüsselten Daten oder generell von,
-
naja, verantwortungsvollen Daten gelöst
sei. Also ich meine, in den Gremien, in
-
denen ich sitze, schaffen es Leute auch
wirklich sichere Daten miteinander
-
auszutauschen. Ich meine, mein Seafile
kann das. Warum kriegen das die Ärzte
-
nicht hin? Gibt es eine Alternative, die
wir den Ärzten vorschlagen könnten, die
-
sie zumindest für die nächsten zehn Jahre
benutzen könnten. Ob dann eben mit Post-
-
Quantum-Kryptographie die Daten in Nevada,
die im DE-CIX ausgelesen werden, dann doch
-
entschlüsselt werden, ist ja nochmal eine
andere Debatte.
-
Martin: Das Problem ist: Spezifikation ist
nicht immer das, was implementiert wird.
-
Also für Vivy gibt es ein Whitepaper des
Fraunhofer-Instituts AISEC, wo das alles
-
schön spezifiziert ist. Aber was dann
implementiert wurde, ist nicht unbedingt
-
das, was da drin steht. Das heißt,
da gibt es eine Kluft. Da wird
-
nicht verifiziert oder validiert, dass das
auch so stimmt. Und dann, räusper
-
wenn ich diese Daten – Entschuldigung,
die Frage nochmal ganz kurz?
-
Mikro 3: Gibt es eine Alternative, die wir
den Ärzten jetzt empfehlen können, um
-
gemeinsam Daten auszutauschen?
Martin: Schwierig. Also wirklich sehr
-
schwierig. Immer möglichst dezentral,
möglichst nicht über einen zentralen
-
Datenspeicher. Da kann ich jetzt nichts
empfehlen. Also bislang geht das halt:
-
ausdrucken und mitnehmen. Es ist jetzt
auch keine Alternative für die, die
-
chronisch krank sind.
Mikro 3: Faxen!
-
Martin: Ja, faxen. lacht
GelächterApplaus
-
Herald: Das Schlimme ist: Er hat
wahrscheinlich Recht, oder?
-
Martin: Das große Problem ist: Wir haben
halt keine - Wenn wir Ende-zu-Ende
-
verschlüsseln wollen, wie bei PGP, dann
brauche ich ja Keys, die muss ich ja mal
-
ausgetauscht haben, verifiziert haben. Und
das muss irgendwie automatisiert gehen
-
sonst läuft das im großen Stil nicht. Und
das fehlt halt. Wir haben halt auf Seiten
-
der Ärzte inzwischen die Telematik-
Infrastruktur bei vielen. Da gibt es dann
-
eine Identität, darüber können wir das
laufen lassen. Auf Seiten der Patienten
-
gibt es die Gesundheitskarte. Ja, das ist
genau das Problem: Patientenakte wollen
-
wir halt nicht mit der Gesundheitskarte
verknüpfen, weil es keiner nutzt.
-
Herald: So, und jetzt die letzten drei
Fragen die hier stehen, die möchte ich
-
alle drei noch abschießen. Ganz schnelle
Frage – ganz schnelle Antwort. Nummer vier!
-
Mikro 4: Was ist der Unterschied zwischen
Gesundheitsdaten und Patientendaten?
-
Martin: Die Gesundheitsakte und
Patientenakte, die zwei? Gesundheitsakte
-
ist optional zu verwenden für die Ärzte.
Patientenakte ist – wenn du eine hast,
-
müssen die Ärzte die Daten da
reinspeichern. Das ist quasi funktional
-
der einzige Unterschied. Und:
Patientenakte wird von der gematik
-
spezifiziert.
Herald: Die Nummer acht!
-
Mikro 8: Zu Vivy: Du hast gesagt, die
haben den Schlüssel, den Private Key, auf
-
dem Ärztefrontend irgendwie lesegeschützt.
Wie soll denn das gehen im Browser, wenn du
-
XSS kannst?
Martin: Es gibt diese Web-Crypto-API im
-
Browser. Und die Web-Crypto-API, da kannst
du sagen: "Exportable". Also kannst du
-
sagen: "Der Key kann ich exportiert
werden." Das heißt, das ist ein Objekt, das
-
Objekt kapselt den Zugriff und solange die
JavaScript-Engine richtig implementiert
-
ist, kannst du dann auch nicht auf diesen
internen privaten Variablen zugreifen.
-
Mikro 8: Also du gibst dann deine Daten
rein, der macht Crypto, und...
-
Martin: Ja, du hast ein Objekt mit der
Methode Encrypt() und Decrypt(), aber den
-
Schlüssel bekommst du nicht zu sehen.
Mikro 8: Alles klar!
-
Herald: Last but not least. Nummer fünf!
Mikro 5: Ich habe keine Frage, ich würde
-
noch kurz eine Idee anmerken, die halt
nicht auf einer technischen Ebene ist,
-
aber wie schon angesprochen wurde: Alle
Gesundheitsdaten sind sensibel und
-
besonders auch so Sachen wie
Schwangerschaftsabbruch und HIV oder
-
andere Diagnosen, so Schizophrenie,
Depression, alles. Und ich würde sagen,
-
die Idee ist halt sich auch mit den Leuten
und den Interessenverbänden jetzt schon
-
mal auseinanderzusetzen und was die jetzt
schon an Forderungen haben zu versuchen
-
umzusetzen, weil technisch glaube ich
werden die Daten halt öffentlich sein und
-
dann ist es halt: Wie gehen wir
gesellschaftlich mit Leuten um, die
-
schwierige Diagnosen haben.
Martin: Genau das ist auch die Aussage
-
von meinem Talk. Ich kann die
technischen Probleme aufzeigen, aber
-
die gesellschaftliche Antwort – wie wir damit
umgehen oder was die Forderung daraus
-
sind, das müssen wir gemeinsam
machen, bzw. auch mit den Medical
-
Professionals, mit denen, die sich wirklich
damit ihr Leben lang beschäftigt haben.
-
Herald: Doch noch eine Frage, weil ihr
seid nicht barrierefrei, Ich kann durch
-
euch nicht durchschauen. Bitte einmal
Mikrofon drei!
-
Mikro 3: Dankeschön. Meins rangiert eher
unter Anmerkung. Ich habe vor etwas über
-
einem Jahr an CGM eine Mail geschickt, die
habe ich gerade mal rausgekramt. Da wurde
-
von einem Facharzt, habe ich einen Link
gehabt: http. Und da sollte ich dann meine
-
persönlichen Daten eingeben. Da hab ich
gedacht ok, das breche ich jetzt ab. Habe
-
denen gemailt: "Leute, https wäre mir an
der Stelle lieber gewesen." Und habe dann
-
die Antwort bekommen: "Zu Ihrer Anmerkung
bezüglich der verschlüsselten Verbindung
-
können wir sie beruhigen: Die Übermittlung
der Daten erfolgt über eine interne
-
sichere Leitung in verschlüsselter Form."
Das sei vorgeschrieben und – toll!
-
GelächterApplaus
Martin: Interessanter Beitrag!
-
Herald: Auf die Qualität können wir uns in
Zukunft freuen, ne?
-
Martin: lacht ja...
Herald: Martin Tschirsich!
-
35C3 Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!
