Feedback — Besuch bei der EU — Chatkontrolle — e-Rezept — European Health Data Space — Faschisten — Termine
Heute begrüßen wir wieder einmal Khaleesi in unserer Runde, die uns von ihrem Ausflug nach Brüssel zum EU-Parlament berichtet und uns über den aktuellen Stand der Dinge rund um das Ringen um die Chatkontrolle berichtet. Außerdem ein paar neue Details zum e-Rezept und anderen Unsinn.

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Shownotes
Frida Kahlo
- telegraph.co.uk: Cryptocurrency entrepreneur destroyed $10m Frida Kahlo drawing to ‘transition it into the Metaverse’
- youtube.com: Ist das /dev/random oder kann das nach /dev/null? Wert & Wertlosigkeit von Kultur und Schaffen – YouTube
- vice.com: A Frida Kahlo Drawing Was Destroyed to Make NFTs
Feedback
VPN und Snowflake
- logbuch-netzpolitik.de: Kommentar von Azar
- media.ccc.de: 35C3: Du kannst alles hacken – du darfst dich nur nicht erwischen lassen.
- logbuch-netzpolitik.de: Kommentar von Florian
- logbuch-netzpolitik.de: Kommentar von qbi
VDS
- logbuch-netzpolitik.de: Kommentar von jemand über 30
- de.wikipedia.org: Vorratsdatenspeicherung in Deutschland – Wikipedia
Poschardt und Döpfner wollen Twitter für Elon Musk managen
EU-Besuch
Chatkontrolle
- EDRi Guide
- Berichterstatter
- EU Legislative Train
- Positionspapier von Meta, Amazon und Co.
- FOI Felix Reda
- Europol Präsentationsleak
- Positionen der einzelnen Mitgliedsländer
- Feedback der Öffentlichkeit
- Chatkontrolle STOPPEN! – Website zur Kampagne
e-Rezept
- bfdi.bund.de: BfDI – Der BfDI – Stellungnahme an gematik zum eRezept
- heise.de: E-Rezept mit Gesundheitskarte: Datenschützer erteilen spezifiziertem Weg Absage
European Health Data Space
Faschisten
2018
- zeit.de: AfD wegbassen: Berlin feierte ein gigantisches Fest gegen Rechts
- spiegel.de: Berlin: AfD wegbassen! Die besten Plakate der Gegendemo – DER SPIEGEL
2022
- instagram.com: ANTIFA HEISST NACHLEGEN. AfD WEGBASSEN.
- twitter.com: Tweet von ReclaimYourClub
Termine
AfD-Gegendemonstration 8. Oktober 2022
- aufstehen-gegen-rassismus.de: Gemeinsam gegen den bundesweiten AfD-Aufmarsch am 8. Oktober in Berlin – Aufstehen gegen Rassismus!
Systemabsturz EP-Release
- systemabsturz.band: Systemabsturz
- songkick.com: Systemabsturz Tickets, Tour Dates & Concerts 2023 & 2022 – Songkick
- fairetickets.de: Tickets für Systemabsturz am 12. November in Berlin
FIfFKon22
- fahrplan.2022.fiffkon.de: FIfFKon22 Fahrplan
- 2022.fiffkon.de: make install PEACE – #FIfFKon22 – Berlin
Khaleesi wurde in der Auflistung der TeilnehmerInnen vergessen :(
sorry, hinzugefügt :)
Die Werbung der EVP ist vielleicht auch an die Besucher gerichtet, wie z.B. die „Freedom not Fear“-People. In der (wirklich netten) Serie Parlament laufen auch immer mal Besuchergruppen durch die Gänge.
1. Zum Vorschlag des BfDI, bei eRezept-Abruf in der Apotheke die eGK durch den Fachdienst prüfen zu lassen: Das allein ist nicht ausreichend.
Vergessen wird, dass die Gesundheitskarte auch nach dem #36C3-Hack [1] keinen Identitätsnachweis ermöglicht. Sicher ausgegeben wird in der Praxis konform zur Festlegung der gematik nur die PIN [2], auf die hier ja bewusst verzichtet wird.
Will heißen: der geforderte Echtheitsnachweis der eGK bringt dir nichts, wenn der Stalker deine garantiert echte eGK mit einem Anruf frei Haus geliefert bekommt.
2. Zur Prüfung im Frontend statt durch den Fachdienst: Im Bedrohungsmodell der gematik ist das schlüssig. Einziges Ziel dieser Maßnahme ist, dass Apotheker den Vorwurf missbräuchlichen Zugriffs nachträglich mit Verweis auf den Prüfungsnachweis abstreiten können.
Ansonsten ist der Zugriff auf ärztliche Verordnungen in der Telematikinfrastruktur nach § 361 SGB V mittels eHBA (faktisch SMC-B) auch ohne eGK zulässig.
Unberücksichtigt bleibt in diesem beschränkten Modell natürlich – typisch – der Patient und Bedrohungen, die gegen dessen informationelle Selbstbestimmung gerichtet sind. Dessen Interessenvertretung übernimmt hier mal wieder der BfDI.
3. Überhaupt wird derzeit viel darüber gesprochen, anstelle präventiver Maßnahmen auf nachträgliche Detektion von Missbrauch und Reaktion, also harte Strafen zu setzen. Die Befürworter verkennen dabei völlig, dass es hierzu einer Verbindlichkeit bedarf – also der Möglichkeit, den Ursacher zweifelsfrei zu identifizieren.
Der Witz dabei: Bei Beantragung der Apotheken-SMC-B wird auf eine Identifikation vollständig verzichtet.
Fazit: Cyber-Schnick-Schnack-Schnuck.
[1] https://ccc.de/de/updates/2019/neue-schwachstellen-gesundheitsnetzwerk
[2] https://fachportal.gematik.de/fileadmin/Fachportal/Krankenversicherung/Festlegung_Herausgabe_eGK.pdf
VPN Feedback:
LNP154
xD
LMP073 wurde ein VPN empfohlen
Timecode:
https://logbuch-netzpolitik.de/lnp073-wimpel-im-wind?t=22%3A47
Verständlich das ihr es nicht wollt, aber ihr habt bereits.
Bei LNP145 und der LNP144 ebenso. Was der Linus damals so persönlich benutzt hat.
Jedoch kann einem auch so eine „Empfehlung“ (war es ja eigentlich nie) nach Murphy nicht vor einem Blitzeinschlag bewahren. Wie Linus richtig gesagt hat, hat dann eben im Zweifel der VPN-Provider alle Daten.
Das ist auch ein Grund, warum ich VPNs für Otto*in Normal für fragwürdig halte. Im Zweifel macht man es den Datensammlern dadurch nur einfacher. Den Versprechungen bzgl. Logging und Umgang mit Daten muss man glauben oder man lässt es. Wer da konkret hintersteckt, prüft wohl kaum jemand und Übernahmen durch andere Unternehmen gab es auch schon. Selbst wenn sie seriös sind, können sie immer noch infiltriert werden wie jeder andere auch.
Wer Wert auf Sicherheit legt, sollte vielmehr sicherstellen, dass er nur Dienste mit Transportverschlüsselung nutzt, was heutzutage allerdings eher die Regel als die Ausnahme ist. Bei staatlichen Angreifern, die im Zweifelsfall auch vertrauenswürdige Zertifikate ausstellen können, ist das natürlich schwieriger, aber einfach so provisorisch ein VPN zu nutzen halte ich nicht für sinnvoll. Wenn der Trojaner auf dem Endgerät sitzt, nützt das VPN letztlich wenig bis nichts. Die Gefährdung durch fahrlässig installierte Software und seien es nur Browsererweiterungen, die jegliche Verschlüsselung im Web konterkarieren, schätze ich persönlich als höheres Risiko ein.
Tom Scott hatte mal ein gutes Video dazu gemacht, warum er VPNs nicht bewirbt. Mittlerweile tut er es doch, allerdings mit der Klarstellung, dass es dabei weniger um Sicherheit sondern um die Umgehung von Geoblocking geht:
https://youtu.be/WVDQEoe6ZWY
Nach meiner Erfahrung funktioniert diese Umgebung mit diversen VPN-Anbietern allerdings auch nur bedingt. Ähnlich wie bei TOR sind die entsprechenden IP-Adressen oft schlichtweg gesperrt
zum thema snowflake-plugin bei linus:
wenn ich das richtig verstehe, dann sitzt linus in tus-kacken-fenne im hotelzimmer, hat sein VPN an und zeichnet den podcast auf. wenn er jetzt das plugin installiert und einschaltet, dann läuft der traffic des plugins ja auch durch das VPN und nicht etwa am VPN vorbei.
wenn irgendwo in der welt jemand hingeht und den zugang zum internet blockiert, dann würde diese person doch bestimmt alle IPs blocken, die irgendwie mit bekannten VPN anbietern zusammenhängen. dann würde man doch auch aus einem solchen land gar nicht erst „sehen“ das im browser von linus das plugin aktiv ist.
oder übersehe ich da was?
Zum Uber-Hack:
Uber hatte 2FA aktiviert. Der Hacker hat mit massenhaften Anfragen beim gehackten Anwender eine Mailflut ausgelöst, anschließend angerufen und behauptet von der Uber-IT zu sein. Dabei hat der Hacker einen Fehler im System vorgetäuscht und den Anwender davon überzeugt, einfach bei der nächsten Mail dem Hacker zuzulassen, um die Mailflut zu beheben.
https://twitter.com/GossiTheDog/status/1570717994397073410/photo/1
Deshalb halte ich von solchen Authentifizierungsapps mit Push-Benachrichtigung z.B. auch Microsoft Authenticator gar nichts. Das Szenario, das bei Uber eingetreten ist, war schon vorher bekannt. Viele Benutzer bräuchte man sicher gar nicht zuspammen, die würden einfach so direkt bestätigen. Das haben sie schließlich jahrzehntelang trainiert. Alles was einfacher als TOTP ist, ist schlichtweg too easy to be secure. Darüberhinaus kann man TOTP wunderbar offline nutzen und damit bei Bedarf auf einem Zweitgerät, dass per Internet gar nicht erreichbar ist.
Bezüglich accuracy ist dieses Video von Matt Parker und Hannah Fry aus einer Royal Institution Christmas Lecture zu empfehlen:
https://www.youtube.com/watch?v=vBPFaM-0pI8
Zumal das für Kinder und Jugendliche gemacht ist könnten dieses Video unter Umständen vielleicht sogar Politiker verstehen.
Wenn die Musk fanboys wieder anschreiten um ihm in der Kommentarsektion hier den Hintern zu lecken („Musk hat der Ukraine Starlink geliefert“) sollte man aber auch dazu erwähnen dass:
1. Starlink nicht der Ukraine „geschenkt“ wurde, sondern verkauft. Die US Regierung hat die Rechnung getragen, nicht SpaceX und auch nicht Musk. [1]
2. Selbst die Lieferung von der US Regierung bezahlt wurde und nicht von SpaceX oder Musk.
Musk konnte das natürlich offensichtlich für jede Menge publicity ausschlachten und hat sich dafür auch noch gut bezahlen lassen.
Dass Starlink sich für die Ukraine als sehr nützlich rausgestellt hat glaube ich, aber Altruismus war hier absolut keiner im Spiel.
[1]: https://www.washingtonpost.com/politics/2022/04/08/us-quietly-paying-millions-send-starlink-terminals-ukraine-contrary-spacexs-claims/
Auf der 17. Landeskonferenz Digitalisierung im Gesundheitswesen gab es einen ganz, ganz peinlichen Einwurf von Prof. Dr. Arno Elmer, dem früheren Hauptgeschäftsführer der Gematik GmbH. Ganz peinlich.
https://www.youtube.com/watch?v=ulOQXUJgjSk&t=11253s
Hi,
Zum Sigal Proxy. Ich glaube die Annahme, dass dieser auch UDP proxiet ist falsch. Wenn man mal ins repo schaut, dann scheint das einfach ein nginx zu sein. Also ein HTTP proxy der dürfte also nur TCP können.
Wenn man direct calls in Signal nutzt sollte das natürlich kein Problem sein. Signal bietet ja aber auch calls über deren server an um die eigene IP zu verstecken. Das dürfte dann nicht funktionieren.
sorry es kann wohl doch UDP
Zu Johanssons Blogpost:
Sie meint sinngemäß, dass wir uns alle nicht so aufregen sollen und die Technologie ja da ist? Eben, sie ist da und es wird für meine Begriffe zu viel darüber geredet und geschrieben, wie zuverlässig, oder auch nicht, sie ist! Es darf genau KEINE Technologie an meine Nachrichten ran, auch keine, die angeblich noch so harmlos oder „sicher“ ist.
Ich kanns gar nicht oft genug sagen: Sämtliche Diskussionen über irgendwelche Scan-Technologien sind obsolet! Weg mit dem Müll, soweit es nur geht!
Zum Musk-Fanboy-Kommentar hab ich doch noch eine Frage: Wie soll den Musk/Starlink ihre Hardware und Zugänge denn an Iraner*innen verkaufen? Es gibt ein nahezu vollständiges Transaktionsverbot (US-Handelsembargo).