 Hallo. Wer von euch ist hier, weil der Talk von Lyra gehalten wird? Okay, es sind nicht alle deswegen hier. Deswegen sollte ich ihn vielleicht vorstellen, so ein ganz klein bisschen. Also erst seit 30 Jahren etwa, tont er irgendwie so, oder keine Ahnung, 25, 20, keine Ahnung. Seit einigen Jahren tont er in diversen IT-Themen halt herum, wofür er besonders bekannt ist, sind seine Kommando-Zeilen-Talks, die er in diversen Events schon gehalten hat, vor allem seine modernen Kommando-Zeilen-Talks. Das ist der Talk bei diesem Event, wo er nicht über Kommando-Zeilen spricht. Denn es geht jetzt um österreichische IT, wo man wahrscheinlich nicht so wirklich auf das Kommando-Zeilen-Nevil runterkommt, beziehungsweise es geht nicht um die österreichische IT, sondern um was für Fails sie während der Pandemie eigentlich so alles so gemacht haben. Das ist, kann man drüber weinen oder man kann drüber lachen und ich glaube, wir wollen drüber lachen. Also viel Spaß mit Lyra, mit den österreichischen IT-Fails. Dankeschön. Ich hoffe, der Applaus ist gerechtfertigt. Wir werden es merken. Das sind die traurigsten, schönsten, lustigsten österreichischen IT-Fails. Bevor wir in mediasres gehen, ein kurzes Announcement in eigener Sache. Liebe GPN-Organisatorinnen und Organisatoren, wenn ich fünf Tags, also vier Tags und einen Workshop einreiche, heißt das, sucht euch was aus, was in euer Programm passt. Nicht, nehmt alles an. Das ist so üblich, das muss man nicht dazuschreiben. Das heißt, mein Aufruf an euch alle da draußen, helft mir, reicht bitte bei den kommenden Events, die wir jetzt hoffentlich wieder halten können. Kommt rein, vorne sind noch plätzefreie in der Mitte durchgehen. Reicht Tags ein. Ich helfe euch gerne, wenn ihr euch unsicher seid. Wie soll ich das formulieren? Ist das überhaupt ein Thema? Wie kann ich nur im Talk bauen? Kann jemand mit mir den Talk mal durchgehen? Ich mach das gerne und nicht nur ich, sondern ich glaube fast alle Sprecherinnen und Sprecher, die hier auf der GPN sprechen, bieten euch das sicherlich auch gerne an. Oder wenn ihr nicht mit einem alten weißen Mann reden wollt, die Hexen machen das sicherlich auch gerne für euch das ganz tolle Orga, fragt in eurem Chaos-Umfeld herum, wenn ihr unsicher seid, aber eine Idee für einen Talk habt, bitte, bitte, bitte, lasst mich nicht noch mal vier Tags und einen Workshop halten. Bitte. Aber damit zu den unterhaltsamsten österreichischen Ethiefails der letzten Jahre und was wir daraus lernen können. Auf den letzten Punkt lege ich besonders wert, weil jetzt eine Stunde lachen, weinern und verzweifeln ist das eine, aber man kann eigentlich auch, wir können alle ein bisschen was daraus lernen hoffentlich. Ich habe das hoffentlich auch entsprechend aufbereitet. Wären wir mal schauen, ob das funktioniert. Der Disclaimer zu diesem Talk ist, dass alles, was ich hier zeleb, passiert auf öffentlich zugänglichen Informationen. Alles, was Vermutungen sind, Interpretationen sind, ist auf meinem Mist gewachsen mit meinen fast 40 Jahren sind, nämlich mittlerweile. Die Erfahrung müssen nicht den tatsächlichen Ereignissen entsprechen, aber die Interpretation gönn ich mir. Wie gesagt, großes Danke an die GPN-Orga und Trolle, die diesen Erwähnt möglich machen. Danke an euch, das ist so zahlreicher Zeit und auch an die ganzen Journalistinnen und Journalisten, die diesen Talk möglich gemacht haben, weil ich auf deren Arbeit zurückgreifen konnte. Hier ein paar Stellvertreter entgenannt und natürlich auch meine ganzen Twitter-Followerinnen und Vollerinnen, bzw. mittlerweile verschiebt sich das ganze Richtung Masterton sehr erfreulicherweise. Die habe ich jetzt zum Großteil ohne Namensnennung aus Gründen. Ihr werdet es sehen. Warnung, das Ganze ist ein ganz schlimmer Facebook-Talk. Falls ihr dazu neigt, mit dem Kopf nach vorne zu nicken, wenn ihr wieder einen Facebook macht, legt euch vielleicht einen Puls dahin oder redet mit eurer Vorderperson, ob das eh okay ist, wenn ihr da mal kurz dagegen pumpert, es wird vorkommen. Nächste Warnung, das Ganze ist ein 3,6 Slides per Minute Talk. Wer Probleme mit Stroposkop-Effekten hat, sollte sich jetzt eine Sonnenbrille aufsetzen. Wie gesagt, wir sind auf der GPN, der Hashtag ist GPN 20, ich bin da Leirat. Die Slides und eine lange Quellenliste für diesen Talk gibt es auf meinem Blog, bzw. für diesen Talk, wo habe ich es ein bisschen abgeändert, das poste ich dann auch noch. Das heißt, ihr braucht jetzt nicht hektisch Urls mitschreiben, wenn euch was interessiert, gibt es alles zum Nachlesen. So, wir haben eine in Österreich, ich muss ein bisschen ausholen, ich habe den Talk schon einmal in Österreich gemacht, hier für Deutschland muss ich wahrscheinlich ein paar Dinge erklären. Wir haben in Österreich eine Plattform, die heißt Shopping. Es ist ein junges dynamisches Start-up, dass ein Tochter der österreichischen Post ist. Jung dynamisch. Im Hintergrund läuft SAP und alles, was man nicht haben will. Also die Post, ihr wisst, das ist die, die haben früher Briefe zugestellt mittlerweile, haben sie sich mehr auf Adresshandel verschoben und haben eben auch einen Dienst namens Shopping und dazu gab es jetzt auch vor kurzem, nein, vor kurzem 2020, also quasi nach einem halben Jahr Pandemie, eine Pressekonferenz und da hat man sich also als Österreichs erfolgreichste e-commerce-Plattform auf die Brust geklopft und hat die 200 Händler, die man unter Vertrag hat, mit 200.000 Artikeln abgefeiert. Also, jo, eh. Shopping jetzt per See, ja, also wie gesagt SAP im Hintergrund, nicht viele, alles eher sehr, sehr mau, aber es gibt zumindest eine e-commerce-Plattform, sprich ich kann hier Produkte kaufen, die bezahlen und die werden mir zugestellt. Da hat alles ein bisschen länger als bei US-amerikanischen Konkurrenten, aber es gibt es zumindest. Warum ich das erwähne ist, weil im 30.11.2020 in Österreich nämlich etwas völlig Neues gelanscht wurde, und zwar das Kaufhaus Österreich. Das Kaufhaus Österreich wurde hier präsentiert von der damaligen Ministerin für Digitalisierung und Wirtschaftsstandort der Republik Österreich, die Margarete Schrammböck, die bis Mai diesen Jahres diesen Posten innehatte, mittlerweile zurückgetreten ist. Daher zu ihrer linken, eurer rechten, ist der Harald Mara, so jetzt lehnt euch zurück, Harald Mara ist Präsident des Wirtschaftsbundes der ÖVP, Präsident der Wirtschaftskammer Österreich, Mitglied des Präsidiums der österreichischen Sporthilfe, Präsident des Wirtschaftsforschungsinstituts WIFO, Präsident der österreichischen Nationalbank, Geschäftsführer der Gesellschaft, der HM Tower & Holding, BeteiligungsgmbH und bis Ende 2019 war auch ob man der Sozialversicherungsanstalter gewerblichen Wirtschaft. Der Running Gag in Österreich, wenn ein Politiker zurücktritt oder wenn eine öffentliche Person zurücktritt, der Mara übernimmt den Job, nebenbei ganz locker. Die Wirtschaftskammer Österreich, die WKO, deren Chef er ist, ist die Zwangsvertretung aller Gewerbezitigen in Österreich. Also wenn man in Österreich, wenn Mensch in Österreich ein Gewerbe hat, entweder Einzelpersonen oder als Unternehmen, ist man dort Zwangsmitglied, diese Zwangsmitgliedschaft steht bei uns in der Verfassung. Warum auch immer. Die zwei haben jetzt das Kaufhaus Österreich präsentiert. Dieses Kaufhaus Österreich wurde in zahlreichen OTSen, das sind Original Text-Service, das ist eine Plattform der Austria-Presse-Agentur abgefeiert und in diesen OTSen heißt es dann unter Kaufhaus Österreich hatte er halt ein rot-weiß-rote Online-Händer, eine neue Meta-Plattform. Ja, was ist eine Meta-Plattform? Das war vor dem Facebook-Launch und was rot-weiß-rote Online-Händler sind, kann ich auch nicht wirklich sagen. Also es gibt die rot-weiß-rot-Karte, das ist quasi unsere Green Card für Menschen mit besonderen Qualifikationen, die in Österreich arbeiten wollen. Weiß nicht, eventuell ja eine Plattform für IT-Fachkräfte, weil IT ist in Österreich in Mangelberuf, da komme ich noch mal dazu. Aber zu diesem Zitat hätte ich ein, zwei Anmerkungen. Im Ziel ist es den heimischen Onlinehandel zu stärken und die Regionalität im Digitalen zu verbinden. Also GeneXla, also GeneXla, muss ich hier natürlich sofort die Declaration of Independence of Cyberspace von John Barry Palau gegenhalten, wo das eine ist, online das andere ist, hat mit einem anderen nichts zu tun. Und dieses ganze Schwurbeln mit rot-weiß-roten Rot-weiß-roten Händlern und so Shops etc. kommt von zwei Menschen, die ein Jahr vor mir und ein Jahr nach mir geboren wurden. Ja, also keine Boomer, das sind eigentlich alles GeneXla, die das eigentlich schon verstehen und kennen müssten. Apropos keine Boomer, Boomer sind Personen, die in den USA zwischen 46 und 64, 1900 jeweils zur Welt kamen und das sind für die, die sie nicht kennen, zwei OK Boomer, nämlich OK Boomer, nicht OK Boomer. Der eine zu eurer Linken ist Sir Timothy Berners-Lee, das ist der Mensch, der das World Wide Web erfunden hat und zu seiner Linken, eurer Rechten, Wind, Wind, GraySurf, der Mensch, der generell als Vater des Internets gehandelt wird und nicht umgekehrt. So, Anmerkung, Ende. Es wird dann weiter dieses Kaufhaus Österreich abgefahrt, dass innerhalb kürzester Zeit auf eCommerce gesetzt wurde und neue online Shops gebaut wurden. 20, 22, 21 in dem Fall, mein eCommerce und eBusiness für die, für die älteren unter euch, die können Sie vielleicht noch daran erinnern, die jüngeren unter euch. eCommerce und eBusiness waren die heißen Themen in der zweiten Hälfte der 1990er des letzten Jahrtausends. Um das klar zu machen, 1997 hat Ogilvy und Martha die eBusiness-Kampagne für IBM gestartet, 1997. Amazon wurde 1994 gegründet, eBay 1995, Shoppe Fall 2006. Also Brand heißt es, Brand aktuell ist ganz neues Thema, Thema eCommerce. Wie gesagt, dieses Kaufhaus Österreich verlinkt dann zu verschiedenen Online-Plattforms und wir hatten da viel Spaß, wir sind dann auf Twitter dem ganzen Mal ein bisschen nachgegangen. Das sind Unternehmen, die dann gar keinen Online-Shop haben, Unternehmen, die auf einen einmal schon so einen Shop verlinkt haben, weil es wurde ja kommuniziert, dass, dass wir lösen jetzt damit Amazon ab und das lag unter anderem daran, dass es man, dass alle Handelsunternehmen, die ein Zwangsmitglied in der WCO sind, ein Hackerl setzen mussten und dann dort automatisch gelistet wurden. Das zweite Problem ist, dass hier das Kaufhaus Österreich dann auch als eCommerce-Plattform kommuniziert wurde. Womit sie sich dann selber widersprochen haben, weil die eine WCO aussage, aussage, es ist eine virtuelle Auslage, sprich ein Telefonbuch an Online-Händlern und die andere Aussage war, es ist eine eCommerce-Plattform, wo man auch etwas kaufen kann oder wo man etwas kaufen könnte. Also, sie haben schon allein in der initialen Kommunikation, nämlich auch im Zusammenspiel mit dem Shopping, das nämlich die Konsumentinnen und Konsumenten schon kannten, einfach nur für Verwirrung gesorgt in den ersten Tagen, wie sie das Ding gelounscht haben. Also genau das, was du, wenn du an der neue Plattform Online bringst, nicht machen willst. Es geht aber noch weiter. Bevor ich dazu komme, ja, das Logo ist unscharf und ja, das ist genau, das ist original von der Webseite. Fotoshopskills, Leadfotoshopskills. Die Plattform war so gut, wenn man zum Beispiel TV-Gerät eingegeben hat, als Suchbegriff hat man Anbieter für Grillsysteme bekommen oder einen Online-Shop für Boots und Elektromotoren. Spielzeug führte zu Biohundezubehör aus Naturmaterialien. Ich bin jetzt kein Kinkschema, aber wenn ich Spielzeug suche. Das ist ja ... No Kinkscheming, haben wir gesagt. Ach ja, übrigens, du darfst dir eine nehmen, Fragen und Einwürfe werden mit einer Mannerschnitte belohmt, damit das nicht von oben herab vortrag wird, sondern ein bisschen interaktiver wird, falls für die, die in meine Talks noch nicht kennen. Für die Personen weiter hinten, wenn da ein Eindruck kommt, ist das Herald Tim so lieb und macht das. Spielekonsolen, so Xboxen und so weiter. Auch eher erfolglos, außer vielleicht, dass die Lebensmittelhändler, die man, wenn man nach Xbox sucht, dass die dann unter der Puddle vielleicht auch noch Xbox liegen haben oder so. Aber nicht nur das, es gab dann eine sehr schöne Klasse im Standard. Wenn man nach Büchern gesucht hat, hat man dann Gadgets und Legoteile gefunden und Shops für ferngestellte Modellautos. Wenn man aber dann die richtige Kategorie nach WKO-Nomenklatur genommen hat. Also hier ist wieder der Verwaltungsapparat. Wir haben hier eine normierte Taxonomie, wie unsere Unternehmen gelistet werden. Wenn man die dann listet, dann freut man sich darüber, dass man, wenn man dann Buchgeschäfte angezeigt bekommen hat, auch den Nah- und Frisch-Supermarkt in Sinabelkirchen und den Alpakerhof in Schrattenbach mit angezeigt bekommen hat. Also auf dem Niveau hat sich Kaufhaus Österreich bewegt. Konkrete Kritik, und da sind wir beim Thema, was man daraus lernen kann, konkrete Kritik gab es auch von der Hilfsgemeinschaft der Blinden und Sehschwachen in Österreich, die leider wieder mal bemängeln mussten, dass auch dieses Angebot aus dem öffentlichen Bereich nicht accessible war, also nicht auf Seehilfen und etc. ausgerichtet war. Obwohl wir ein Webzuglänglichkeitsgesetz haben, das das eigentlich vorschreibt. Glücklicherweise hatte all das ein Ende nach ein paar Wochen, Monaten. Und nämlich aus dem Grund, dass WKO wollte es nicht betreiben, also die Wirtschaftskammer Österreich wollte diese Plattform nicht betreiben. Das Bundesministerium für Digitalisierung und Wirtschaftsstandort durfte es nicht betreiben. Aber ich meine, es waren 627.000 Euro, die von Steuergeldern und WKO-Zwangsabgaben finanziert wurden. Umgesetzt wurde das Ganze vom Land forstwirtschaftlichen und wasserwirtschaftlichen Rechenzentrum. Ja, also wenn ihr was mit Holz machen wollt, die suchen Leute und gehören mittlerweile zum Bundesrechenzentrum und ist quasi deren Billigsparte, wenn es darum geht, schnell was zu machen. Glücklicherweise, also wir müssen ja schon an die an die darabenden Consulting-Buden auch denken. Extension, HPC, Dual Österreich waren auch involviert und das Ganze ist mittlerweile eine Plattform geworden, die einen Ratgeber für Unternehmen zur Errichtung eines Webshops anbietet, also wenn ihr jetzt drauf schaut. Lerneffekt, so ein Projekt braucht klare Ziele. Ist es jetzt ein Verzeichnis oder ist es wirklich eine E-Commerce-Plattform? Will man das ganze auslagern, will man es in Haus machen? Wer betreibt das Ganze, nachdem wir es fertig gemacht haben, ist vielleicht eine Frage, die man auch zu Projekt beginnklären sollte. Klare Außenkommunikation, was ist es, was kann man damit machen? Wer ist die Zielgruppe? Wer vielleicht auch nicht schlecht und Accessibility sollte eigentlich 2022 per Default drinnen sein und nicht, ups, da haben wir was vergessen. Ja, aber nicht nur das Kauf aus Österreich hat für viel Unterhaltung gesorgt in Österreich. Es gab dann auch noch die Initiative Österreich-Impft. Beziehungsweise Österreich-Testet, also Österreich-Impft, als die länderweite Aktion sich für die Corona-Schutz-Impfung voranzumelden. Und wir haben uns gedacht, da nehmen wir uns doch mal ein Beispiel an Deutschland und probieren das Ganze föderal aus. Üblicherweise in Österreich kommt das Ganze von oben aus dem Wasserkopf Wien und alle müssen das umsetzen und kriegen eine fertige Lösung, die zu teuer, zu spät mit vielen Konsultants gebaut wurden, aber dann funktioniert sie meistens zumindest. Da haben wir uns gedacht, na, das ist viel zu einfach. Wir probieren das jetzt einmal Challenge Accepted, was Deutschland kann, können wir mit unseren neuen Bundesländern auch. Es fangt dann damit an, dass Österreich-Impft nur unter der IDN-Adresse verfügbar war, also nur mit dem Ö und dass die OE Österreich-Impft, also wie man halt ö üblicherweise umschreibt, jemandem anderen gehört hat. Profis am Werk, mittlerweile hat sich das gelöst, also mittlerweile gehören beide dem Staat Österreich, aber zum Launch sah das nicht so aus. Was dazu führte, dass dann E-Mails von dem Portal so aussagen? Welcher Spam-Filter lässt das durch? Ich bin skeptisch. Da komme ich übrigens noch mal dazu, da gab es noch mehr Punkte dazu, aber nur mal zu den Domänen. Das Thema, was dann natürlich auch dazu gehörte, ist, dass Österreich-Impft das nicht nur das rote Kreuz weiß, die diese Plattform zu dem damaligen Zeit gebaut und betrieben hatte, sondern auch Amazon, Google, Microsoft, CloudFront, UB Analytics und Unbounds, die wurden nämlich alle eingebunden in diese Seite. Sind ja keine gesundheitsrelevanten Personen bezogene gesundheitsrelevanten Daten drauf oder so, wenn man sich für Impfung registriert. Aber nicht nur auf dieser Österreich-Impft-Seite hat es gab es Probleme, sondern auch in zahlreichen Bundesländern gab es Probleme. Also jedes Bundesland, Österreich-Impft war quasi nur so eine Landingpage, die dann zu den jeweiligen Landesplattformen verlinkte und in den neuen Bundesländern. Österreich hat neun Bundesländer. Wien ist Bundesland und Stadt gleichzeitig, für die das nicht wussten. Auch hier gab es ein paar interessante Effekte. Eben diese Bundesländer setzten unter anderem Google Recapture ein, neben anderen Tools. Und auf die Frage der Future Zone, ob das OK ist, weil es sind noch gesundheitsbezogene Daten, gab es dann halt interessante Reaktionen. Oberösterreich meinte so, ja, dient ausschließlich zum Schutz der Webseite und vor allem und der von allen Nutzern eingegebenen Daten vor Hackerangriffen. Das Thema Hackerangriffe, wenn man kein Trinkspiel mit Hackerangriff ihr kommt hier nicht stehen draus. Ganz schlechte Idee. Popcorn ist OK. In Niederösterreich weist man in der Datenschutzerklärung daraufhin, dass Recapture aufgrund eines berechtigten Interesses, nämlich dem Schutz der Sicherheit der Webseite, eingesetzt wird. Interessanter knifft die DSGVO, das berechtigt den Interesse der DSGV da anzuwenden, ob das hält, halte ich für ein Gerücht. Niederösterreich hat sich aber das Ganze noch viel einfacher gemacht. Die hatten da nämlich eine Content Security Policy, die JavaScript-Loading sowieso unterbunden hat, zumindest derzeit lang. Damit war das eh hinfällig. Kärnten war auch schön. Kärnten hat die Problemstellung erkannt. Also man merkt, hier war jemand an der Kommunikation, der das gelernt hat. Und die Phrasentaste gefunden hat. Hat die haben aber vergessen, Google überhaupt einmal in der Datenschutzerklärung auch nur irgendwie zu erwähnen. Wird aber bald, wurde nie nachgeholt. Vorarlberg war auch super. Da komme ich dann auch noch einmal im Detail drauf. Natürlich gibt es Alternativen, aber durch den enormen Zeitdruck und die schnellere Verfügbarkeit wurde der Dienst von Google eingesetzt. Weil wir haben nur zwei Entwickler. Ich meine, Vorarlberg ist ein kleines Bundesland. Ja, aber. Also, ja, und die Vorarlberger sind, nein, die Burgen sind, das sind eigentlich unsere Rostfriesen. Aber ja, aber ich mache mich ja nicht lustig. Wir tun im Prinzip, tun wir diese zwei Entwicklerinnen oder Entwickler. Ich kenne sie leider nicht persönlich. Irrsinnig Leid, weil die kriegen das Ganze natürlich ab. Irgendwann bildet sich ein, wenn wir brauchen da was und die Zweikoten fressen dann die Grotvis bei uns heißt, sind dann halt schuld. Gut, tenor. Keines der befragten Länder hat angekündigt. Google Recapture überhaupt entfernen zu wollen, obwohl der Marco Blocher von der Nanovia Business gemeint hat, dass das eigentlich so nicht geht. Und dass Google Recapture, das ist für den Einsatz von Google Recapture zumindest eine Einwilligung der Benutzerinnen und Benutzer braucht. Und diese müsste eigentlich eingeholt werden, bevor irgendwelche Daten von Google geholt werden. Und damit hat man Katze, die sich in den Schwanz beißt. Nachdem dieser Tox sich eigentlich an Menschen richtet, die jetzt nicht so technikaffin sind. Was ist No Capture bzw. Recapture? Capture kennen die meisten von euch wahrscheinlich. Das sind diese Bilder, die man ausnimmt. Markieren Sie alle Motorräder auf diesen Fotos. Markieren Sie alle Feuerwehrautos auf diesen Fotos. Da hatte Google dann das Problem, dass der Code für automatische Bilderkennung mittlerweile so gut war, dass die Roboter, die diese Bildererkennungen gemacht haben, die Bilder besser erkannt haben als die Menschen. Und daher haben Sie sich was Neues einfallen lassen. Das nennt sich Recapture. Und Google schreibt da eben so schön, a recapture actively considers a user's entire engagement with the capture before, during and after. Das heißt, Google bezieht hier das komplette von Google beobachte Benutzerinnen und Benutzerverhalten mit ein, um zu beurteilen, ob jemand ein Code ist oder nicht Code ist. Das finde ich irgendwie bedenklich und dann mal für Business. Hat das ja eben vorhin auch schon gesagt. Und auch die Art und Weise, was Google zu dem Ganzen sagt, ist eben Google said that the information collected for recapture will not be used for personalized advertising by Google. Das heißt, Sie sagen ganz explizit, was Sie nicht damit machen. Nämlich gezielte Anzeigen zu schalten. Aber alles andere. Also das Ding ist durchaus kann man diskutieren, ob man das einsetzen sollte oder nicht, vor allem in einem Gesundheitsekontext. Dazu kommt das nächste Argument, was dann von den Personen kommt, die das einsetzen ist. Ja, aber da wird ja nur die IP-Adresse übertragen. Ja, aber die IP-Adresse ist nach einem Urteil Erkenntnis, das Europäischen Gesichtshof ein personenbezogenes Datum und damit besonders schützenswert. Und Schrems 2 hat ja schön herausgestrichen, dass jeder Datenexport in die USA eigentlich gegen die DSGVO verstoßt und daher das Ganze eigentlich gar nicht mehr gemacht werden dürfte. Genauso wenig wie Google Analytics, das laut der österreichischen Datenschutzbehörde gegen die DSGVO verstoßt und auch aufgrund eines Entschätztes europäischen Datenschutzbeauftragten eigentlich auch auf europäischer Ebene nicht mehr eingesetzt werden sollte. Das Ganze versuchen jetzt gerade Europa und USA mit dem Transatlantic Data Privacy Framework zu fixen. Das wurde im März 2022 beschlossen. Also beschlossen so, da gab es eine Presseerklärung dazu. Wir wollen das jetzt dann mal irgendwann machen. Und es heißt dann in der Presseerklärung, die Teams der US-Regierung und der Europäischen Kommission werden nun, Entschuldigung, werden nun ihre Zusammenarbeit fortsetzen, um diese Vereinbarung jetzt in Rechtstexte umzusetzen, die von beiden Seiten angenommen werden müssen, damit dieser neue transatlantische Datenschutzrahmen wirksam wird. Sprich 20, 30, 20, 40. Und bis dahin darf eigentlich nichts in die USA rüber. Mein Aufruf hier an dieser Stelle ist auch noch, spendet füreinander auf ihr Business, machen ganz tolle Arbeit und wichtige Arbeit, wenn ihr ein Baueutos überhaupt dorthin. Wie gesagt, war ein kleiner Ausritt, um mal kurz Google Capture und die Problematik dahinter zu erklären, weil wir hatten nicht nur Österreich-Impf, sondern auch Österreich Tested. Und bei Österreich Tested testet zum Beispiel Vorarlberg mit der Hilfe von Google und von Testic. Und auch hier wieder der Sprecher des Landeshauptmanns, in dem Fall ist es ein Landeshauptmann gewesen, oder ist es noch immer, ich glaube gerade noch, auch ÖVP, auch gerade in Korrektionsruhmsumpf, versinkend. Wir haben, ich melde mich für eine Testung an, aber Sie haben keine personenbezogenen Daten, die Sie übermitteln, glaube ich nicht. Und von Testic ist ja überhaupt kein Problem. Ja, ich meine, von Testic Nutz-Service ist anderer Dienstleister unter anderem Amazon, Basecamp, Google, Microsoft, Github, etc. Überhaupt kein Problem, also muss ich aber auch sagen, von Testic, nachdem ich dann mit Ihnen ein bisschen hin und her getwittert habe, haben Sie dann rausgenommen, ist auch wirklich schwer, einen Fund selber zu hosten und nicht von Ihrem dünnen US-Dienst einzubinden. Österreich Tested war eben die Bundeslösung des Bundesministeriums für Gesundheit gebaut von der AR1 Telekom. Die ehemalige Post, sprich der Telefonieteil, der Post wurde ausgegliedert in eine Aktiengesellschaft gemacht. Und die hat eine Tochter, die AR1 digital, wo 20 somethings um einen Sportpreis solche Lösungen bauen. Die dann eben auch Google, also, Entschuldigung, nein, wo 20 somethings ohne Erwachseneraufsicht solche Dinge bauen und dann eben auch mit Google durchkommen. So, nichts gegen 20 somethings, bauen tolle Sachen. Niederösterreich Tested, ja, testet eben auch, also die Notruf Niederösterreich GmbH, die diese Plattform gebaut hat, liefert auch Brav-Daten an Google. Super war Tirol, da gab es keine zentralen Vorab-Tests, also keine zentrale Vorab-Registierung, weil Tirol hat man immer alles richtig gemacht, war die Aussage des Landes Hauptmanns bis CESU, Ischge und so Beginn der Pandemie, da gab es so, wir haben immer alles richtig gemacht. Bei den Lösungen auf Gemeindeebene, die hier angesprochen werden, will man, glaube ich, nicht genau hinschauen, da ist sicher irgendwo Excel im Spiel. Und die Ergebnisse werden natürlich unverschlüsselt bei E-Mail übermittelt, also, wie gesagt, diese ganzen Themen, für viele von euch kommt das wahrscheinlich nicht überraschen, aber ich werde es jetzt dort mal kurz abfragen, weil wir befinden uns ungefähr in der Mitte des Talks. Frage an die Runde, bitte, ruft es einfach raus. Wann wurde die Datenschutz-Grundverordnung im EU-Amtsblatt veröffentlicht? So, ja, ich will ein Ja hören, kein Datum. 2016, 2012, 14, 18. Noch gar nicht. Noch gar nicht? Nice try. Die TSGV wurde am 4.5.2016, Bravo, im EU-Amtsblatt veröffentlicht. Nächste Frage. Nach der Veröffentlichung im EU-Amtsblatt. Nach welcher Übergangsfrist wird sie denn dann angewandt? Wie viele Jahre Übergangsfrist? Ihr seid Lotterstreber. Ja, natürlich nach zwei Jahren. Ich meine, wir haben eine Verabschiedung, die jetzt schon ein paar Jahre zurückliegt werden. Zwei Jahre Übergangsfrist. Und dann tritt sie auf einmal in Kraft. Ich meine, damit konnte niemand rechnen, oder? Ich meine, es sind ja wirklich Arm. Weil niemand erwartet die TSGV. 2016 verabschiedet, 2018 endet die Übergangsfrist und 2021 sind mindestens vier Bundesländer überrascht, dass es sowas, wenn eine TSGVO gibt. Was könnten wir das bitte endlich abhaken? Und es wird ihnen noch immer als Außerleder durchgegangen. Ja, aber nicht durch den Talk schon mal gesehen, oder? Der Einwurf war nämlich, dass die Behörden von der Strafe ausgenommen sind. Ja, leider, in Österreich ist das so. Bei uns wurde die TSGVO mit dem Datenschutzgesetz umgesetzt, mit einem neuen und gegen Behörden und öffentlichen Stellen können keine Geldbußen verhängt werden. Ich meine, irgendwo versteh ich es, weil das jetzt dann eine Behörde mit Steuergeldern straffen zahlt, die dann wieder ... Aber trotzdem. Und natürlich die WKO in einer Aussendung wieder beraten statt strafen. Wir haben das durchgesetzt. Also, unsere Datenschutzbehörde ist ein zahmloser Tigerleiter. Wenn dann, kriegen wir halt den Clubs auf die Finger und dann machen sie alle weiter wie bisher. Egal. Nein, nicht egal, aber irgendwann resigniert man. Lerneffekt. Es gibt Alternativen zu ReCapture. Man ... Mensch sollte sich die halt mal ansehen und vielleicht auch umsetzen und vielleicht könnten sich da die Bundesländer arrangieren und gemeinsam so eine ReCapture-Plattform bauen, wenn man das möchte. Wien ist zum Beispiel komplett ohne ReCapture ausgekommen. Für Test- und Impfanmeldungen in Wien war kein ReCapture oder kein Capture zu lösen. Aber es gibt Alternativen. Wenn man wie in Vorarlberg nur zwei Menschen in der Entwicklung sitzen hat, wäre es vielleicht zu überlegen, nehme ich dann vielleicht doch eine Bundeslösung und lasse wen anderen das bauen und setze meine Menschen sinnvoller ein. Bräuchte ich vielleicht im Jahr 2022, wo alle jetzt Digitalisierung schreien, vielleicht doch mehr In-House-Kompetenz und vielleicht ein paar Menschen mehr. Muss ich dafür vielleicht meinen Besoldungsschema überdenken oder die Perks ein bisschen überdenken? Bräuchten wir vielleicht sowas, wenn Austrian Digital Service, da komme ich auch noch einmal ein bisschen näher dazu und ... Ja, es ist teurer, wenn man das Ganze durch Consultants und Externe bauen lässt, als wenn man sich vielleicht doch ein paar vernünftige Menschen in den In-House leistet, die das tun können. Gut, aber wie gesagt, Österreich testet. Es gab mit der Weitseite mehrere Probleme. Zum Start, es fehlte das Impressum. Dann war gerade die ersten zwei Tage die Webseite immer wieder mal online. Ich höre vom Murmeln so, das war bei euch auch ähnlich. Und natürlich war eine DDoS-Attacke schuld, nicht? Also immer, immer ist es eine DDoS-Attacke, die Bösenhacker. Und wie gesagt, ich habe euch ja vorhin schon gezeigt, dass Mail, diese Plattform hat dann eben auch Bestätigungen für Termine und Infos per Mail ausgeschickt. Die Mail-Server haben weder SPF-Records gehabt, noch haben sie DMARC oder DKIM unterstützt. Was heutzutage, wenn dein Mail dann noch dazu dann so aussieht ... Ja, aber das Schöne ist, es sind Mails angekommen, weil es kamen dann nämlich zum Teil Bestätigungsmails mit Daten von fremden Personen. Also, die Technik hat funktioniert, Mail hat funktioniert, hallo. Da ging es eben Name, Geschlecht, Sozialversicherungsnummer, Telefonnummer, 800 Fälle waren bekannt. Ja, ich meine, es ist auch klar, es war viel zu billig. Ich meine, um das Geld kriegt man doch weder vernünftigen Betrieb, noch vernünftige Entwickler. Da passiert das halt schon mal, muss man verstehen. Wie gesagt, auch hier wieder die World Direct, eine Tochter der Teilstaatlichen Eilens im Einsatz. Als Grund für die Mengel der Webseite wird Zeitdruck gelangt. Ja, liebe Developerinnen und Developer, liebe Entwicklungsmenschen, lernt Nein sagen. Nein, das geht sich nicht aus. Nein, das wird nicht fertig. Nein, ich mache jetzt keine Überstunden. Ich kriege eh kein Geld dafür oder einen Zeitausgleich. Lernt Nein sagen. Sie schreiben sich alle Agil auf die Federn. Wir sind Agil, wir sind Agil. Ja, dann sind wir aber auch einmal Agil und sagen, das schippen wir jetzt nicht. Nur weil irgendein Großkopf da oben sagt, das ist jetzt fertig. Nein. Ja, der POT funktioniert. Ja, ja, mit fünf Usern hat es funktioniert. Ja, kommen wir auch noch dazu. Man ist in dem Zusammenhang dann auch gleich in der Kommunikation mit der Presse das Lyras Law definieren. Wenn eine Webseite laut Pressestelle wegen einer DDoS-Attacke, also eine distributed denial of service Attacke offline war, lag es meist an der fehlenden Skalierbarkeit der Lösung und nicht an einer tatsächlichen Attacke. Nur mal so, ich möchte es einfach mal so, damit ich darauf referenzieren kann. Es passiert dauernd. Wenn wir das in die Wikipedia bringen, hätte ich dann das auch abgehaktes Lebensziel. Nein, muss nicht sein, Finger weg vom Laptop. Es gab aber noch viel mehr Dinge. Wenn das ein solches Ding ist, und dann ist der Weltlohn, oder haben wir wahrscheinlich alle schon mal irgendwo erlebt. Ups, der Webentwickler Gökhan, S-Punkt, hat bei der Plattform Österreich testet, eine Sicherheitslücke entdeckt. Jede Apotheke, die bei Österreich testet teilnimmt, also die Apotheken haben da eben auch getestet und dann Daten eingeliefert, konnten Daten von allen Corona-Tests in Österreich über die reguläre Programmierschnittstelle der Webseite abrufen. Schlecht. Aber der Gökhan, super Mensch, hat Responsible Disclosure gemacht, hat gesagt, hey, hier ist ein Problem, wir sollten das fixen, Security-Problem, lasst uns daran arbeiten, machen wir die Welt besser. Was ist passiert? Natürlich, die Behörden und die zuständigen Stellen haben sofort agiert, haben das Problem gefixt, haben die betroffenen Personen informiert und das System ist weiter gelaufen. Nein, nicht ganz. Die Apotheke, bei der Gökhan es gearbeitet hat, wurde von Österreich testet, ausgeschlossen, worauf die Apotheke den Gökhan entlassen hat. Ja? Ja, richtig. Der Einwurf der... Dieser Einwurf verdient eine Mannerschnitte. Der Einwurf war wenigstens keine Hausdurchsuchung, richtig. Schöner war dann auch noch die Phrase des Jahres, für mich die Phrase des Jahres zu dem Thema, weil gegenüber dem ORF gab dann das zuständige Gesundheitsministerium an, dass es sich nicht um eine Sicherheitslücke handelt, sondern um die widerrechtliche Verwendung in der Dokumentationssysteme einzelner Apotheken. Ja, Respekt, also wer immer sich das einfallen hat, lassen ganz, ganz großer Effekt. Lerneffekt dieser Geschichte, wir brauchen Security in depth und nicht Security by contract und das Thema whistleblower und responsible disclosure sollten mittlerweile im Jahre 2022 Unternehmen einerseits verstanden haben, und wenn nicht, dann sollten sie es jetzt lernen und auch üben. Das ist etwas, was man auch immer wieder üben muss, damit nicht in einer Reflexreaktion irgendein Manager wieder im Beißreflex dann auf irgendeinen kleinen Armen-Developer oder Developerin einschlagt. Nicht nur die Firmen sollen ganz besonders die Behörden, weil eigentlich sollten die Behörden mit gutem Beispiel vorangehen, wie man vorhin gesehen hat bei ReCapture, etc., etc., etc. Bitte? Behörden hätten genug Material zu üben, ja, das ist richtig. Aber ein anderes Thema, Passwortless ist ja auch momentan so ein Thema, gab es eine Firma, die war zuständig für Corona-Tests in Tirol, das war die HG Labtruck, die bis Juli 2021 die Corona-Tests in Tirol ausgewertet hat und der Zugang zum epidemiologischen Meldesystem, das ist eben die österreichische Lösung, um alle Tests und Impfungen zu verfolgen, ein zentrales System, ja, mit allen seinen Problemen, und ja, es hat auch nicht performt. Der Zugriff darauf war, über einen kleinen Zertifikat im Browser geregelt, das keine Passphrase hatte. Das heißt, man musste nur dieses Zertifikatsfeld kopieren und konnte sich am EMS anmelden und nicht nur Corona-Daten angeben oder positive Tests mit allen Daten einsehen, sondern auch neue meldepflichtige Erkrankungen wie eben AIDS, Syphilis oder Tripper eintragen. Und das auch per Person an wir haben, was wir in Österreich auch haben, ist ein sogenanntes zentrales Melderegiste, das ZMR, wo von allen Personen, die in Österreich leben, die Wohnadresse eingetragen ist, auch von Prominenten, auch von Politikerinnen und Politikern, von besonders schützenswerten Personen wie Journalistinnen und Journalisten etc. Und auch diese Daten waren über diese Schnittstelle einsehbar. Entschuldige, was war das Zweite? Nein, da war auch kein Recapture davor. Wie gesagt, das zweite Problem war, kommt das, habe ich das noch? Ah ja, kommt jetzt gleich noch. Das heißt, so funktioniert Passwortles nicht. Wer Zitifikate ausgibt, sollte sie auch revoken können, also zurückziehen können. Und wenn man 2022 noch mit Software basiert, dann sollte man eigentlich nicht mehr mit Software basierten Zertifikaten arbeiten. Das ist irgendwie ganz, ganz grauslich. Und nämlich das Problem war, die HG Labtruck hat im Juli 2021 den Auftrag zu verarbeitet und dieser Testtaten noch verloren. Die Zertifikate waren aber nachher auch noch gültig. Hat irgendwas mit den Prozessen nicht ganz gepasst. Es wird aber noch besser. Weil die HG Labtruck war nämlich so überfordert von der Masse an Daten, die sie verarbeiten mussten, dass sie diese Verarbeitung an Dritte weitergegeben haben. Sie haben sich dann nämlich ein Unternehmer in der Steiermark gesucht, dass das übernommen hat und dieses steilische Subunternehmen hat, das dann noch einmal an Dritte weitergegeben, um die Daten einzutragen. Die haben dann diese Software Zertifikate bekommen und haben dann per Mail ein Excel-File bekommen, dass sie dann auf ihrem privaten PC geöffnet haben und von ihrem privaten PC aus die Daten in das behördliche elektroepidemologische Meldesystem eingetragen haben. Als IT-Mensch, der ein bisschen Ahnung von Security hat, ist das irgendwie so, da ist ganz, ganz viel schief gegangen und vor allem frage ich mich dann, wo ist da der Datenschutzbeauftragte oder die Datenschutzbeauftragte? Das darf doch eigentlich nicht passieren. Von ein, von ein. Also da müsste das Subunternehmer eigentlich schon gesagt haben, nee, das ist auf keinen Fall. Ich weiß nicht ob es Office 365 oder ein lokal installiertes Office war, macht es aber dann auch schon ziemlich wurscht. Man stumpft dann auch ab, irgendwann sagt man so, aber es geht ja noch schön weiter. Das Thema kommerzielle Software, ganz eines meiner Lieblingsthemen. Die Anmeldeplatform wurde gehackt. Wir hatten in Salzburg eine Anmeldeplatform für Corona-Schnelltests, wie gesagt, für der reale System, wie das Land baut sein eigenes, was kann schon schiefgehen. Für die Testanmeldung mussten folgende Daten angegeben werden, namens Sozialverschädigungsnummer, Geburtstattung, Telefonnummer, E-Mail-Adresse. Das wurde dann auf einen Laufzettel ausgedruckt. Das heißt bei uns so, das ist halt ein Zettel, damit man weiterlaufen kann. Und auf dieser Laufzettel, damit man dann referenzieren kann, was ist das jetzt im System, der Zettel zu dem System, hat dieses Ding eine Nummer bekommen. Richtig, diese Nummer war fortlaufend. Yay! Dann haben Menschen tatsächlich eine rechtswidrig eingesetzte Software gehabt, die das erkannt hat und den Barcode geändert hat, damit man eben die Daten von beliebigen anderen Personen abrufen konnte. So die Sprecherin des Roten Kreuzes. Es muss jemand mit profunder IT-Kentnis und kommerzieller Software gewesen sein. Er hat mal gedacht, okay, kommerzielle Software, was kann jetzt kommerzielle Software heißen? Okay, Behördenumfeld, Windows. So, okay, kommerzielle Software. Wie schwierig kann das jetzt sein? Ich habe diese kommerzielle Software plus Screenshot in einen Tweet hineingepackt. Das geht mit einem, wie heißt das? PowerShell. PowerShell, danke. Vor allem, es ist ein Problem, das gelöst ist. Wir haben eine RFC dafür. Also fortlaufende Nummer. Das Problem ist aber jetzt nicht nur auf der technischen Seite. Also ich gehe auch da wieder davon aus, dass das Entwicklungsteam hier einfach Zeitdruck hatte und halt einfach schnell irgendetwas gebandert hat und geht schon, sorry, gebaut hat. Schön Deutsch sprechen. Wir haben aber auch ein Problem im Journalismus, weil wenn das als Datenleck ein Verstoß gegen Paragraph 54 Absatz 1 des Datenschutzesgesetzes ist, wo es heißt, unter Berücksichtigung des Stands der Technik müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um einem dem Risiko angemessenes Schutzniveau zu gewährleisten. Dann hat diese Behörde einfach einmal gegen diesen Paragrafen verstoßen. Das ist kein Datenleck, sondern ein Säumnis der Behörde, Punkt 1. Das darf der Journalismus den Behörden heutzutage nicht mehr durchgehen lassen. Und eine fortlaufende Nummer in der Url, wo ich einfach in der Adress leiste, die eins durch eine zwei austauschen muss, ist bitte kein Heckerangriff. Wir brauchen einen besseren Journalismus und mehr Wissen beim Journalismus, überall T-Dinge, über Basis-ALT-T-Dinge. Natürlich, wenn man nicht monitoriert, sieht man auch keine Probleme. Wenn ich keine Logs habe, dann kann ich auch nicht nachvollziehen, wer da jetzt wie oft Daten abgerufen hat. Und wenn ich weder ein Intrusion Detection System, noch eine Web Application Firewall, noch Security Monitoring im Einsatz habe, dann bekomme ich auch nicht mit, dass da jetzt einer fröhlich mit einem PowerShell-Script meine Daten absetzt. Ja, natürlich. Das ist DSGVO-konform, bitte danke. Das ist DSGVO-konform. Du denkst schon viel zu Behörden technisch. Arbeitest du in einer Behörde? Aber ich habe eigentlich noch so viel zu erzählen und so wenig Zeit. Lass mich noch ein bisschen weitermachen. Es wird noch schlimmer. Es gab in Österreich, in Wien, im Austria-Center, ein großes Konferenzzentrum. Dort könnte man auch einen Kongress unterbringen, hint hint. Ein großes Testzentrum, wo der Standard eine schöne Geschichte brachte, dass die Passwörter für den jeweiligen Laptop und die Web App direkt auf einem Zettel neben den Geräten lag, freizugänglich. Und man hatte damit natürlich wieder alle Daten, die wir da so kennen. Die Betreiber hatten da auch ein Passwortschema. Also das war wirklich pass null. Und dann halt immer durchnummeriert für den Arbeitsplatz. Wurde auch nie geändert. Und das System war auch aus dem Internet erreichbar. Und als Piste-Resistance, der USB-Stick, man konnte auch einfach irgendeinen USB-Stick anstecken. Aber das ist ja alles kein Problem, weil die zuständigen Stadt Wien haben gemeint, der Link war ja nur in einem definierten Adresskreis bekannt. Und wer den Link nicht kennt, konnte ja dieses System nicht finden. Und daher ist es sicher. Nein, ich habe den Link ja bewusst nicht drauf. Auch hier wieder Lerneffekt. Sicherheit ist mehr als Feuerwolls- und Passwortregeln. Das waren immer Freiwillige, die hier geholfen haben bei den Teststraßen. Da brauche ich einfach ein anderes Zugangskonzept, ein anderes Sicherheits- und Passwortkonzept. Und Security through Obscurity sollten wir eigentlich mittlerweile Art Akta gelegt haben. Auch hier bräuchte es wieder Schulungen bei Management etc. Und zum Thema Physical Security, falls es wer nicht kennt, das sind sogenannte USB-Killer. Da sind ganz viele kleine Kondensatoren drauf, die laden sich über den USB-Port auf und schießen dann 220 Volt in den USB-Port wieder zurück, sobald er voll ist. Negativ nämlich noch dazu. Damit wird das Ganze ganz schön und raucht und stinkt und der magische Rauch entweicht aus den ganzen. Ich habe gesagt, kein Dringenspiel bei Hackerangriff, weil wir haben noch einen Hackerangriff. Da gab es ganz viele Hackerangriffe im Umfeld mit den Tests und Covid und sowieso. In Salzburg und Niederösterreich ist es am Montag, dem 8.11.2021 zu Problemen bei der Auswertung von PCR-Tests gekommen. Okay, kann mal passieren, als die Systeme steht, weil das ein Montag gewesen. Der OF, unser öffentlich-rechtlicher Rundfunk, der Grund war ein Hackerangriff auf ein Salzburger Testlabor. Moja, okay, soll sein, kann passieren. Das war ausgerechnet am Starttag der flächendeckenden 2G-Regel. Das heißt, ganz, ganz viele Leute haben am Tag vorher Tests gemacht und wollten das Ergebnis wissen. Hm, was könnte jetzt diese Attacke gewesen sein? Könnten es vielleicht einfach die Leute gewesen sein, die den Test abrufen wollten? Weil, also der Sprecher dieses Labors hat dann eben gemeint, ja, es war eine DOS-Attacke, also wenn es eine DOS-Attacke ist, die sollten wir eigentlich mittlerweile im Griff haben, wenn es nicht distribuert ist. Und es war wirklich, also, ja, also wie gesagt, potenzielle Kunden als Hacker zu bezeichnen. Auch hier wieder, wir brauchen mehr IT-Basis-Wissen, vor allem in den Chronic-Redaktionen. Wir haben bei vielen, und das sehe ich auch in Deutschland, IT-Themen sind immer noch entweder in der Wirtschaft, wenn es um Zahlen und Firmenergebnisse geht, oder in der Chronic, wenn es um Hex und sonst was geht, angesiedelt. Und es gibt keine Spezialistinnen und Spezialisten, die sich um diese Themen kümmern. Wir brauchen hier mehr Wissen und vielleicht auch Kompetenz-Centren, die man dann fragen kann. Du, der hat mir jetzt gerade das erzählt, ist das überhaupt plausibel, etc. Eine IT-Redaktion, die das neueste Handy testet, ja, das ist irgendwie sehr 1990. Schöner Zwischengeschichte. Es gab dann Probleme mit den PCR-Tests an Schulen, dass das gar nicht so schnell auswerten konnten, wie es eigentlich notwendig gewesen wäre. Die Salzburger Laborgemeinschaft, die hier diese Tests durchgeführt hat, war für acht Bundesländer zuständig. Nauvin hatte ein eigenes Labor und nachdem sie dann festgestellt haben, okay, irgendwie die Datenbank dürfte da jetzt etwas langsamer sein. Ich habe nicht nachgefragt, was es war. Ich vermute, Schlimmes. Haben Sie dann einen Computerspezialisten geschickt? Das ist auch so. Worauf deutert das Sinn? Der hat dann wahrscheinlich das Excel repariert, ja, oder vom Backup wieder hergestellt oder so. Nein, es gibt keinen anderen. Weil der Datenbank-Experte war gleichzeitig auch der Entwickler und der Geschäftsführer der Firma. Also, ist meine Vermutung. Meistens ist es leider so. Wir hatten dann auch noch die schöne Geschichte, dass sich Österreich überlegt hat, hey, da kommt jetzt dieses EU-COVID-Zertifikat, Schreckstrich-Grünapass. Das ist zwar super, was Sie sich da überlegt haben, aber wir haben doch unsere E-Card. Unsere E-Card ist quasi unsere Gesundheitskarte, mit der kriege ich Zugriff auf alle medizinischen Dienste in Österreich. Quasi jeder Österreicher in jeder Österreicher hat so ein Ding. Und die Rückseite dieser Karte dient auch als europäische Krankenversicherungskarte. Ganz unten in der letzten Spalte, ich hoffe, man erkannt es ganz gut, ist die Kennnummer der Karte angegeben. Diese Kennnummer besteht aus 20 Zeichen, wovon die ersten 10 Zeichen fix sind. Das Schöne ist, dass EpicenterWorks da im Mai 2021 einen Powerpoint zugespielt bekommen hat, dass die ITSV, also quasi der IT-Dienstleister der österreichischen Sozialversicherungen, jemand dort oder in der Sozialversicherung die grandiose Idee hatte, neben dem Zugriff über die üblichen Dinge, mit Handysignaturen etc. doch auch diese E-Card als Zugriff zu den Covid-Daten, zu den Covid-Test-Daten und zu den personenbezogenen Daten zu verwenden. Weil da scant man einfach die Nummer unten ab und zusammen mit Namen und Geburtsdatum meldet man sich dann an. Also Name, Geburtsdatum und dieses 20-stellige Ding in ein Formular gepackt und ich habe Zugriff, Aufnahme, Geburtsdatum, Sozialversicherungsnummer, Adresse, Telefonnummer, E-Mail-Adresse etc. pp. Bei 10 Stellen, wie gesagt 20 Stellen, aber nur 10 Stellen davon sind unterschiedlich. 10 Stellen mit Wiederholungen. Ich brauche ungefähr 416 Millisekunden für eine Abfrage. Wie lange dauert das, um das alles durchzuprobieren? Nicht allzu lang. Die Epicenter Works hat gemeint, sie bräuchten ungefähr einen Monat, um all das einfach per Brutfonds auszuprobieren und abzusorgen. Es ging aber dann noch weiter, weil die Idee war dann diese Karte nicht nur für den Zertifikatsimport des EU-Zertifikats in die dazugehörige Applikation am Handy zu verwenden. Und da haben sie sich gedacht, ja, es reicht doch, wenn wir dann für die grüne Passapplikation die Kartennummer und die Postleitzahl an eingeben und dann kann ich mir mein Covid-Zertifikator runterladen. Postleitzahl kriegt man ja nicht und die Kartennummer, wenn ich jetzt irgendwo was trinken gehe und mein Covid-Zertifikatüberprüfung kennt ja meine Karte ab und hat die Nummer. Und vor allem die Idee war dann, und ich mache das gleich nochmal größer, dass dieses Konzept mit dieser 20-stelligen PIN, also mit dieser 20-stelligen Nummer und der Postleitzahl dann auch für weitere gesundheitsbezogene Dienste als Zugangs-, als Authentifizierungsmöglichkeit eingesetzt werden soll. Zum Glück haben da Epicenter Works das Ganze dann auch in der Zeit im Bild unserer Tagesschau präsentiert, was dazu führte, dass das am 6.5. vorgestellt wurde und am 7.5. dann wieder glücklicherweise zurückgezogen wurde. Und wir haben jetzt etwas vernünftiger, ein bisschen nicht viel, aber etwas vernünftigere Variationen. Das ist Agil, das ist super Agil, ja, genau. Wir hatten dann auch das Thema Gäste-Registerierung in Österreich, genauso wie hier auch in Deutschland. Da muss ich eine Lanze für die Wirtschaftskammer Österreich brechen, die hier ihren Mitgliederninnen und Mitgliedern auch eine Papiervorlage quasi als PDF zur Verfügung gestellt hat, so wie es auch der CCC eigentlich vorgeschlagen hat. Ein Zettel pro Tisch in ein Kuvert nach vier Wochen verbrennen, danke, Thema erledigt. Super Lösung. Es gab dann leider auch andere Lösungen. Das Herr Scheröksnerl mit seiner Ferratell ist ein bekannter Person in Österreich, Präsident des österreichischen Olympischen Komitees, Präsident des österreichischen Schiefverbandes, also ein ganz wichtiger Mann in Österreich. Und hat auch eine Firma, die im Tourismusbereich tätig ist. Und wir haben doch da schon so Applikationen, die können wir ja um das erweitern. Das ist eine App, die braucht kein Internet. Und hat über Covid hinaus weitere Anwendungsmöglichkeiten. Merkt euch das kurz. Dann gab es zum Beispiel eine Lösung von der EWID-Datee, die Gastrogäste-Liste. Keine Impressum, keine Datenschutzerklärung. Und zu verwenden dann die Daten auch noch für Dritthersteller. Kommen eigentlich aus der Ecke, Gäste WLANs für Unternehmen anzubieten und daraus dann Newsletter und Direct Marketing zu generieren. Was sich auch an der Kommunikationsfreiheit ihrer Applikation widerspiegelt, spricht mit Facebook, Google, Tracking, die Katastatureingaben mit Holoda Raw, alles was geht. Und das Ganze, und jetzt sind wir wieder da, wo ich gesagt habe, merke ich das, obwohl es eigentlich explizit nicht nur in Wien, sondern in jedem Bundesland verboten war, die Datenzweck zu entfremden, außer für den Zweck des Covid-Tracings. Und natürlich auch die DSGVO und noch viel mehr. Ich wollte nur nicht dauernd mit der DSGVO kommen, deswegen habe ich hier jetzt einmal das Wiener Amtsblatt. Andere Applikation war Tracy. Sieht man jetzt vielleicht nicht auf den ersten Blick, warum das ein Problem ist? Ich mache euch das nochmal größer. Eine andere Applikation zum Customer Tracing war der Covid-Radar. Die habe ich gefunden über die offizielle Liste der Wirtschaftskammer Österreich. Ihr seht, die kommt immer wieder vor. Die hatte da so eine Exelliste an Lösungen, die Unternehmen einsetzen könnten. Der Covid-Radar hat dann ... Also das war als die ... Was, fünf nur noch? Das war damals als die noch aktiv waren. Mittlerweile ist ein Zahlenrad der Spiel da drauf. Ich sage jetzt, wenn es um Kontakttracing geht, das ist nicht weit weg von dem, was wir manchmal auch hatten. Wie viel sind sie jetzt wirklich? Der ganz schnelle Schnelldurchlauf. Bei uns kommt jetzt die ID Austrea. Das ist bei uns die EIDAS-Umsetzung. Also habt ihr jetzt dann auch in Deutschland. Bei uns heißt das dann ID Austrea. Die Digitalisierung ist jetzt in aller Munde. Und wir haben seit früher 2021 einen digitalen Führerschein. Not. Wenn wir Glück haben, kommt er jetzt vielleicht im Herbst. Da war im Spiel dann die Gemalto, die 2015 mit einer schweren ... Also Gemalto ID-Wolle, die hatten 2015 eine Sicherheitslücke. Gehören Zortales, die in Frankreich eine Verruptionskanteil vermittelt war. Also das volle Programm. Yay. Nein, noch kein ... Mit Blockchain kann bei uns noch keiner. Dafür haben wir das digitale Amt, das jetzt quasi unsere zentrale Anmeldeplattform wird. Mit der EIDAS funktioniert. Wo sich zwei Drittel der User nicht anmelden können, wenn ihr euch von dem mal die Reviews auf Google anschaut. Es ist ein Stern-Reviews. Also wirklich ... Dazu kommt dann noch, dass Sie zwar gesagt haben, dass die ID Austria ab Sommer 2022 die Handysignaturen, die wir derzeit haben, wo der private Schlüssel bei einem Dienstleister liegt, aber das ist ein Runt for an anderes Thema, ablösen wird. Also wenn man ein bisschen sucht, findet man andere Lösungen, das sollte das Ganze schon seit zwei Jahren im Einsatz sein. Ja, ja. Also 2021 sind wir schon bei IDAS fertig. Eigentlich doch nicht. Das Problem bei ID Austria, genauso wie bei IDAS, das ist das Ganze setzt Biometrievoraus, was in diesem Kontext hier, glaube ich, niemandem erklären muss, was das für ein Problem ist. Und eigentlich löst die ID Austria die Handysignature nicht ab, weil sich die qualifizierte Signatur, die die Handysignature zur Verfügung stellt, gibt es weiterhin. Muss man aber alles nicht wissen. Auch die Firmatrasse, die sich bei uns für die um die Ausstellung der digitalen Signaturen zuständig ist. Eine private Firma, die das für alle und auch die Behörden macht. Hat das gesagt, nein, das löst sich nicht ab und das funktioniert alles weiterhin. Die Artrust, die hier ein zentraler Bestandteil der ID Austria und damit der IDAS-Infrastruktur ist, hat sich auch immer wieder nicht mit Lob begleckert, spielen Updates aus, wo dann auf einmal man auch wieder Dokumente sieht, die eine andere Person unterzeichnet hat. Das sind rechtsgültige Signaturen, Kaufverträge etc. Also kein Problem. Und die Updates werden dort vierteljährlich ins Handysignaturesystem eingespielt. Die Artrust, die Aminos Trust, wie ich sie immer gerne nenne, hat auch ein LDAP-Verzeichnis mit 340.000 E-Mail-Adressen betrieben. Mittlerweile haben sie das abgetreten. Und 2015, bis 2015 hatten sie ihr Rout-Zertifikat in allen Browsern drinnen. Und 2015, genau während des CCC-Camps, ist ihnen das abgelaufen und sie haben sie nicht verlängert rechtzeitig. Worauf einmal zwei Drittel aller österreichischen Government-Websites offline waren. Da springe ich jetzt drüber. Den springe ich jetzt auch drüber. Lasst mich nur noch zu der Charter kommen. Was wollen wir haben? Wir wollen einen besseren Journalismus haben. Wir wollen Journalistinnen und Journalistinnen, die mehr Grundverständnis von IT haben. Wir wollen inhausing statt der Beratertreppe, die Lilith Wittmann hat, hat einen ganz, ganz tollen Artikel für Heise verfasst. Wir wollen Agile und nicht Agility. Wenn euch eine Firma und ich habe das erlebt, ein Agility-Training anbietet, dann verlangt den Hund dazu, lernt Nein zu sagen. Das ist in meinen Augen ganz, ganz wichtig. Wir brauchen Responsible Disclosure, verstanden und gelernt. Das Stöbsen, lieber Freund von mir, hat formuliert, wenn ein Prozess Excel beinhaltet, ist der Prozess kaputt. Fixed in. Schaut euch an, was die USA mit ihrem US-Digital Service gemacht haben. Ich bin da meinen, wir bräuchten das in Österreich und Deutschland auch. Und wir brauchen eigentlich mehr IT-Menschen. Wir brauchen viel mehr von euch. Wir haben in Österreich eine Liste der Mangelberufe. Das sind nur die IT-Mangelberufe. Ich meine, ja, okay, da steht jetzt auch SAP-Konsultant drin. Aber ansonsten ... Das heißt, bei uns in Österreich ist die IT gefordert. Wir haben 670 Studienplätze und 926 Registrierte. Da stimmt was nicht. Die Politik muss was tun. Damit zeige ich vielen, vielen herzlichen Dank. Und noch eine schöne GPN. Danke. Die Fragen machen wir beim Punktlandung. Danke, Leirak. Genau, es war eine Punktlandung. Fragen haben wir jetzt keine Zeit. Wir hatten jetzt 60 Minuten IT-Fails aus Österreich. Da gäbe es noch viel mehr zu erzählen. Wer noch mehr wissen will oder Kommentare fragen hat, beim Schunk und im Zweifel draußen auf der Wiese, wenn er nicht gerade wieder auf der Wiese kommt. Danke schön. Danke und viel Spaß.