LNP356 Gesegneter Entscheidungswahn

Trump vs. Tiktok — Corona Warn App — Twitter-Hack — Polizeidatenbankzugriff — Richtervorbehalt — Bestandsdatenabfrage — Kurzmeldungen

So die Sommerpause ist jetzt für LNP erst mal vorbei und wir nehmen langsam wieder den üblichen Produktionszyklus auf. Dafür blicken wir zunächst mal in das Geschehen der letzten Wochen und blicken auf die Ereignisse, die auch nicht ganz so zeitaktuell der Kommentierung bedürfen.

Dauer: 1:48:43

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Trump vs. TikTok

Corona-App

CWA: Anbindung der Labore nach wie vor problematisch

CWA: Probleme mit Messungen im ÖPNV

CWA: Probleme mit Hintergrundaktualisierung

Corona-Kontaktlisten

Twitter-Hack

Illegale Zugriffe auf Polizeidatenbanken

Richtervorbehaaahahhaaa

Bestandsdaten

voteIT hat ivu.elect übernommen

noyb: 101 Beschwerden wegen illegaler Datentransfers

Digitale Gesellschaft sucht Leitung

Termine

Bonus Track

34 Gedanken zu „LNP356 Gesegneter Entscheidungswahn

  1. Hallo Jungs,
    wie so oft, wenn ihr über die öffentliche IT sprecht, habt ihr eher nur halb recherchiert.
    Die Vote IT ist eine Kooperation von einigen öffentlichen Softwareherstellern und das Produkt wird unter unterschiedlichen Namen von den verschiedenen Teilhabern vermarktet.
    Die Software ist neu geschrieben und der Code von PC Wahl ist nicht Bestandteil.
    Bei weiteren Fragen könnt ihr mich fragen.
    Viele Grüße
    Torsten (eGovernment Podcast)

  2. Hallo :)
    Ihr habt in dieser Folge zu der Corona-App gesagt, dass ihr die Anzahl der Begegnungen angezeigt bekommt. Hier scheint sich die iOS-Version von der Android Version zu unterscheiden; zumindest findet sich auf meiner App eine solche Angabe nicht. Es wird lediglich in der Google-Schnittstelle (auf Samsung “COVID-19 Benachrichtigungen”) angezeigt, wie viele Schlüssel überprüft / heruntergeladen wurden. Hier ist mir nicht ganz klar was genau gemeint ist. Ob es sich z.B. um die Anzahl der selber über Bluetooth empfangenen Schlüssel, um die vom Server heruntergeladenen oder um die überprüften Schlüssel handelt.

    Ich wundere mich über eure Aussage zur Erkennung der Installationen. Falls ihr das nochmal erläutern könntet wäre das schön :) Ihr sagtet, dass man hier die Verbindungen zu den Servern eindeutig identifizieren sollte. Mir ist nicht klar in wie fern das mit einer anonymen App konform gehen soll, da man ja nun eine eindeutige ID benötigt, um dies zuverlässig unterscheiden zu können. Zumindest sind die Daten die auf TCP/IP ebene übermittelt werden meines Wissens nach für gewöhnlich kein zuverlässiges Mittel zum identifizieren von Nutzern.

    • Das habe ich in der Sendung versucht zu erklären: jede funktionierende App ruft ein einziges Mal in 24 Stunden die Daten ab.
      In einem beliebigen Zeitraum von 24 Stunden hast du also exakt so viele Zugriffe wie aktive Apps (und ein paar interessierte, die auch so mal auf diese API zugreifen)

  3. Wollte nur anmerken, daß sich “Anträge ablehnen gibt Ärger” (Thema Richtervorbehalt) ein bißchen irreführend anhört. Als ob eine Ablehnung oder eine zu hohe Quote an Ablehnungen dazu führt, daß man sich als Richter rechtfertigen müßte oder gar bestraft würde.
    Wenn ich mich recht erinnere, hat Ulf zu dem Thema mal aus erster Hand erzählt, daß er durchaus Anträge (da ging es um Durchsuchungs- bzw. Beschlagnahmebeschlüsse) abgelehnt hatte und gerade _nie_ “Ärger” deswegen gehabt hatte. Da würde ich doch zunächst mal annehmen, daß dies für Anträge betreffend Telefonüberwachung etc. ebenso ist.

  4. Was ihr zur Laboranbindung erzählt habt war so nicht ganz richtig.
    Damit das System auf Laborseite funktioniert muss eben nicht nur die Anbindung an die Telekom-Cloud stattfinden.
    Die neue UUID gab es ja so vorher nicht. Es müssen also auch mindestens die Scannsysteme und die Datenbanksysteme des Laborinformationssystems selbst angepasst werden. Die Scannsysteme müssen die UUID aus dem neuen schönen Muster 10c/ OEGD auch auslesen können und auch die Datenbanken müssen die UUID entgegennehmen können und dann mit Ergebnis an die Software der Telekom übergeben können. In einem späteren Schritt werden auch die elektronischen Order-Entry Systeme angepasst. Es geht also darum das mehrere Softwarekomponenten angepasst werden müssen, die selbstverständlich oft von verschiedenen Herstellern/Dienstleistern stammen. Das muss nebenbei so funktionieren das der Produktivbetrieb nicht in Gefahr gerät durch Softwarefehler lahmgelegt zu werden oder ähnliches. So etwas wäre weitaus schlimmer als eine langsame Umsetzung. Daher dürfte die Begeisterung irgendwelche wilden „Hacks“ eher gering sein. Das alles ist natürlich kein Hexenwerk, es müssen aber schon Veränderungen an den Kernsystemen vorgenommen werden. Man kann also immer noch zu dem Ergebnis kommen das der ganze Spaß zu lange dauert, aber eure Vorstellungen haben mit der Realität eher wenig zu tun.
    Die Labore waren auch erheblich zurückhaltender was den Zeitrahmen angeht.
    Hier nochmal die inzwischen 2 Monate alte Stellungnahme der Labore dazu:
    https://www.alm-ev.de/files/site-files/Corona/Corona-Warn-App-Status-Laboranbindung-180620.pdf

    Da ich mir nicht ganz sicher bin ob euch das klar ist, noch eine kurze Anmerkung. Ob derjenige der die Probe beim Patienten abnimmt das Muster 10c verwendet, hat exakt nichts damit zu tun ob das Labor das diese Probe bekommt etwas mit der UUID anfragen kann bzw. an die Telekom angebunden ist. Wenn also der Pat einen schönen Zettel mit QR-Code bekommt und diesen brav scannt heißt das noch lange nicht das da auf der Laborseite irgendwas mit der UUID passiert. Das erklärt einige der Leute die sich wundern das ihr Ergebnis in der App nicht erscheint. In den einigen Fällen wird das Labor den QR-Code schlicht ignoriert haben weil die Komponenten noch nicht laufen.

    • Danke für die Ausführungen und das verlinkte Dokument.

      Sicherlich müssen verschiedene Komponenten angepasst werden, aber am Ende des Tages reden wir immer noch von der Einführung einer (!) UUID in den bereits komplett durchdigitalisierten Prozess. Keine der angeführten Technologien wie UUID-Generierung, DB-Felder und das erzeugen und lesen QR-Codes stellen für sich eine besondere technische Herausforderung dar.

      Das ist, wie Du ja auch selbst sagst, kein Hexenwerk. Wenn sich die “Akkreditierten Labore” selbst als “Treiber der Digitalisierung” verstehen (wie in dem verlinkten Dokument geschrieben), sollte das auch zügig umsetzbar sein.

      Dass es hier auch mehr als eine Woche sein kann und darf ist mir natürlich auch klar (die Einschätzung, dass es “nicht so schwer sein kann” bezog auch eher konkret auf die eigentliche Übermittlung), aber nach zwei Monaten darf man in so einer Situation auch langsam mal auf Verzug pochen und da sind die Labore genauso gefordert wie T-Systems.

      In der Zeit in der Tesla mal eben ein sechstel Automobilwerk aus dem Sand zieht, sollte sich eine UUID im Prozess durchaus mal umsetzen lassen.

      • Wie ich gesagt habe finde ich die Meinung das die Umsetzung auf Laborseite zu langsam ist absolut legitim. Man sollte auch unbedingt auf Vollzug pochen, die erste Ausbaustufe sollte unbedingt Zeitnah in allen relevanten Laboren abgeschlossen sein.
        Zum einen weil es die meisten Labore ja nun offensichtlich geschafft haben, zum anderen weil die App so auch ohne die Bluetooth-Komponente, die ich persönlich weiterhin mit großer Skepsis sehe (ihr hab das Thema ja in dieser Folge behandelt), einen relevanten Mehrwert bieten kann.

        Was mich gestört hat ist die „man muss ja nur 10 Zeilen Python schreiben“ Attitüde. Anderen Leuten ihren Job zu erklären, während man sich selbst bestenfalls mittelmäßig informiert hat, muss echt nicht sein.

        Was der Zusammenhang zu der Fabrik von Tesla sein soll ist mir unklar, die einzige Parallele die ich erkennen kann ist das beides nicht fertig ist.

  5. Hallo Tim, hallo Linus,

    ihr spracht bezüglich der Kontaktverfolgung in der Gastronomie von der Alternative, diese über die Corona Warn App zu realisieren, damit man seine Daten nicht auf von allen einsehbaren Zetteln hinterlassen muss.

    Ich frage mich welchen Anspruch die Gesundheitsämter an die Kontaktverfolgung haben. Ginge es über die CWA, wäre der Nutzer komplett anonym und müsste sich freiwillig melden, was bei der Zettel-Lösung nicht unbedingt der Fall wäre. Eine von ihrer App benachrichtige Person ist durch Scham oder ähnliches eventuell weniger gewillt sich zu melden und könnte so einer Quarantäne “entgehen”. .

    Natürlich kann man auch falsche Daten auf dem Zettel angeben. Ich denke aber, dass die meisten ihre tatsächlichen Daten eintragen, da die Ausnahmesituation “potentielle Infektion” noch nicht besteht.

    Wäre interessant zu wissen, wie da die Vorgaben der Gesundheitsämter sind. Freiwillige Meldung oder Pflicht zum Test.

    Viele Grüße
    Nils

    P.S. Höre euch seit Folge 1, was mir jetzt im Masterstudium Informatik in IT Security viel geholfen hat. Der Prof zeigte eine Powerpoint Folie über Max “Schremps” und Facebook, wo ich ihn direkt korrigieren konnte. Auf die Frage woher ich das alles wüsste, konnte ich in der Vorlesung direkt Werbung für euren Podcast machen :)

    Vielen Dank für eure Arbeit und bleibt gesund.

    • Die anonyme Funktion wäre vermutlich immer noch besser als nicht oder falsch ausgefüllte Formulare, aber Du hast da natürlich einen Punkt. Es müssten ggf. etwas solidere Kontaktmöglichkeiten vorliegen und man könnte in dem Zusammenhang auch über eine separate App nachdenken. Vielleicht greifen wir den Gedanken noch mal auf.

  6. Hallo ihr zwei,
    die übliche verdiente Lobhudelei lasse ich mal weg und möchte formale Kritik üben.
    Vorab ein Disclaimer: Ich bin Mitarbeiter der T-Systems.

    Ich finde es gut, dass ihr die in die Pfanne haut, die es verdienen. Bei insgesamt shady-Organisationen wie der AfD – die zweifelsohne demokratiegefährdend und systemfeindlich ist – gerne auch pauschal. Bei Unternehmen, wie eben der T-Systems, pauschal immer auf zu hauen, passt weder in euren üblichen Stil noch in euren (von mir wahrgenommenen) Anspruch. In Deutschland hat der Laden derzeit noch etwa rund 15.000 Mitarbeiter. Hier werden und wurden definitiv Dinge finden Sand gesetzt. Nicht umsonst kämpfen wir um Umsatz und Ertrag. Qualitativ ist die TSI im B2B-Bereich an ganz vielen Kunden mit exzellenter Qualität und sehr gutem Feedback unterwegs (finanziell nicht immer gut, da zeigt sich das teilweise Fehlmanagement der letzten 10 Jahre). Ist natürlich üblicherweise nichts, was so präsent ist, wie verpackte Projekte, logisch.

    Miene Bitte wäre: Pauschalisiert grundsätzlich etwas weniger gegen Unternehmen. Vollzieht nach, dass dort sehr viele Menschen täglich ihr Bestes geben. Und das ist zu einem nicht unerheblichen Teil eben auch wirklich gut.

    Wie so oft im Leben leidet die “Masse” oft unter wenigen (Entscheidern).

    Ansonsten – vielen Dank für euren Aufwand!

    Grüße,
    Thomas

    • Moin,

      1. Ich teile deinen Anspruch, zwischen Management und denen zu unterscheiden, die die am Ende die Arbeit machen. Ich bin eigentlich davon ausgegangen, dass das auch immer klar wird. Wenn ich zum Beispiel sage, dass Fehler normal sind, aber der Umgang damit ok, dann ist vermutlich allen klar, auf welcher Ebene das geschieht?

      2. *Eigentlich* habe ich den Eindruck, dass T-Systems 2020 in LNP ganz gut weg kommt :)

      Jedenfalls danke für dein Feedback, ich dachte zukünftig mehr darauf.

      Liebe Grüße,

      Linus

  7. Hi Schnuckis, übersehe ich was oder fehlt der versprochene Link zu Idil Baydar / Jilet Ayse und dem Grundgesetz in den Show Notes noch?

    Ja, ich kann auch googeln, aber vielleicht findet ihr viel bessere Links als ich :)

    PS: Guter Podcast, wie immer. Danke!

  8. Corona-Warn-App:
    Vor etwa zwei Wochen habe ich mich im Rahmen einer ärztlichen Untersuchung testen lassen undbrav den Code eingescannt.
    Am nächsten Morgen habe ich einen Anruf von dr praxis bekommen, dass der Test negativ war. die App zeigt bis heute: Das Ergebnis liegt noch nicht vor.
    Außerdem habe ich einen Eintrag “1 Risiko-Begegnung mit niedrigem Risiko”.
    Natürlich wiß niemand wo und bei wem, aber die App sollte doch wissen wann der Token ausgetauscht wurde. Von der Hotline heißt es aber:
    “das ist nicht gewollt” – solange die Anzeige grün bleibt ist alles gut, wenn sie auf Warnstufe geht, soll ich mich in Quarantäne begeben.
    So hilflos hatte ich mir das nicht vorgestellt.

  9. Polizisten sind die Guten, Hacker sind immer Russen…..
    Schau mal TV, wenn du auf Schmerzen stehts…!
    Bye, Matze(50, ZDF-Zielgruppe) ;-)

  10. Hallo zusammen,
    nicht, dass ich in irgendeiner Weise gutheißen würde, dass Trump “eine Mauer im Internet” bauen wollte. Die jedoch hat China seinerseits längst eine errichtet – es gibt Dienste großer amerikanischer Firmen (z.B. nahezu alle, die mit Google zu tun haben), die in China nicht verfügbar sind. Nun finde ich es auch nicht gut, Gleiches mit Gleichem zu vergelten, aber zum Gesamtbild (um nicht zu sagen zur “Wahrheit”) gehört auch, dass da nicht nur eine Seite die Mauer baut – so unsympatisch sie auch sein mag…

      • Bedauerlich, dass du meine Meinung nicht wirklich zur Kenntnis genommen hast – da stände die Antwort auf Deine Gegen-Frage (die unfreundlicherweise versucht, mich ins moralische Abseits zu stellen) bereits drin.
        Meine Argumentation ist, dass zum Gesamtbild gehört, dass China längst das getan hat, was Ihr (und eigentlich ich auch) jetzt Trump vorwerft tun zu wollen. Also nicht: Amerika=Böse, China=Gut. Da könnte man auch souveräner antworten – trotzdem wünsche ich Euch einen schönen Abend.

        • Meine Nachfrage war weder unfreundlich noch wollte sie Dich in “ein Abseits” befördern. Letztlich war Dein Kommentar nur eine Feststellung (dass China ja das gleiche tun würde).

          Nur, was folgst Du daraus? Was ändert sich dadurch in Bezug auf die USA, Trump oder die betroffenen Unternehmen?

  11. Ich habe die Entwicklung der iOS Corona-Warn-App von Anfang auf GitHub verfolgt und muss sagen, dass meine anfängliche Begeisterung seit dem Release stark nachgelassen hat. Mittlerweile haben sich die SAP Entwickler größtenteils von GitHub zurückgezogen und Issues werden vom “Corona-Warn-App Open Source Team” – wenn überhaupt – mit der Standardfloskel “Thanks for reaching out. I will contact the development team to clarify.” beantwortet. In der Regel steht diese Rückmeldung auch nach Wochen noch aus.

    Dass in der Presse Kommentare von Entwicklern, die die Probleme bei der Hintergrundgrundaktualisierung runtergespielt haben, zitiert wurden hat sicherlich nicht dazu beigetragen, dass SAP weiterhin Bock hat in Öffentlichkeit zu arbeiten. Man werkelt jetzt lieber im internen Jira. Pull Requests verweisen größtenteils nur noch auf dieses interne Jira (z. B. “Please make sure to especially check out the documents that are attached to the JIRA issue, as they explain in detail which things we needed to integrate to fulfill the requirements.”). Mit dem anfänglichen Spirit das Ganze als Open Source Projekt zu betreiben hat das nichts mehr zu tun. Die Entwicklung ist nicht mehr offen – nur noch der Quelltext.

    • Ein weiterer Faktor für den Rückzug aus der Öffentlichkeit war sicherlich auch, dass die Communityarbeit mit dem Release deutlich anstrengender wurde. Vor dem Release herrschte ein netter Austausch zwischen Community und Entwicklern. So gab es damals auch noch einige externe Pull Requests von Externen, die schnell gemerged wurden.

      Nach dem Release kamen jede Menge anstrengende Leute dazu, der Ton wurde deutlich rauer und externe Pull Requests sind mittlerweile nur noch nach vorheriger Absprache erwünscht. Soweit ich das überblicke haben mittlerweile alle externen Contributor das Interesse verloren und die Pull Requests kommen nur noch von SAP Mitarbeitern.

  12. Frage: Es wurde im Nebensatz gemeckert, dass es keine “guten” Daten zur CWA gäbe. Interessant wären ja für eine Erfolgsstory nicht nur die Nutzungszahlen, sondern auch “SO viele Risikokontakte haben wir gemeldet”, davon haben “SO viele einen Test-QR-Code gescannt”, davon haben wir “bisher SO vielen ein Testergebnis (positiv oder negativ) durchgereicht.”

    Okay, offenbar wäre der letzte Punkt jetzt keine Erfolgsstory, aber zur Frage:
    Da die App mit öffentlichen geldern gebaut wurde, müsste man doch über eine Informations-Freiheits-Anfrage an diese Daten kommen können? Und wenn man oft genug fragt doch auch dauerhaft und ständig über Webseite oder API.
    Wen müsste man da fragen? Und wer macht mit?

    • Eine Informationsfreiheitsanfrage dürfte da zur Zeit wenig bringen, da ich davon ausgehen, dass diese Daten schlicht nicht erhoben bzw. gewonnen werden. Die Nutzungszahlen ließen sich relativ einfach (und anonym) erzeugen, da man sie direkt an der Serveraktivität ablesen kann. Gleiches gilt für die Zahl der tatsächlich getätigten Meldungen wie auch für die Zahl der positiven Ergebnismitteilungen. Ich vermute, dass aus grundsätzlichen Datenschutzgründen diese Funktionen weggelassen wurden, auch wenn sie im Prinzip ohne Verletzung von Privatsphäre mitgezählt werden könnten.

      Wie viele Leute durch die App über einen Kontakt benachrichtigt wurden ist eine Information, die nur auf den Geräten selbst erhoben werden könnte. Hier wird es knifflig, aber es gäbe schon Ansätze dafür, z.B. ein auf Differential Privacy basierende Methode. Hier gibt es natürlich wieder Potential für Geschrei, denn es würde bedeuten, dass alle Apps Daten regelmäßig beim Server abliefern müssten (idealerweise in dem Moment, wo sie sich neue Keys ziehen). Ich halte das für absolut vertret- und realisierbar, aber da wird es wie immer auch andere Stimmen geben :)

  13. Ich sehe bei den CORONA-LISTEN in der Gastronomie ein ENTSCHEIDENDES PROBLEM, das irgendwie nie thematisiert wird. Wenn ich dort eingetragen bin, schön und gut, aber ich muss wenn ich positiv getestet wurde ja auch noch wissen, wo/wann ich überall war und dort Bescheid geben. Gerade wenn man viel unterwegs ist und 1-2x pro Tag irgendwo die Gastronomie nutzt – vielleicht auch noch an Orten die man nicht kennt, dann könnte es echt schwierig werden. Genau genommen müsste eigentlich Jeder verpflichtet sein, für sich selbst zusätzlich eine Liste zu führen, wann/wo man welche Lokalität besucht hat.
    Viele Grüße und weiter so – ich liebe euren Podcast !

  14. Daumen hoch, Jungs, euer Einsatz rührt mich zu Tränen. Solche kompetenten Kollaborateure wie euch hätten wir uns damals gewünscht zwecks Vervollkommnung unseres Lausch- und Meldewesens. Leider waren wir damals noch nicht so weit – weder technisch noch mental. Weiter so! Wir schaffen das!

Schreibe einen Kommentar zu Horst Seehofer Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.