 Er beschreibt sich selber als integrierter Bürger und mit Kenntnissen in grafischer Datenverarbeitung und IT-Sicherheit. Und er wird euch jetzt mal sagen, warum All your Gesundheitsdaten not belong to you. Herzlichen Dank, dass so viele zu abendliche Stunde hier sind. Es geht um All your Gesundheitsdaten, All belong to us. Sicherer als Onlinebanking haben sie gesagt, das wollen wir jetzt mal schauen, ob das so stimmt. Vivi, davon haben vielleicht einige von euch schon gehört. Vivi ist angetreten vor einigen Monaten als elektronische Gesundheitsakte. In Vivi, eine App, kann man Röntgenbilder austauschen, man kann sein Impfpass führen, man kann seine Medikamente dort hinterlegen. Alles rund um die Gesundheit kann man mit Vivi machen. Und insbesondere, man kann seine Dokumente an seinen Arzt schicken. Der Arzt kann Befunde dort hinterlegen, Diagnosen hineinschreiben und so weiter. Hier sehen wir drei Bildschirme von Vivi. So sieht das aus, eine App für iOS und Android. Und Vivi wurde am 17.09. veröffentlicht, gar nicht so alt, hat ein großes Medienecho in der Tagespresse erzeugt. Und das liegt daran, dass Vivi die erste App ist, die von so vielen privaten und gesetzlichen Krankenkassen gleichzeitig finanziert wird. Das heißt, da stehen für 13 Millionen inzwischen deutlich mehr Versicherte die Krankenkassen dahinter und bezahlen diese Anwendung. Kostet normalerweise so um die 5 Euro im Monat, also übernehmen die Krankenkassen, damit ihr diese App nutzen könnt. Und ein Tag nach dem Release von Vivi gab es wieder ein Medienecho, diesmal andere Art, Datenschutzmängel. Ein Herr Kucketz hat Vivi angeschaut und gesehen, Vivi überträgt Telemetriedaten, also werdet das Benutzerverhalten aus und schickt die Daten an verschiedene Server in den USA, in Singapur und so weiter. Das passt nicht zu so einer Gesundheitsapp, besonders eine, die von unseren ganzen Krankenkassen finanziert wird. Und das war der Aufhänger, da habe ich mir Vivi heruntergeladen, da habe ich gedacht, jetzt wird es interessant und habe sie mal angeschaut. Das war das Resultat, mehr als ein Monat später gab es dann nochmal Medienecho, auch nochmal zum Thema Vivi, diesmal Sicherheitsmängel. Es hieß dann Patienten-Daten in Gefahr, Vivi gravierende Sicherheitsmängel in Krankenkassen-App und das Ganze habe ich dann zusammen mit Thorsten Schröder veröffentlicht in einem Bericht. Und ich will mir kurz vorstellen, was denn bei Vivi so alles schiefgegangen ist. Also, Vivi dient hauptsächlich dem Austausch von Dokumenten zwischen dem Patient und dem Arzt. Das heißt, der Patient hat sein Smartphone, hat da verschiedene Röntgenbilder, Diagnosen, Berichte und möchte diesen neuen Arzt senden. Das geht über die Vivi-Plattform. Vivi ist eine Cloud-Plattform. So, ich schick die in die Cloud. Vivi erzeugt dann eine Session. Das ist eine fünfstellige Session-ID, bestehend aus Kleinbuchstaben. Einige haben es schon erfasst, ich sehe. Ich mache trotzdem weiter für die anderen. So, und der Arzt, dem gibt man diesen Link per E-Mail, Fax, Telefon persönlich und er kann dann unter diesem Link das in dieser Session gespeicherte Dokument einsehen. Deswegen jetzt viele gelacht haben, natürlich eine fünfstellige Session-ID entspricht nicht so ganz den Sicherheitsvorstellungen, die einige hier wohl haben. So eine Session-ID, fünfstellig kann man quasi alle Session-IDs, die aus Kleinbuchstaben bestehen, aus fünf Kleinbuchstaben, kann man in einem Tag locker durchprobieren. Also nicht händisch, da schreibt man sich dann ein kleines Skript und dann läuft das durch. Und dann hat man alle mal getestet, ob da ein Dokument liegt und eventuell wird man ja fündig. Und wenn man fündig wird, also wenn man eine Session-ID findet und der tatsächlich jemand ein Dokument gespeichert hat, sieht man sowas. Das sind Metadaten. Also sowas wie den Namen des Versicherten, die Versichertennummer, das Bild, Adresse, behandelnde Arzt, Adresse des Arzes, Spezialität des Arztes, Alter, Geschlecht, Sprache. Also nur Metadaten, aber wir sehen schon diese Daten, die wir mal nicht öffentlich haben. Insbesondere, wenn ich dann bei einem sensiblen Thema zu einem Arzt gehe, sagen wir mal Schwangerschaftsabbruch oder Schwangerschaft allgemein oder Psychologie, ich gehe zum Psychologen, weil ich mich irgendeine Behandlung unterziehen möchte. Und das können dann, du, ich, jeder kann das einsehen, wenn er möchte, oder konnte das einsehen auf der Vivi-Plattform. Wenn ich die Daten dann einsehen möchte, also das Dokument, was darüber transportiert wurde in dieser Session, dann muss ich eine vielstellige PIN eingeben. Okay, also ich sehe, das brauche ich nicht erklären. Vielstellige PIN, das sind, wie viele Versuche? 1000, genau. Und dann habe ich die. Also es ist kein Hexenwerk. Und ich muss nur schneller sein als der Arzt. Dann klappt das. Vivi hatte noch mehr Mängel. Fishing war ein toller Aspekt, den man nicht erwarten würde in der Gesundheits-App. Vivi erlaubt es, zwischen versicherten Dokumente auszutauschen und auch Dokumente vom Arzt zu empfangen. Und hier sehen wir drei Dokumente, zweimal eine Invoice, eine Rechnung und einmal eine Prescription, eine Verschreibung durch den Arzt. Und wenn ich die untere Invoice öffne, oh, da muss ich mich neu einloggen. Es passiert bei Vivi sehr oft. Man muss sich sehr oft einloggen, es ist ein Sicherheitsfeature. Die Session läuft halt sehr schnell ab. Wenn ich mich allerdings hier einlogge, dann geht das Passwort nicht an Vivi, sondern da ging es an mich. Ja, liegt daran, dass ich HTML-Code in ein Webview in diese App einschleusen konnte und mir dann basteln konnte, was mir so gefällt. Fishing, das erwartet mir nicht in der Gesundheits-App. Danke sehr. Aber wenn ich das Passwort geklaut habe, komme ich noch nicht in die App rein. Es gibt zwei Faktor-Ordentifizierung. Klar, die Profis und euch wissen, Fishing, zwei Faktor-Ordentifizierung, das geht auch. Aber sagen wir, ich habe den zweiten Faktor nicht. Den brauche ich aber. Wenn ich mich einloggen möchte bei Vivi, dann geht das über folgenden HTTP-Request. Username, Passwort und dieser Code. Dieser Code ist der zweite Faktor, ein TOTP-Token. Den brauche ich, sonst komme ich nicht rein. Aber was mache ich, wenn ich den nicht habe? Ja, probieren wir halt mal. Also Brute-Forcing, ein ganz großes Thema. So simple es klingt, damit lagen alle Metadaten dieser Plattformen über diese Session IDs offen. Zweite Faktor-Ordentifizierung konnte ich komplett umgehen. Die Dokumentenpin war nutzlos. Erwartet man sowieso nicht. Aber es geht auch weiter. Vivi hat eine Ende-zu-Ende-Verschlüsselung. Das heißt, wenn ich als Benutzer ein Dokument an den Arzt schicke, geht das nicht so direkt über die Leitung, sondern der Arzt, der öffnet ja diesen Link in seinem Browser und dann erzeugt der Browser instantan für den Arzt ein Key. Ein kryptografischer Schlüssel. In JavaScript wird er erzeugt und er wird im Browser gespeichert. So, der Arzt bzw. sein Browser schickt diesen Key dann an den Patienten bzw. an die App. Die App verschlüsselt damit das Dokument und das verschlüsselte Dokument geht dann an den Arzt. Soweit so gut. Problem ist nur, dieser Schlüssel liegt im Browser. Der lag im Local Storage, falls es jemandem was sagt, im Browser. Und Browser-Apps sind anfällig gegenüber Cross-Head Scripting. Häufig. Vivi war anfällig gegenüber, glaube ich, drei Persistenten haben wir gefunden, haben wir aufgehört. Cross-Head Scripting-Angriffen. Das heißt, ich musste dem Arzt nur einen Link schicken und das machen viele, die schicken dem Arzt ja links und klickt der Arzt darauf, dann konnte ich den privaten ASA-Key auslesen. Insgesamt ergerben sich dann so über 15 Befunde zum großen Teil von, aus meiner Sicht, hoher Kritikalität. Natürlich sieht Vivi das anders. Das habe ich zusammen mit Thorsten Schröder veröffentlicht. Er hat sich da ein bisschen vor mich gestellt wegen der Responsible Disclosure. Ein ganz herzlichen Dank dafür hier öffentlich. Coordinated Disclosure. So sah das aus. Also eigentlich aus meiner Sicht, so soll es laufen. Coordinated Disclosure, wir haben Vivi informiert. Am 21., da hat man direkt eine Telefonkonferenz. Vivi gehörte Allianz, 70%. Dann kam der Allianz CISO, hat sich das auch angehört. Da waren wir schön in einer kleinen Runde. Um elf Nacht saßen wir in Berlin, haben darüber diskutiert. Finale Bericht ging raus, haben wir ein bisschen verlängert die Frist und am 30.10. veröffentlicht. Und dann haben sich unsere Meinung ein bisschen auseinander definiert. Reaktion von Vivi auf unsere Veröffentlichung. Ein reales Risiko für die Sicherheit der Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt. Ja, ich glaube, ihr werdet das jetzt anders sehen. Netzpolitik hat dann öffentlich gemacht, was im Hintergrund passiert ist. Vivi hatte allen Magazinen online Berichterstattern vorgeworfen, Falschaussagen zu veröffentlichen. Hat angerufen in den Redaktionen und gesagt, das sind Falschaussagen. MoZiro kann das nicht belegen. Das heißt, das war mein Arbeitgeber, ich kann das nicht belegen. Das müsst ihr zurücknehmen, müsst ihr öffentlich schreiben. Das ist alles wohl nicht wahr. Zum Glück gab es ein paar Leute, unter anderem bei Netzpolitik.org, die das den Braten gerochen haben, haben dann veröffentlicht, was da im Hintergrund passiert. Vivi versucht, die Berichterstattung zu korrigieren. Der Thorsten Schröder, von dem ich eben geredet hatte, hat dann sich noch anhören müssen, dass es da juristische Konsequenzen geben soll. Das Ganze ging dann auf eine nicht zu erwartende Art, wurde dieser Streit dann fortgeführt. Die Details erspare ich euch jetzt, nur falls ihr davon was mitbekommen habt zu Vivi, wisst ihr jetzt die Hintergründe. Aus unserer Sicht haben wir wirklich versucht, koordinative Disclosure so verantwortungsvoll wie möglich zu machen. Ich hoffe auch weiterhin, ich werde das auch weiterhin so machen, dass es vielleicht auch bei Vivi angekommen ist, dass das von unserer Seite aus verantwortungsvoll laufen sollte und das nicht erwartet war. Vivi hat gesagt, von 24 Stunden haben die alle Fehler behoben. Wer glaubt? Ich habe für euch nachgeschaut, also offiziell natürlich nicht, aber ich habe jetzt vor vier Wochen nochmal nachgeschaut und es gibt da einen lustigen Angriff, das Wort Lustig nehme ich zurück. Das sollte man hier nicht verwenden bei gesundheitsdaten. Dokument an den Arzt schicken als Versicherter, als Vivinutze. Ich kann dem Arzt natürlich auch ein bösartiges Dokument schicken. In diesem Dokument ist JavaScript drin. JavaScript wird im Browser vom Arzt ausgeführt und stielt dann alle Dokumente, auf die diese Art Zugriff hat, von allen anderen Versicherten und sendet sie an mich aus meiner Sicht kritisch. Ich habe mal geschaut, so nach ... in der vor 24 Stunden behoben. Da sehen wir auf der einen Seite den Angreifer, der gibt sich als Vivinutzer aus. Das ist sein Vivibildschirm auf dem Handy und im Browser, das ist der Arzt, der hat den Browser offen und wartet, dass er den Link bekommt und eingeben kann. Ich muss jetzt kurz wechseln. Ich will nämlich das als Video zeigen. So sieht das aus. Der Arzt gibt die Session ID ein. Die wurde jetzt verlängert, die Session ID. Das ist nicht mehr fünf Stellen. Das haben sie behoben. So. Jetzt gibt der Arzt seine Pin ein. Als bösartiger Nutzer gebe ich dir natürlich dem Arzt. Jetzt lädt der Arzt das Dokument, es wird entschlüsselt und jetzt öffnet der Arzt das Dokument im Browser. So. Was ist passiert? Das Dokument hatte JavaScript. Das JavaScript wurde ausgeführt. Das hat jetzt von anderen Versicherten, hier ist es der Peter, dem seine Diagnose heruntergeladen und seine Befunde und hat diese Befunde an all yourGesundheitsakten abilongtoast.com geschickt. So. Das passiert jetzt alles im Browser des Arztes. Es funktioniert weiterhin. Naja, nicht behoben. Was aber auch geht. Eines haben sie behoben. Man kann den Kiel nicht mehr auslesen. Der ist lesegeschützt. Aber er ist nicht schreibgeschützt. Natürlich überschreibe ich dann den privaten Kiel, mit dem du das angreifest, beziehungsweise meinen eigenen. Und wenn ich dann zukünftig mal solche Dokumente in die Hände bekomme, kann ich die alle mit meinem Schlüssel entschlüsseln. Es ist das Problem, wenn ich Ende zu Ende Verschlüsselung habe, ohne dass ich eine Identität für den Arzt habe, ohne dass ich den authentifizieren kann. Dann muss ich jeden Schlüssel akzeptieren. Ich kann das ja nicht verifizieren. So. Es gibt hunderttausende kaputte Gesundheitsapp. Warum ist wie interessant? Warum ist das relevant? Da muss ich ganz kurz in das E-House-Gesetz einsteigen. Es wurde 2015 verabschiedet und sieht vor, dass letztes Jahr die Videosprechstunde eingeführt wurde. Im Baden-Württemberg ist das schon soweit. Da können gesetzlich Versicherte per Video Arzt kontaktieren und mit dem Arzt auch eine Fernbehandlung durchführen lassen. 2018, also dieses Jahr, gab es den Bundeseinheitlichen Medikationsplan. Und ab nächstem Jahr, 1. Januar, soll es die elektronische Patientenakte geben. Bis 2021 soll die Flächendeckend eingeführt sein. Elektronische Patientenakte. Elektronische Gesundheitsakte gibt es, das ist Vivi. Schon seit 2004 haben die Krankenkreis die Möglichkeit, das zu erstatten. Und es gibt also auf der Telematikinfrastruktur mit Anbindung an die Telematikinfrastruktur. Ärzte müssen sie aber nicht nutzen. Und die elektronische Patientenakte, die nächstes Jahr kommen soll, die ist jetzt schon von der Gematik spezifiziert. In Teilen zumindest. Die wird dann zwingend auf der Telematikinfrastruktur laufen und wird auch zwingend genutzt werden müssen von den Ärzten. Es gab dann ein Update für dieses E-House-Gesetz. In diesem Jahr. Weil Telematikinfrastruktur, Gesundheitskarte und so, das ist ja alles, läuft nicht so richtig. Da müssen wir was machen. Dann hat sich unser Gesundheitsminister gedacht, Tablet und Smartphone, darüber müssen wir auf diese Patientenakte zugreifen können. Gesundheitskarte ist ein bisschen old-fashioned. Das brauchen wir nicht mehr. Online Banking ist das Vorbild. Deswegen auch das Subtitel von dem Talk. Online Banking soll als Vorbild in Sachen Sicherheit dienen. Diese Maßnahmen dürfen keine Aufschub. Das heißt, ab sofort, ich glaube, in drei Monaten will die Gematik das fertig spezifiziert haben, wie ich mich in diese Patientenakte einloge auf meinem Smartphone, ohne Gesundheitskarte. Das ist also der Hintergrund. Und Vivi ist sowas wie der Testballon der Krankenkassen für die Akzeptanz dieser elektronischen Patientenakte. Denn die Krankenkassen, gesetzlich und privat, sind natürlich sehr interessiert daran, dass möglichst viele diese Akte nutzen, Vivi oder auch Konkurrenten, damit sie sich auch Einsparungen verbunden, das sind auch Vorteile verbunden für uns alle. Das Wort nehmen wir halt nicht Vivi. Ich habe ja eben gesagt, es gibt ja auch Konkurrenten. Es gibt einige, zum Beispiel von Compute Group, es gibt CGM Live, es gibt Wieter Book. Es gibt einen ganz alten Vertreter dieser Art, das ist Gesundheitsakte.de von CareOn. Es gibt von der TK in der Beta-Phase noch TKSafe. Und auch was die Videosprechstunde anbelangt, da gibt es einige Anbieter. Das ist nur eine kleine Auswahl. Teleklinik, das in Baden-Württemberg dieses Experiment, das Dok direkt. Und von Ärzten selbst geschaffen, gibt es mein Arzt direkt. Fernbehandlungen für alle. So, wer kann es besser? Wer macht es besser als Vivi? Das war die Frage, die ich gestellt habe. Ich kann ja hier nicht nur mit Vivi ankommen. Da müssen wir ein bisschen mal quantitative Analyse machen. Wieter Book. Wieter Book gibt es schon seit 2011. Die haben schon Erfahrung in dem Thema. Und gewährleisten, Datensicherheit, Datenschutz und Compliance auf höchstem Niveau. So sieht es aus. Das hier ist die Susanne. Das ist ein Testkonto von Wieter Book. Kann man mal reinstuppern, wie das so aussieht. Dasselbe wie bei Vivi. Ich kann Dokumente da speichern, Hochladen mit dem Arzt teilen, Gesundheitsangaben machen, Notfallarten hinterlegen, Impfpass eintragen und alles, was ich will. Also ich kann meine gesamte Gesundheit damit verwalten. Das nennt sich Gesundheitskonto. Weil sie das Hierokonto für ihre Gesundheit. Klingt erst mal gut. Na ja, gut. 2018 erwartet man das nicht. Aber SQL-Innektionen erlauben Zugriff auf unverschlüsselte Gesundheitsdaten. Keine Ende-zu-Ende-Verschlüsselung. Wir haben Unsalted, Share One, Passport-Hashes in diesem Ding. Massiven Datenreichtum, wohin man schaut. Und kleines Schmankerl. Wenn man sich in dieses Susanne-Testkonto einloggt, sind auch Testdokumente. Und woher nimmt man Testdokumente? Man fotografiert sie von seinem Schreibtisch. Zum Beispiel, die höchstvertraulichen E-Mails, die ausgedruckt auf dem Schreibtisch bei Witerbug rumliegen, über die letzte Sicherheitsanalyse. Hier wird irgendein Befund aus irgendeiner IT Security Analyse nicht anerkannt. Also wenn ihr es stöbern wollt, Susanne, hat es für euch. Witerbug, Flatlining, Sicherheitstechnisch. Ehrmau. Beschäftigen wird es nicht weiter mit. Interessant noch? Witerbug waren die ersten, die Vivi retweeted haben. Da gesagt, ah Vivi, schaut mal. Da sollte man nicht machen. Das war auch nicht unsere Intention. Wir wollten da keine Schadenfreude oder irgendwas auslesen. Na gut, so ein Tech-Start-Ups. Witerbug ist glaube ich ein Sysco-Manager. Also nur Vermutung. Lass die Ärzte ran. Lass die Ärzte ran. Die wissen, um die Sensitivität dieser Gesundheitsdaten Bescheid, die haften ja auch persönlich ein Arzt. Wenn er die Schweigepflicht verletzt, hafte der. Das kann teuer werden. Das kann auch Freiheitsentzug bedeuten. Lass die Ärzte diese Anwendung mitbetreuen, mitentwickeln. Interessantes Beispiel. MeinArztDirect.de der das ins Leben gerufen hat. Kein Investor im Nacken. Wenn wir Ärzte die Digitalisierung nicht aktiv mitgestalten, dann haben wir alle verloren. Lassen wir die Ärzte mitgestalten und schauen es mal an. MeinArztDirect.de, so sieht das aus. Hier habe ich versucht, auf eine Rechnung zuzugreifen. Ist natürlich verboten. Ich darf nicht auf andere Rechnungen von anderen Leuten zugreifen und mir anschauen, was für Leistungen es ist. MeinArztDirect.de, Invoice, View, ID 1. Was ist, wenn ich diese Daten drucken möchte? Nicht anzeigen, nicht View, sondern Print. Woah. Wo ist denn das? Nicht so schön. Das will man gar nicht. Eigenbau. Schreiben wir das ab. Lass die Profis ran. Arzt ist schon gut, wenn er dabei ist, wenn er im Vorstand drei Leute, ein Arzt, ein Informatiker, viel Geld dahinter, ganz Baden-Württemberg, dafür über DocDirect Teleklinik nutzen. Da wird eine Videoversprechung hergestellt mit Ärzten in Baden-Württemberg. Wenn einer von euch gesetzlich versichert in Baden-Württemberg ist, einfach mal DocDirect sich einloggen. Nicht mit den echten Daten einloggen. Man kann sich auch Dokumente austauschen. Oder auch eine von den Versicherten hier. Teleklinik bietet maximale Datensicherheit und verhindert Missbrauch auf jeder Ebene. Ein 4-stoffiges Sicherheitssystem bietet die höchste Datensicherheit Deutschlands. Meine Damen und Herren, die höchste Datensicherheit Deutschlands. Applaus für Teleklinik. Wenn ich jetzt bei Teleklinik bin, dann sieht das so aus. Da habe ich in Rot meine User-ID und in Gelb mein Passwort, mein neues und dann sende ich da diesen HTTP-Request aus meinem Browser ab. Da habe ich mich jetzt gefragt, was passiert denn, wenn ich diese rote User-ID ändere, wenn ich da mal eine andere Einzweige habe. Ja, das ist nicht lustig. Das ist die höchste Datensicherheit Deutschlands. Na ja, typisch, kleine, mittelständige Unternehmen. Lass mal die Profis ran. Die, die es wissen. Also die ganz großen. Die, die wirklich die Mittel dafür haben, die es wirklich besser machen können. Wir können lachen über die Kleinen, aber wir müssen es auch die großen mal anschauen, der Ferneshalber. TKSafe, ein Beispiel. Die haben es richtig gemacht, Ende zu Ende verschlüsselt. Ich habe es mir nicht weiter angeschaut, aber hier sehen wir den Schlüssel. Der wird erzeugt in der App. Das ist der Schlüssel für den User. Wenn dieses Schlüssel verloren geht, dann geht der Zugang zu der gesamten Akte verloren. Wenn alles richtig gemacht wurde. Das heißt, wenn ich mein Handy verliere, dann habe ich meine gesamten Gesundheitsdaten verloren. Das will keiner. Deswegen, wie wie und alle anderen, die Ende zu Ende verschlüsselt anbieten, fordern eine auf diesen Schlüssel zu exportieren. Allerdings sind wir mit Schlüsseln ja noch gar nicht so vertraut. Was ist denn ein Schlüssel? Passwörter. Das hat ziemlich lange gedauert, bis wir wussten, wie wir mit Passwörtern umgehen sollen. Das ist immer noch nicht hin. Diesen Schlüssel müssen wir irgendwo sichern, exportieren. Wie geht das? Wird als QR-Code gespeichert? Schlüssel? Einige sehen es schon. Der wird nämlich in der Galerie gespeichert. Das ist jetzt ein Android-Bitcher. Wir sehen der QR-Code, der diesen Schlüssel darstellt, den ich auch wieder einscannen kann. Der wird in der öffentlichen Bildergalerie auf meinem Handy gespeichert. Der geht dann bei Google Fotos hoch und auf dem Zugriff drauf. Wenn man hier Schlüssel durch Passwort ersetzt und beide haben ja die gleiche Funktion. Wenn ich jetzt Schlüssel durch Passwort ersetze, dann heißt es da, bitte speichern Sie Ihren Passwort im Clartex in Ihre Bildergalerie. Wenn wir nicht. Da brauchen wir Passwortmanager, aber für Schlüssel. Das gibt es ja noch nicht. Da sehen wir auch, wie schwer das ist, so etwas richtig zu implementieren. TK Safe ist noch in der Beta-Phase. Die sind noch nicht live damit in der Produktivphase, also Beta-Test. Ihr könnt euch da anmelden, wenn ihr möchtet. Aber Flüchtigkeitsfehler passiert. Lass mal die Erfahrungen sprechen, die, die schon lange dabei sind. Wirklich seit Jahrzehnten auf dem Markt sind. Das ist Compute Group. Compute Group CJM Live, 5000 Mitarbeiter, knapp 600 Millionen Jahresumsatz, 55 Ländern. Die müssen wissen, die haben eine Plattform, CJM Live, und auf dieser Plattform, das ist eine Secure Medical Cloud. Da laufen alle möglichen Anwendungen. Viele Anwendungen, die Gesundheitsdaten austauschen wollen, verknüpfen sich einfach mit diesem CJM Live und speichern da ihre Daten und tauschen die aus. Einige dieser Anwendungen sind durch zwei Faktor-Authentifizien geschützt. Zum Beispiel bei der AXA. Wenn ich mich bei der AXA meine Gesundheit einloggen möchte, wer hier ist privat für sich, wer bei der AXA nicht die Hand heben, aber die sollten es wissen, da brauche ich ein Authentication Code. Ansonsten komme ich da nicht rein. Das ist diesmal richtig gemacht nicht, wie bei Vivi, da kann ich nichts put forsten, das ist schön sicher. Problem ist es nur, ich habe ja gesagt, das ist eine Plattform. Ich kann entweder über AXA da reingehen, da geht es nicht, oder ich gehe direkt über CJM Live in diese Plattform. Da geht es, brauche ich keinen zweiten Faktor. Es ist natürlich ein bisschen doof, wenn ich verschiedene Zugänge habe, verschiedene Türen zum Haus, die eine ist mit Kamera ausgestattet, dann bin ich dann auf der AXA. Das selbe wie bei Vivi ist ja auch passiert. Ich weiß nicht, wer von wem abgeschaut hat, wahrscheinlich eher Vivi von dem, weil die sind älter. Ich kann Akten austauschen, sechsstellige PIN, das sagt einigen jetzt vielleicht schon was, ich kriege eine sechsstellige PIN, unter dieser PIN die gebe ich meinem Arzt, dann kann der Arzt unter aktenblick.de dieses PIN eingeben und auf meine komplett gesunde Akte zugreifen. Sechsstellige PIN ist ziemlich leicht gebrootforst und das geht ja auch. Da kann ich entweder auf die Gesundheitsdaten komplett zugreifen oder zumindest ein paar Meterninformationen abgreifen. Erstaunliche Parallele. Was wir sonst noch? Was allerdings das große Problem ist, dieser Plattform, diese Plattform macht alles richtig und versucht alles richtig zu machen. Man hat einen Elliptic Curve, Encryption hier implementiert mit einer anderen Elliptic Curve. Das wird kleinzeitig alles verschlüsselt. Es werden keine Passwörter über ein Eta geschickt. Ich sende also nun meine E-Mail-Adresse an CGM, bekomme dann ein Public Key und ein Secret zurück. Da habe ich gesagt, Secret bekomme ich zurück, wenn ich eine E-Mail-Adresse hinschrie. Warum heißt das Secret? Es ist ein Key Derivation Secret. Ich nehme jetzt, ich habe hier eine Key Derivation Funktion, Schlüsselableitungsfunktion. Das ist dieses Secret, was ich da bekomme. Und dann kriege ich kleinzeitig offline dem Private Key. Also das Passwort der Zugang zu dieser Gesundheitsakte. Wenn ich das richtige Passwort gewählt habe, dann passt diese Private Key zum Public Key von maya.ccc.de. Dann kann ich mich einloggen. Wenn er nicht stimmt, das Passwort, dann muss ich halt nochmal weiter probieren. Wenn ich nicht der maya bin, dann probiere ich halt so lange, bis es klappt. Und ich habe ja den Public Key und das Secret offline verfügbar. Da muss ich nicht mehr mit CGM mit einem Server interagieren. Ich lad mir das runter und starte dann ein Wetterbuchangriff oder etwas Ähnliches. Das ganze Verfahren ist sogar patentiert worden, inklusive des Fehlers. Also nicht nachbauen, kostet mal, ob das überhaupt relevant ist. Dropbox, der Vincent Haupert, der sich mit Online Banking beschäftigt hat, letztes vorletztes Jahr, hat auch Dropbox genommen, da habe ich gedacht, das passt hier so thematisch, Online Banking zu diesem Talk, habe ich auch Dropbox genommen, habe die E-Mail-Adressen aller Deutschen darunter geladen und mal geschaut, wer davon bei CGM angemeldet ist und dann mal ein großes Wetterbuch genommen und mal geschaut, was das für Passwort daraus fallen. Also finde ich gesundheitsab, das Akte war jetzt nicht sehr kreativ, also muss ich sagen, hätte ich von den Deutschen mehr erwartet, die ein Datenschutz so gebildet sein sollen, aber gut. 3% aller Dropbox-User aus Deutschland waren auch bei CGM angemeldet und auf meinem kleinen Laptop vor vier Jahren habe ich 3% davon errichtet. Natürlich nur eine Stichprobe. So, also wir haben jetzt gezeigt so ein kleiner Rundumschlag, also das Arzneimittelkonto NRW basiert übrigens auch auf CGM Live, wer das nutzen sollte. Gesundheitsakt.de habe ich jetzt hier ausgeklammert, aber die haben auch ein paar Probleme. Doc direkt, CGM Live, ClickDoc, Teleklinik, CGM Lives, E-Service, TKSafe, Mediteo, meine Gesundheit, mein Arzt direkt und so weiter, sofort und sofort. Alle haben die irgendwie dann doch nicht. Ja, wir sind noch nicht mehr auf dem Niveau vom Online Banking hier. Ein bisschen schade. Aber sofort, ja. Wir wissen alle, es gibt keine perfekte Sicherheit, das werden wir nie erreichen. Wir müssen mit Wahrscheinlichkeiten rechnen. So, dann schauen wir uns mit Wahrscheinlichkeiten an. So große Unternehmen wie CGM, die müssen Risiko veröffentlichen, also ich habe ein Finanzreport, ich habe mal geschaut, gibt es Datenverarbeitungsrisiken, das ist der Finanzreport von letzten Jahr. Da steht, die Kunden von uns nutzen unsere Produkte um sehr vertrauliche Informationen zu speichern, zu verarbeiten und zu übertragen. Sollten eben doch Sicherheitsprobleme auftauchen, dann könnte das zu Schadenersatzansprüchen, Bußgeldern, Geldstrafen und ähnlichen Führen, die dann CGM abführen muss. Und deswegen ist es ein Risiko für CGM, weil dadurch ein finanzieller Schaden entsteht. Und jetzt schauen wir mal, gegen wir dem Kunden, sagt CGM, Paramount, Priority, da gibt es nichts, die Priority ist alles. Also absolut sicher. Hier heißt es, wir erwarten im Jahr 4 Millionen Schaden im Durchschnitt. Jahreshöchste Schaden, das sind wir schon bei 18 Millionen. Mit 5% Wahrscheinlichkeit tritt ein höherer, unerwarteter Schaden in den Datenverarbeitungsrisiken ein. Das kann man jetzt jetzt ausmalen, das kann natürlich auch sein, dass die ganze Datenverarbeitung hinuntergeht, aber es kann natürlich auch sein, dass die ganzen Daten offen liegen. Wir nehmen einfach mal diese 5% und schauen mal, was passiert. Also im ersten Jahr 95% Wahrscheinlichkeit sind wir sicher. 2. Jahr, 90% 3. Jahr sind wir noch bei 86%. Das Problem bei Gesundheitsdaten ist, die sind sehr langlebig. Nach 50 Jahren sind meine Gesundheitsdaten immer noch sehr wertvoll. Denn ich kann meine Gesundheit ja nicht ändern. Also wenn ich damals eine Erbkrankheit hab, habe ich in den 50 Jahren immer noch die Zukunft bringt in der Erlösung, in dem Bereich. Aber wir gehen mal davon aus. So, 50 Jahre habe ich 8% Wahrscheinlichkeit. Naja, das will man nicht. Aber vielleicht ist hier diese 5% übertrieben oder nicht nur auf diese, dass die Daten veröffentlicht werden bezogen. Vielleicht habe ich ein Fehler gemacht oder was anderes hineininterpretiert. Schauen wir in den USA, in den letzten 5 Jahren in den USA gestohlen, gehackt, verkauft. Und das sind nur die, die öffentlich gemeldet, also die meldepflichtig waren. 30% das sind knapp 10% der US-Population. 10% ich habe eben mit 5% geschätzt, kommt eigentlich ganz gut hin. Norwegen 2018 nicht, dass wir sagen, es sind nur die Amerikaner, in Europa haben wir ja höheren Datenschutz, in Norwegen. Es ist jetzt einem unbekannten Angreifer gegenüber sehr bekannt, wie seine Gesundheit aussieht. 3 Millionen Patientenakten wurden gestohlen. Dänemark 2016 gab es einen lustigen Vorfall. Nicht lustig, das Wort muss ich wirklich hier zurücknehmen. Da wurden 2 CDs mit allen, fast allen gesundheitsartigen Bevölkerungen ausversehen an die Wieserstelle an die chinesische Wieserstelle geschickt. Das passiert. Ich habe auch schon mit einer Adresse falsch geschrieben. Ich weiß nicht, ob Sie die zurückgeschickt haben. Wir müssen mal nachfragen. Na gut. Aber wir sind hier in Deutschland, prüfen lassen, zertifizieren lassen, Standardarbeiten, Norm anlegen. Wir haben ja Mittel dagegen. Helfen Zertifikate. Diese Zertifikate stammen von den Apps, die ich eben gezeigt habe. Also, wir sind hier bei einem möglichen. Unter einer Security, Privacy, E-Privacy der Datenschutz, Landesbeauftragte für Datenschutz Rheinland-Pfalz hat unter einem CGM live geprüft meine Gesundheit und für gut befunden und sofort usw. Also, Zertifikate können das Problem nicht beheben. Wir sind vielleicht ein Indikator ein Hinweis für etwas, aber nicht dafür, dass diese Apps frei sind von Sicherheitslängeln. Wir schauen uns mal Vivi nochmal ganz kurz an. Vivi hatte ein Datenschutz gut dachten und ein Gütesiegel bekommen. Eine Sicherheitsprüfung und ein TÜV-Zertifikat bekommen. Zwei Pentests von unterschiedlichen Unternehmen durchführen lassen. Ich kann nicht sagen, welcher Scope oder das wird ja nicht veröffentlicht. Nach diesem Sicherheitsvorfall nochmal zwei komplette Pentests und danach dann dieses Beispiel Eingangs was ich gezeigt habe. Nach diesem ganzen Aufwand war die App nicht sicher. Und jetzt was machen wir jetzt? Ich zähl nochmal auf, es gibt grundlegende Probleme bei allen elektronischen Gesundheits-Apps bei denen die einmal unsere Gesundheitsdaten verwalten sollen. Sicherheit ist ein Web-Werbsnachteil. Das haben wir zum Beispiel bei Vivi gesehen. Vivi hat Pentests Zertifikate im Bug Bounties erst nachher durchführen lassen zum großen Teil, auch vorher schon aber eben nicht in sichere Architektur gesetzt. Das zeigt ja schon, wenn von der Allianz der ZISO kommen muss, weil man bei Vivi ein Sicherheitslück gemeldet dass dabei Vivi kein professioneller IT Security Analyst da war, dass sich damit auskennen. Das ist halt ein Start-up. Von all diesen Apps, die ich eben aufgezählt habe, mit diesen Apps laufen koordinative Disclosure-Verfahren. Die sind schon seit zweieinhalb Monaten oder so bekannt. Wenn ich das in diesem Report nicht mit Torsten Schroeder veröffentlicht hätte, hätte keiner von euch davon gehört. Es gab hier keine Meldungen an Aufsichtsbehörden oder irgendwen. Das heißt, wenn kümmerts. Eine Angreifer würde das nicht öffentlich machen. Und dann haben wir jetzt neu 2019 soll die Patientenakte kommen. Die Patientenakte soll wirklich sicher werden. Die ist vom BSI mit der gematik zusammen ausgearbeitet worden. Spezifikation ist seit ein paar Tagen online. gematik.de, einfach mal anschauen. Die Spezifikationen für den Tablet und mobilen Zugang, die kommt noch später oder so spätestens. Mal reinschauen, was da drin steht, für die, die es interessiert. Die soll dann auch wirklich sicher sein. Wer weiß. Aber das ist auch gar nicht so relevant, weil wenn ich ein Anbieter bin, warum soll ich eine Patientenakte anbieten, welche genauso gut eine Gesundheitsakte anbieten kann. Und mit der Gesundheitsakte auch an die telematik-infrastruktur gekoppelt werde. Aber eben nicht diese ganzen Standards einhalten muss. Wie ist eine Gesundheitsakte und keine Patientenakte? Also, das ist ein sehr wichtiges Wortspiel. Das wird aber wahrscheinlich keiner in der Öffentlichkeit wahrnehmen, dass es da einen großen Unterschied gibt. Das Hauptproblem meinerseits aus meiner Sicht ist, Gesundheitsdaten sind keine Bankdaten. Ich kann hier keine finanzielle Risikoanalyse aufstellen und sagen, wir haben ein Jahreshöchstschaden von 18 Millionen. Und damit hat sich's. Das hat gesellschaftliche Auswirkungen, wenn diese Daten öffentlich sind. Wir können nicht 18 Millionen zahlen bei irgendwem, irgendwo. Dann als HIV-infizierte darf ich dann eben nicht mehr in andere Länder reisen, weil die dann ganz genau wissen, was ich dafür ansteckende Krankheiten habe. Dann kann ich mir das streichen. Oder falls eine deutscher Politiker auf die Idee kommt, dass man infizierte mit bestimmten Krankheiten ... Also, die Szenarien, die kann man sich ausdenken. Die sind jetzt nicht erfunden. Seehofer hatte mal drüber nachgedacht, HIV-infizierte zu konzentrieren als das Thema Neu war. Also, es entsteht hier nicht ein finanzieller Schaden, sondern ein gesellschaftlicher Schaden. Und langfristiger Schaden über Generation hinweg. 23andMe und so weiter, die ganzen DNA-Analysis-Services gab's ja schon Vorfälle. Aber so was richtiges ist wohl noch nicht passiert. Wir wissen's nicht. Aber wenn ich meinen Genom dann sequenziert in der App speichere, dann haben auch meine Kinder noch was davon. Es gibt keine langfristig sicheren Datenspeicher. Der Professor Buchmann von der TU Darmstadt hat jetzt erst vor zwei Wochen, meine ich, ein anerkanter Kryptologe darüber veröffentlicht, dass wir in 20 Jahren keine sicheren Gesundheits-Apps haben. Also, nein. Kein Speicher haben, der für 20 Jahre eine sichere Speicherung garantieren kann. In 20 Jahren sind wahrscheinlich alle jetzt auf höchstem Stand verschlüsselten Daten öffentlich für jeden, der sie jetzt einsammelt. Und das ist ein ganz großes Problem, also wenn ich jetzt fleißig Daten sammel, in 20 Jahren haben die noch den selben Wert oder einen viel höheren Wert. Das ist anders als Bankdaten. Wenn ich jetzt anfangen, mit Bankdaten zu sammeln, interessiert die in 20 Jahren keiner mehr Gesundheitsdatenschauen. Und das denke nicht ich, das denkt der Johannes Buchmann, Professor an der TU Darmstadt. Und wenn der das so sieht, dann vertraue ich dem. Wie sieht die Zukunft aus? Ergut, die Welt hat das mal ein bisschen geblieben. Angst vor Datenmissbrauch? Hemdfortschritt im Gesundheitswesen? Der Patient muss wissen, dass Datenmissbrauch sowohl strafbar als auch enorm schwer durchzuführen ist. Enorm schwer. Wer sich der elektronischen Gesundheitsakte bei erfolgreicher Implementierung trotz jeglicher Sicherheitsvorkehrung verweigert, sollte zwar zunächst keinen spürbaren Qualitätsverlust der Behandlung per se erleiden. Kann aber auch nicht in den Genuss eines schnellen und bequemen Behandlungsablaufes kommen. Und dann resümiert man bei der Welt längerfristig, muss man damit rechnen, dass Mangel des Vertrauen mit Einbußen in der Behandlungsqualität vergolden wird. Und das muss ich zustimmen. Die Patientenakte wird kommen. Das führt zu vielen Vorteilen, das hat wirklich Vorteile, die liegen auf der Hand. Ich kann Doppeluntersuchung vermeiden. Ich kann Fehlmedikation vermeiden, weil ich die Wechselwirkung automatisch erkenne. Ich kann Patienten besser steuern. Ich kann sie anschreiben, wenn irgendwo was aufgetaucht ist, neue Behandlungsmethode, Wechselwirkung zu einem Medikament, irgendein Rückruf. Es geht alles über die Patientenakte. Hat sehr viele Vorteile. So, und wenn jetzt sich jemand hier entscheidet, seinen Kindern keine so eine Akte anzulegen, Patientenakte, die Kinder eine höhere Stärblichkeit haben oder schlechtere Behandlungen das Qualität oder länger warten müssen, wenn 90% der Bevölkerung diese elektronische Patientenakte nutzen und ihr seid die 10% oder 2% oder 1%, leidet ihr darunter, bzw. auch wir. Und das ist die Realität. Damit schließt sich den Talk. Hat wir jetzt mehr Fragen aufgeworfen im Ende. Genau das ist aber auch die Intention. Ich will das zeigen, wie es aussieht, was kommt und wie wir jetzt die Debatte anstoßen. Denn jetzt können wir noch beeinflussen. Jetzt haben wir noch die Möglichkeit auf das Update für das E-Health-Gesetz, das heißt irgendwie Termin, irgendwas Vorsorge-Gesetz Einfluss zu nehmen. Noch können wir Abgeordnete anschreiben. Noch können wir Dinge fordern oder uns Gedanken machen. Und wir können uns überlegen, wie eine Gesellschaft aussieht, wie wir diese Folgen davon abschätzen und wie wir sie vielleicht auch verhindern können. Und Technikfolgenabschätzung damit beschäftigen wir uns ja hier. Deswegen ganz herzlich Dank, dass ihr alle zugehört habt. Und wenn ihr es fragen lasst, Anregung und Diskussion freue ich mich sehr. Was sind denn Fragen aus dem Internet da? Dann mach mal, stell eine. Bei Vivi zum Beispiel muss man ein Video von sich aufnehmen mit seinem Personalausweis. Ich habe Zwillingsbruder. Ich wollte es mal testen. Muss ja nur seinen Namen austauschen. Und wird dann als der auf dem Personalausweis identifizierte Bürger in Vivi hinterlegt und kann dann im Namen dieses versicherten Daten anfragen. So sieht es bei Vivi aus. Andere Verfahren nutzen also gerade die privaten Krankenversicherten Methoden der Vfikation. Aber nicht unbedingt sicher. Mir fällt da gerade noch eine Frage ein. Für diese super toll geschriebenen Software. Wie viel Geld haben die noch mal bekommen? Vivi, ja. Das ist von Bitmark, von dem Athenians Leister von 90 Krankenkassen ausgeschrieben worden. Wie viel Geld ihr dafür bekommen haben, können wir bestimmt mal erfragen. Das war eine interessante Frage. Fragt den Start. Mikrofon 8 bitte. Ich hatte überlegt, mir einen Kommentar zu geben. Aber ich mache eine Frage draus. Der Kommentar ist letztens dem Zweitvorredentalk gegen diese Wänenbilder. Das Echo ist ein bisschen laut. Und da meinte der, wie war sein Name, ich habe es vergessen, der meinte, wir müssten bei einer Datensplauder dann die Wänenbilder von irgendeinem Minister haben. Und ich denke eigentlich bräuchte mir die Gesundheitsakte von Minister. Das hätte eine Schockwirkung, ja. Und das ist meine Frage. Würde das irgendwann bringen? Wahrscheinlich nicht. Es wäre zumindest eine Aktion, die nicht den Respekt in der Gesellschaft dir bringt, die es dir möglich ist, Änderungen zu erkämpfen. Aus meiner Sicht. Aber da haben viele andere Meinungen. Das wäre vielleicht etwas, was man persönlich diskutieren kann. Mikrofon 4 bitte. In den letzten Tagen gegen eine Meldung durch die verschiedenen Zeitungen, dass Frau Dr. Beer, Staatsministerin, gesagt habe, das Problem, dass die Digitalisierung des Gesundheitswesens bei uns so hinten dran ist. Da gab es so ein OECD-Report, wo wir auf voll letzten Platz gelandet sind. Das Läge an dem Datenschutz. Und wir müssten dort abrüsten. Haben wir nicht schon längst abgerüstet? Ich meine, wir können jetzt nicht Deutschland sagen, ohne die gesamte Europäische Union zu vergleichen, weil wir haben ja überall dieselbe Datenschutz, Grundsatzverordnung. Deswegen verstehe ich das Argument erst mal nicht, dass wir in Deutschland besonders guten Datenschutz haben. Das ist nämlich derselbe wie in allen anderen Ländern der Europäischen Union. Ich habe ein paar Beispiele gezeigt, Norwegen und so weiter hilft das ja auch nichts. Also, abrüsten das Internet bitte nochmal. Inwiefern wurden denn bei den, es waren bisher nur gesetzliche Krankenkassen, wurden denn betriebliche Krankenkassen überprüft? Betriebliche Krankenkassen, ich glaube, da waren einige dabei, bei Vivi sind glaube ich, oder bei Teleklinik zum Beispiel, die stellen Betriebsärzte und so weiter. Also alle Anbiete, also Vivi, Teleklinik, Bieterburg, die sind sowohl privaten als auch gesetzliche Krankenversicherung offen und die arbeiten auch sehr viel mit privaten Krankenversicherung zusammen, zum Beispiel AXA. Wie weit jetzt betriebliche noch mit involviert sind, müsste man recherchieren. Mikrofon 3, bitte. Mich würde interessieren, ob es da nicht eine Möglichkeit gibt, dass man da tatsächlich mit einem Lesegerät und der Gesundheitskarte etwas macht. Ich verstehe nicht, dass man da einen externen Chip hat, auf dem man möglicherweise die Private Keys eben nur schreibbar etc. speichern kann und auf der Basis nicht irgendwie ein sicheres Authentifizierungsmerkmal oder Methode daneben ausbaut. Eine sehr gute Frage. Also wir haben ja einen Trust Anchor, das ist ja die elektronische Gesundheitskarte, da haben wir ja einen privaten Schlüssel drauf. Warum nehmen wir den nicht? Ganz einfach, keine hatten USB-Lesegerät, was er an seinem Smartphone stecken kann und die Vision von unserem Gesundheitsminister das über ein Smartphone wie Online Banking genutzt werden soll. Denn bisher nutzt ja keiner. Und das bringt dann den Krankenkasten auch nichts. Du kannst einmal tief durch, aber wir haben richtig Zeit, noch 12 Minuten. Ah, wir haben noch 12 Minuten. Aber da kann ich mal ganz kurz was dazu sagen. Wir haben nämlich in einem aktuellen Standard, die die Gematik verabschiedet hat, jetzt vor ein paar Tagen, vor einer Woche glaube ich genau, ist die elektronische Patientenakte so spezifiziert, dass der Zugang mit elektronischer Gesundheitsakte möglich ist. Problem ist, das wird niemand nutzen. Außer ein paar Verstromene, die halt ihren Cardreader an den PC anschließen und dann Android ist Simulator laufen lassen oder das vielleicht gleich ans Android-Gerät schlecken. Also, das wird nicht genutzt. Und deswegen wurde jetzt auch schon gleich von der Gematik gesagt, spätestens bis zum März, Ende März 2019, kommt das Update raus. Patientenakte 1.1, sind wir dann soweit. Und da wird dann spezifiziert, wie wir ohne die Gesundheitskarte darauf zu greifen dürfen. Und es bringt auch nichts zu sagen, dass Patientenakte können wir nur mit Gesundheitskarte benutzen. Nur sicher nur mit Gesundheitskarte. Denn dann kommen Anbieter wie wie wie und sagen, bei uns geht es ohne. Komm doch zu uns, viel einfacher. Und klar, dann nutzen die Mehrheit. Das heißt, wir haben wirklich diesen Wettbewerbsnachteil, über den ich geredet hab. Die sicher spezifizierte Akte wird die mit nutzen. Mikrofon 6, bitte. Ja, also eine Anmerkung. Es wird wahrscheinlich sehr interessant, sobald es Quantencomputer gibt, die genug physikalische Cubits haben, um reale Cubits fehlerfrei genug zu simulieren, dass man tatsächlich auch Anwendungen wie beispielsweise Bruteforce an verschiedensten Verschlüsselungsverfahren ausführen kann. Es wird sehr interessant, genau solche Daten eben geheim zu halten. Gerade, wenn man so Reaktionen sieht, wie langsam das dann abläuft. Sobald irgendwie bekannt wird, dass es so ein Quantencomputer gibt, sofort auf andere Algorithmen umgestellt werden. Die, die dann ja, ich beende das ein. Man müsste klar auf Quanten-Kryptografie zurückgreifen. Algorithmen, die dort noch als sicher gelten. Da gab es doch diesen Einführungstalk. Wer war alles da? Vielleicht können die Leute jetzt die Frage beantworten. Das Problem ist, dass wir in 20 Jahren nicht sagen können, ob dieser Algorithmus heute dann noch Sicherheit bietet. Auch mit Quanten-Kryptografie. Deswegen wird vorgeschlagen, es gibt Vorschläge, wie wir auch über 20 Jahre hinaus gesundheitsdaten sich erspeichern können. Und das setzen wir eben nicht auf Kryptografie, sondern auf verteilte Speicherung. Das heißt, wir müssen die Daten ein bisschen hier, ein bisschen da, ein bisschen dort speichern und versuchen diese Zuordnung irgendwie geheim zu halten. Wie das genau geht, das weiß ich nicht. Das ist der Professor Buchmann, von dem ich vorhin geredet habe. Der ist da wohl sehr kundig. Also es gibt der Ansätze, wie wir auch ohne kryptografisch sichere Algorithmen in 20 Jahren noch Daten sich halten können. Das Problem ist nur, die Gematik spezifiziert eine zentrale Datenhalterung. Also es ist jetzt spezifiziert und das ändert sich so schnell auch nicht. Mikrofon 5, bitte. Das ist in deinem Talk die Datenschutzgrundverordnung und das finanzielle Risiko der Betreiber angesprochen. Wie viele Betroffene oder potenziell Betroffene müssten sich denn beschweren oder sich vertreten lassen beim Beschweren durch so was wie Datenschmutz, damit es denen wirklich weh tut, damit sie wirklich etwas daran ändern. Das ist nicht mein Gebiet. Das ist aber eine sehr gute Frage. Und die würde ich gerne weitergeben. Dass ich damit auskenne. Problem ist ja auch, wie bezifferst du den Schaden, der dadurch entsteht. Bislang hat der Betreiber keine persönliche Haftung dafür, dass du deine Gesundheitsdaten veröffentlicht und dass du in 10 Jahren kein Job bekommst. Wie willst du das nachweisen? Ich glaube, das wird ganz schwer. Das ist etwas, was wir vielleicht jetzt anregen sollten, damit drüber nachzudenken. Wie beziffer ich den Schaden, der entsteht, wenn meine Gesundheitsdaten für die nächsten 80, 70 Jahre, je nachdem, wie lange ich leben möchte. Also auch die meiner Kinder. Mikrofon 2? Bei den Dingen, die ihr da entdeckt habt an diesen Applikationen dort, da wird es keine 20 Jahre dauern, bis die Daten alle öffentlich sind. Aber diese Aussage, es gibt keinen Datenspeicher, der auf die nächsten 20 Jahre sicher ist, ist jetzt auf einen zentralen Datenspeicher bezogen. Richtig. Mal drüber nachgedacht, wie es eigentlich aussieht mit den ganzen Patient-Management-Systemen, die wir jetzt so verstreut haben. Und da muss es eigentlich eine sehr ähnliche Aussage geben. Und ich bin eigentlich erstaunt darüber, dass man wirklich noch mit 20 Jahren rechnet. Gibt es da irgendwie Daten zu? Also diese 20 Jahre, die habe ich aus einem Zeitungsbericht oder Interview von Professor Buchmann entnommen, da würde ich sagen, besser mal die Literatur schauen, was da wirklich dahinter steht. Und dann liegen die Daten alle verstreut in Arzt-Information-System, Klinik-Information-System. Natürlich wird hier und da schon mal was geliegt oder gestohlen. Problem ist, wenn die Daten auf einmal auch ausgetauscht werden können, wenn es eine zentrale Datenhaltung gibt, dann wird das ganz auf einmal angreifbarer. Da muss ich nicht überall hingehen, ein bisschen was klauen, da wird es auch viel eher genutzt, diese Datenspeicherung. Und dann habe ich viel eher die Möglichkeit, die Firma CJM, die da genannt worden ist, hat mehrere Konkurrenzunternehmen aufgekauft. Und bietet den Ärzten an, dass dann die Daten konvertiert werden, weil sie diese Produkte halt nicht mehr fördern, aber eine eigene Applikation haben, die natürlich ganz wunderbar ist. Die sind den Ärzten dann gerne verkaufen und dann werden die Daten konvertiert. Das heißt also, da gibt es schon so an einer gewissen Stelle eine gewisse zentrale Datenhaltung. Ja, das Problem ist, ich glaube, vielleicht wissen wir auch vieles noch nicht. Vielleicht ist es auch noch nicht so, in die Öffentlichkeit gelangt, wo es schon Leaks gab. Das, was ich aus den USA gezeigt habe, das waren halt Mählepflichtige Leaks oder da, wo Daten abhandengekommen sind. In Deutschland habe ich dazu Gesundheitsdaten noch nicht viel gefunden. Mikrofon 4, bitte. Die Gesundheitsdaten, die sollen ja auch pseudonomisiert für Forschungszwecke verwendet werden dürfen. Könntest du das vielleicht noch mit auszurühren? Ja, also das habe ich jetzt nicht in diesen Talk eingebaut. Das wäre noch ein komplett eigenes Thema. Pseudonymisierte Speichung kann man kritisieren. Vivi speichert auch Pseudonym, schickt dann aber zum Beispiel deinen 2-Faktorkode mit. Oder wenn du dich in Vivi einlockst, lockt sich Vivi zeitgleich in dein pseudonymisiertes Konto ein und schickt dann die Daten pseudonymisierte hoch. Das heißt, du bist in dein Originalkonto eingelockt und gleichzeitig auch ein Schattenkonto, nennt sich so Shadow Profile. Das heißt, du bist immer gleich 2-mal angemeldet, mit deinem Gerät, mit deinem token usw. Das heißt, auf der Seite der Vivi-Plattform ist es eigentlich technisch machbar, dich wieder zuzuordnen. Da muss man wirklich dem Anbieter vertrauen. Es gibt jetzt auch schon Forderungen, dass man Datenspenden einfordert. Das heißt, es gab politisch die Forderung, dass die Datenspende um Forschenden und Pharmaunternehmen Zugriff zu gewähren. Mikrofon 3, bitte. Ich dachte eigentlich immer, dass der Austausch von verschlüsselten Daten oder generell von verantwortungsvollen Daten gelöst sei. Also ich meine, in den Gremien, denen ich sitze, schaffen, die Leute auch wirklich sichere Forderungen auszutauschen. Ich meine, mein C-File kann das. Warum kriegen die erst nicht hin? Gibt es eine Alternative, die wir den Ärzten vorschlagen könnten, die sie zumindest für die nächsten 10 Jahre benutzen könnten? Ob dann eben mit Post-Quantum-Kryptografie die Daten in Nevada, die im D6 ausgelesen werden, dann doch verschlüsselt werden, das ist ja nochmal eine andere Debatte. Also wie, für wie gibt es ein White Paper des Fraunhofer Instituts, ISAC, wo das alles schön spezifiziert ist, aber was dann implementiert wurde, ist nicht unbedingt, dass man da drin steht. Das heißt, da gibt es einen Kluft, da wird nicht verifiziert oder validiert, das ist auch so stimmt. Und dann wenn ich diese Daten entschuldigung, die Frage nochmal ganz kurz. Gibt es eine Alternative, die wir den Ärzten jetzt empfehlen können, um gemeinsam Daten auszutauschen? Schwierig, also wirklich sehr schwierig. Immer möglichst dezentral, möglichst nicht wie ein zentralen Datenspeicher. Da kann ich jetzt nichts empfehlen, also bislang geht das halt ausdrucken und mitnehmen. Es ist jetzt auch keine Alternative für die, die chronisch krank sind. Ja, Faxen, ja. Das Schlimme ist halt wahrscheinlich recht, oder? Das große Problem ist, wir haben halt keine, wenn wir Ende zu Ende verschlüsselt, wie bei die, dann brauch ich ja Keys, die muss ich einmal ausgetauscht haben, wenn wir verifiziert haben. Und das muss irgendwie automatisiert gehen, sonst läuft es im großen Stil nicht. Und das fehlt halt. Wir haben halt auf Seiten der Ärzte, inzwischen die Telematikinfrastruktur bei vielen, da gibt es dann eine Identität, darüber können wir das laufen lassen. Auf Seiten der Patienten gibt es die Gesundheitskarte. Das ist genau das Problem. Patientenakte wollen wir halt nicht mit der Gesundheitskarte verknüpfen, weil das keine nutzt. Wir haben ja die Ärzte, die wollen wir verknüpfen, die möchte ich alle drei noch abschießen. Ganz schnelle Frage, ganz schnelle Antwort. Nummer 4. Was ist der Unterschied zwischen Gesundheitsdaten und Patientendaten? Die Gesundheitsakte und Patientenakte, die zwei. Gesundheitsakte ist optional zu verwenden für die Ärzte. Patientenakte, wenn du eine hast, müssen die Ärzte die Arten da rein speichern. Das ist quasi funktionale Einzelngenterschehen. Und Patientenakte wird von der Gesundheitsdaten geschehen. Sie haben die Ärzte im Frontend irgendwie Lese geschützt. Wie soll denn das gehen im Browser, wenn du XSS kannst? Es gibt diese WebCryptoRP im Browser. Und die WebCryptoRP, da kannst du sagen exportable. Also kannst du sagen, der Key kann nicht exportiert werden. Das heißt, es ist ein Objekt, das Objekt kapstelt den Zugriff. Solange die JavaScript-Engine richtig implementiert ist, kannst du dann deinen Daten rein, der macht Krypto. Ja, du hast dann ein Objekt mit der Methode encrypt und decrypt, aber den Schlüssel bekommst du nicht zu sehen. Last but not least, Nummer fünf. Ich habe keine Frage, ich würde noch kurz eine Idee mit anmerken, die halt nicht auf einer technischen Ebene ist, aber wie schon angesprochen wurden alle Gesundheitsdaten sensibel und besonders auch Sachen wie Schwangerschaftsabbruch und HIV oder Diagnosen, so Schizophrenie, Depression, alles. Und ich werde sagen, die Idee ist halt auch, sich mit den Leuten und den Interessenverbänden jetzt schon mal auseinanderzusetzen und was die jetzt schon an Forderungen haben zu versuchen umzusetzen, weil technisch glaube ich, werden die Daten halt öffentlich sein und dann ist es halt, wie gehen wir mit Leuten um die schwierige Diagnosen haben. Genau, das ist auch die Aussage von der Talk. Ich kann die technischen Probleme aufzeigen, aber die gesellschaftliche Antwort wird damit umgehen oder was die Forderungen da was sind, das müssen wir gemeinsam machen beziehungsweise auch mit den Medical Professionals, mit denen, die sich wirklich damit ihr Leben lange beschäftigt haben. Doch noch eine Frage, weil ihr seid nicht barrierefrei, ich kann durch euch nicht durchschauen. Bitte einmal Mikrofon drei. Ich habe eine Anmerkung, ich habe vor etwas über einem Jahr an CJM eine Mail geschickt, die habe ich gerade mal rausgekramt, da wurde von einem Facharzt, habe ich einen Link gehabt, HTTP und da sollte ich dann meine persönlichen Daten eingeben und dann habe ich gedacht, ok, das breche ich jetzt ab, habe den gemailt, Leute, HTTPS wären mir an der Stelle lieber gewesen und habe dann die Antwort zu ihrer Anmerkung bezüglich der verschlüsselten Verbindungen können wir sie beruhigen. Die Übermittlung der Daten erfolgt über eine interne sichere Leitung in verschlüsselter Form. Das sei vorgeschrieben und toll. Interessanter Beitrag. Auf die Qualität können wir uns in Zukunft freuen, ne? Ja. Martin, tschüssig.