Feedback — Status Codes — 38C3 — Sicherheitspaket — Elektronische Patientenakte — Hackerparagraph — Urteil Arne Semsrott — epicenter.works — 13 Jahre LNP
Nach unserem Ausflug in die englische Sprache kehren wir zu unserer Muttersprache zurück und klappern die Nachrichtenlage ab. Nachdem wir durch das Feedback gegangen sind reichen wir noch ein paar Status Codes nach und geben dann aktuelle Informationen zum anstehenden 38. Chaos Communication Congress. Umfangreich diskutieren wir dann das drohende Sicherheitspaket inkl. unserem Dauerbrenner Vorratsdatenspeicherung , die elektronische Patientenakte und die anstehende Änderung des Hackerparagraphen. Außerdem ist ein erstes Urteil im Fall von Arne Semsrott ergangen, der versucht, über den Gerichtsweg die Verfassungswidrigkeit eines Gesetzes gegen die Veröffentlichung von Gerichtsdokumenten zu belegen. Wir besprechen, wie beide Seiten argumentieren und wie es in dem Fall wohl weitergehen wird. Zum Schluß weisen wir auf die finanzielle Notlage von epicenter.works hin und stellen fest, dass wir Logbuch:Netzpolitik mittlerweile seit 13 Jahren produzieren.
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Shownotes
Prolog
- spiegel.de: Google schuldet Russland 20 Quintilliarden Dollar – sagt Russland
- heise.de: 2.000.000.000.000.000.000.000.000.000.000.000.000 Rubel Strafe gegen YouTube
- amzn.to: Shengshou Spiegelwürfel
- wolframalpha.com: Wolfram|Alpha: Computational Intelligence
Feedback
Leipzig
- logbuch-netzpolitik.de: Kommentar von tzolsch
Düsseldorf
- logbuch-netzpolitik.de: Kommentar von Martino
HTTP Status Codes 503–505
- http-status-code.de: HTTP Status Code 503 Service Unavailabe
- http-status-code.de: HTTP Status Code 504 Gateway Timeout
- http-status-code.de: HTTP Status Code 505 HTTP Version Not Supported
- youtube.com: HTTP 1 Vs HTTP 2 Vs HTTP 3! – YouTube
38C3
- events.ccc.de: CCC Events Blog
- events.ccc.de: 38C3 Presale: Modus Operandi
Sicherheitspaket und Vorratsdatenspeicherung
- spiegel.de: Kriminalität bekämpfen: Verlogenheit der Politik bei der Vorratsdatenspeicherung – DER SPIEGEL
- www1.wdr.de: Vorratsdatenspeicherung und KI: Was darf die Polizei?
- www.faz.net: Sicherheitspaket der Ampel zum Teil gestoppt: Union will Verschärfung
- www.tagesschau.de: Nach Teil-Stopp im Bundesrat: Union will verschärftes “Sicherheitspaket”
- www.basecamp.digital: Bundesregierung: Die Kontroverse um das Sicherheitspaket – BASECAMP
- netzpolitik.org: „Sicherheitspaket“: Union will Staatstrojaner und Vorratsdatenspeicherung oben draufpacken
Elektronische Patientenakte
- gematik.de: Begleitschreiben zum Abschlussbericht
- netzpolitik.org: Fraunhofer-Gutachten: Elektronische Patientenakte leidet an schweren Schwachstellen
- netzpolitik.org: Auf den Punkt: Die ePA naht mit Schwachstellen.
- netzpolitik.org: Entscheidungshilfe zur elektronischen Patientenakte: Soll ich’s wirklich machen oder lass ich’s lieber sein?
Hackerparagraph
- netzpolitik.org: Hacker-Paragrafen: Wir veröffentlichen den Gesetzentwurf zum Computerstrafrecht
- background.tagesspiegel.de: Hackerparagraf ade – oder doch nicht?
- www.gruene-bundestag.de: Konstantin von Notz und Sabine Grützmacher zur Reform des Computerstrafrechts
- gesetze-im-internet.de: § 202c StGB – Einzelnorm
- bundestagszusammenfasser.de: BTZusFas: Änderung des Strafgesetzbuches (Modernisierung des Computerstrafrechts)
Urteil Arne Semsrott
- fragdenstaat.de: Paragraph 353d: Arne Semsrott lässt sich für die Pressefreiheit verurteilen
- www.lto.de: FragdenStaat-Chef Semsrott schuldig gesprochen
- netzpolitik.org: Pressefreiheit: FragDenStaat-Chefredakteur Arne Semsrott verurteilt
- www.tagesschau.de: Berlin: Urteil gegen Semsrott: “Frag den Staat”-Chefredakteur von Landgericht verwarnt
- tldr.nettime.org: Jean Peters (@jean@tldr.nettime.org)
- gesetze-im-internet.de: § 353d StGB – Einzelnorm
epicenter.works braucht Kohle
- epicenter.works: unterstützen
https://de.wikipedia.org/wiki/Rivalität_zwischen_Köln_und_Düsseldorf
Wie ist das denn in der diesjährigen Neuauflage der Vorratsdatenspeicherung mit Carrier-Grade NAT?
Haben sie immerhin dran gedacht den source port mit in die Speicherung aufzunehmen oder kriegen die Behörden dann bei ner Anfrage nach einer IPv4 Adresse den ganzen Sack von Kunden, die dahinter hängen und dürfen sich dann selbst mappen wen sie eigentlich haben wollen?
Auf dem Schabrett liegen übrigens nicht nur 2^64 =~ 1.8E19 Reiskörner sondern allein auf dem letzen Feld liegen so viele. Insgesamt sind es (fast) doppelt so viele: $ \sum_{i=1}^64 2^i = 2^65 -1 $ also ca. 3,7E19.
Oh ja natürlich, gute Güte.
Nein, 2^63 liegen auf dem letzten Feld wenn auf dem ersten 1 Korn liegt ;D
Damit hatte Tim also Recht mit 2^64, die fehlende -1 fällt ja fast nicht mehr ins Gewicht.
Aber nur fast! Wir müssen hier schon korrekt bleiben und anprangern, dass Tim und Linus von einem Reiskorn zu viel ausgegangen sind. Bitte nächste Folge korrigieren!
Im Ernst: Danke für die Folge, ihr Lieben. :-) <3
Fail. Dann entschuldigt bitte diesen unnötigen Einwurf. Dann hätte ich den off-by one Error und die Rechnung oben ist auch falsch – sie müsste bei i=0 also (2^0 = 1) losgehen damit 2^{n+1} -1 rauskommt und dann wäre mir auch aufgefallen dass ist mit 65 Feldern arbeite.
Stichwort VDS: „relativ kurze Speicherdauer“ dürfte oft/manchmal um und bei 7 Tagen liegen. Jedenfalls hoffentlich nicht drüber.
Leitfaden des BfDI für eine
datenschutzgerechte Speicherung von Verkehrsdaten: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Themen/Telekommunikation/LeitfadenZumSpeichernVonVerkehrsdaten.pdf?__blob=publicationFile&v=1
Vertrauen in die Darstellungen des BKA vorausgesetzt, sieht es bezügl. IP-Adressen bezogen auf Fälle im NCMEC-Prozess (sex. Gewalt an Kindern) stand 2022 so aus: Der größte Teil der IP-Adressen im NCMEC-Prozess sind, wenn sie das BKA erhält, weniger als 7 Tage alt. Ginge man (natürlich nur rein hypothetisch) davon aus, dass eine IP-Adresse auch zu Ermittlungserfolg führt, läge dieser bei bis zu 7 Tage alten IP-Adressen bereits bei 76%. Eine über 7 Tage hinausgehende Speicherung von IP-Adressen würde den hyp. Ermittlungserfolg nur sehr langsam weiter vergrößern, nach verdoppelter Speicherdauer (14 Tage) wären 84,5% erreicht. https://cdn.netzpolitik.org/wp-upload/2023/06/2023-06-21_BKA_Bedeutung-IP-Adresse.pdf Die Forderung der Union, eine 6-monatige Vorratsdatenspeicherung einzuführen (https://dserver.bundestag.de/btd/20/036/2003687.pdf), geht also vollkommen am unionsrechtlichen Rahmen des minimal nötigen Umfangs vorbei. Andererseits kann man schon diskutieren, ob eine verpflichtende Speicherung für einen Zeitraum von 7 Tagen sooo falsch wäre. Aber wie kantorkel bereits erwähnt, schon jetzt gibt es Empfehlungen aus anderen Motiven heraus, die in diese Richtung gehen. Die Alternative zu VDS, das „Quick Freeze“ erscheint da sinnvoller, sofern ein Weg gefunden wird diese praktisch wirksam umzusetzen. Fraglich ist der reale Ermittlungserfolg bei schweren Straftaten, klar. Natürlich gibt es auch „dumme“ Kriminelle die üblen Scheiß ohne technische Vorkehrungen verzapfen, aber denen wird man vrmtl. auch anderweitig habhaft. Was Hasskommentare, Volksverhetzung usw. betrifft: Wenn Messenger wie telegram die IP-Adressen-Herausgabe verweigern, nützt eine Speicherpflicht auch nichts. Vielleicht sind Bestandsdatenauskünfte auch überhaupt nicht immer die richtige Lösung, um Hass, Wut und Desinformation im Internet zu bekämpfen….
Schon echt ein nicer cube :)
https://youtube.com/shorts/rFd-b0Ig8-A?si=gJrx8vNChXLU7f6i
@Linus, probier’s nochmal: https://youtu.be/hYKDFbPDIOk?si=YLB028ky4wx9W_Gi
Unwichtig, war ja nur so zur Veranschaulichung daher gesagt, aber Firefox verwendet nicht OpenSSL sondern hat sein eigenes Ding (NSS). (Außer das hat sich in letzter Zeit geändert.)
Mhhm bezüglich Arne und §353d besteht bei mir irgendwie ein bisschen Stirnrunzeln.
Ich finde eigentlich die Ausführungen des Gerichts bezüglich des Zwecks des Paragraphen gut nachvollziehbar. Wenn jetzt in Zukunft jede Desinformationsplattform im Internet, unter dem Deckmantel der Pressefreiheit, Anklageschriften im Wortlaut als Fakt veröffentlichen können soll, halte ich das mit der vorherrschenden Medienkompetenz im Land schon für bedenklich…
Ideal ist er natürlich nicht, weil er als Damoklesschwert über den Köpfen der Journalist*innen hängt und man sich drauf verlassen muss, dass ein Gericht hier so eine faire Abwägung trifft wie in Arnes Fall (wenn ich es richtig verstanden hab, wäre ja selbst auszugsweise wörtliche Rede okay gewesen. Nur eben nicht die Veröffentlichung des vollständigen Dokuments), was natürlich in Anbetracht der faschistoiden Entwicklungen hier im Land problematisch ist.
Aber den Paragraphen ganz wegzunehmen und jeglicher tendenziöser, reißerischer Berichterstattung über laufende Prozesse die Tür zu öffnen hört sich irgendwie sehr falsch für mich an.
Übersehe ich hier irgendwas?
Vermutlich wäre es das Beste wenn das Ding durch die legislative überarbeitet würde um explizit „fair use“-mäßige Ausnahmen zuzulassen.
Zur ePA: Als Patient mit einer chronischen Krankheit habe ich überhaupt nichts gegen Forschung, aber ich möchte vorher gefragt werden und ich finde es eine Frechheit, dass meine Daten einfach so weiter gegeben werden, ohne, dass ich weiß wer die bekommt, für welche Zwecke usw. Forschung ist auch ein sehr weitgehender Begriff, damit kann alles mögliche gemeint sein. Schon aus diesem Grund habe ich der Erstelleung einer ePA für mich widersprochen.
Des weiterem kommt hinzu, dass dies wieder ein Datenpool ist, der früher oder später vom autoritären Staat für Kontroll- oder Reprässionszwecke genutzt werden kann und wird.
Man kann auch die ePA nutzen und nur der Weitergabe für die Forschung widersprechen. Das lässt sich alles abgestuft machen.
Wie Linus schon richtig sagt, die „Sicherheits“-Betrachtung hatte Lücken. Auf eine besonders nervige möchte ich direkt Hinweisen: Doctolib &Co!
– In dieser Doku sieht man wie Doctolib den Praxen die Stammdaten der PattientInnen regelrecht abschnorchelt, und die Ärzte verstehen das leider gar nicht: https://www.ardmediathek.de/video/marktcheck/arzttermine-ueber-doctolib-nuetzliches-tool-oder-datenkrake/swr/Y3JpZDovL3N3ci5kZS9hZXgvbzE4Mzg5ODQ
– Wird Doctolib das mit der ePA auch so machen?
– Wird die Arzt-Praxis zum Einfallstor auf die Daten der PatientInnen im Sinne dieser ätzenden Unternehmen?
Bestimmt!
Doctolib freut sich regelrecht auf die ePA:
(leider hinter der Paywall, aber das Zitat aus der Überschrift reicht)
„…welche Chancen sich für das Healthtech-Unternehmen durch die flächendeckende Einführung der ePA ergeben und wie Doctolib Datensicherheit und Datenschutz umsetzt“
– https://background.tagesspiegel.de/digitalisierung-und-ki/briefing/wir-brauchen-verlaessliche-strukturen-seitens-des-staates
Ich denke, es schadet nicht die ePA erstmal von allen anderen Testen zu lassen, bevor man sie selbst nutzt.
Bei der ganzen Frage um Gerichtsdokumente und auch das Verbot der Aufzeichnung oder Übertragung von Gerichtsverhandlungen, obwohl diese in der Regel öffentlich sind, frage ich mich: Warum sollte das nicht alleine der Angeklagte entscheiden dürfen?
Zu Tim und seiner Sammlung alle seiner Untersuchungen, Krankheiten und Gesundheitsdaten. Ein Beispiel: Ich war gerade mal wieder beim Zahnarzt. Er kennt mich nicht, hat keine Daten von mir und ich kenne ihn auch noch nicht. Es gab einen Fragebogen für mich zum Ankreuzen (Anamese) ein kurzes Gespräch und Untersuchung. Sowie eine Röntgenaufnahme und dann wurde ein Behandlungsplan über die nächsten Sitzungen erstellt.
Ich habe bei verschiedenen Zahnärzten in den letzten ca. 55 Jahren viel über mich ergehen lassen müssen und viele male gelitten und geschwitzt. Fast alles war nicht relevant für die jetzige Behandlung.
Ansonsten war es wieder ein klasse Podcast. Premium wie alles von der Metaebene. Weiter so!
Zur epa: allein der Mehraufwand einen Satz Daten aus einem Tag nachträglich einzustellen ist dermaßen hoch, dass das einfach nicht passieren DARF. Praxen sind so schon überlastet. Ich mach gelegentlich IT für eine, alle hassen die Telematik Infrastruktur (TI). Wenn irgendwas von der TI ausfällt, bedeutet das im besten Fall stundenlang aufräumen/nacharbeiten und im schlimmsten Fall geht gar nichts, weil ohne TI keine Chipkarte, keine Abrechnung, keine Behandlung.
Long story short: ja Ausfallsicherheit ist bei der TI allgemein und auch bei der ePa speziell ein wichtiger Faktor.
GaLiGrü Lia
In der Theorie soll es ja nur ein Klick aus dem jeweiligen PVS oder KIS sein bspw. einen Arztbrief auch in die ePA zu laden.
Ob das dann wirklich so einfach wird… lassen wir uns mal überraschen. ;-)
Nur als Hinweis: Linus meinte zur ePA, dass es kritisch wäre, wenn man dort Informationen zu psychischen Erkrankungen einsehen können (Beispiel Hypochonder).
Auf eurem Link: https://netzpolitik.org/2024/entscheidungshilfe-zur-elektronischen-patientenakte-soll-ichs-wirklich-machen-oder-lass-ichs-lieber-sein/#gibt-es-nachteile-oder-risiken
Steht:
Bei „sexuell übertragbaren Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen“ gibt es eine Ausnahme: Hier müssen Behandelnde explizit darauf hinweisen, dass Patient:innen widersprechen können, dass die Daten in die ePA aufgenommen werden.
Also das ist schon mal kein Argument dagegen.
Zum Thema Rubiks Cube muss ich Tim leider widersprechen. Gute Speed Cubes haben keine Sticker aber dafür Magneten und einstellbare Federn. Für Anfänger empfehle ich den GAN 356m. Gibt‘s für 20 Euro bei Aliexpress.
Und der Mirror Cube von Linus ist genau so einfach lösbar wie ein regulärer 3×3.
Ich sprach doch von Federn, oder nicht? Aber war ja klar, dass mittlerweile spezielle „Speed Cubes“ gibt. Ein Markt, den ich schon lange nicht mehr verfolgt habe.
Das hat man deine Ausführungen leider angemerkt. „wärst du mal bei deinen Computerthemen geblieben“, hehe. Die GAN Speed Cubes sind schon echt gut. Ich habe noch einen originalen aus den späten 80ern oder frühen 90ern und der ist vergleichsweise Müll.
Den von Linus beschriebenen GAN Mirror hab ich auch, in fancy purple. Der ist gar nicht so viel schwerer zu lösen als ein normaler 3×3. Wenn man es wirklich lustig haben möchte, dann kann ich noch den Mr. M Square-2 empfehlen.
Und bitte auch kein Vaseline, sondern für Würfel geeignetes Lube (= Gleitmittel) verwenden. Vaseline schmiert zwar erst mal gut, aber es zersetzt das Plastik auf Dauer. Richtige Lubes für so einen Würfel kosten auch nur ein paar Taler und können die Reibung noch mehr als Vaseline heruntersetzen – je nachdem, was für eins man wählt.
Bitte kein Lube verwenden.
Spucke ist DAS Zeug – vorher dringend Zähne putzen ;)
Wie ändern sich eure Einschätzungen zur elektronischen Patientenakte (ePA), wenn man die neuesten medizinischen Fortschritte durch KI (Künstliche Intelligenz) betrachtet? Vor einem Jahr wurde bekannt, dass man Morbus Crohn, Diabetes Typ II und eine ALS-ähnliche Krankheit heilen kann, und zwar so, als ob man diese zuvor nie gehabt hätte, also immer gesund gewesen wäre. Die Biontech-Forscher kommen demnächst mit einem Impfstoff gegen diverse Krebsarten um die Ecke. Es fehlen nur noch die üblichen Test- und Zulassungsverfahren. Der Nobelpreis für Medizin ging 2023 an mRNA-Forscher, 2024 an microRNA-Forscher, was beides nicht mehr viel mit der traditionellen Medizin zu tun hat (ich stochere mit einem Stäbchen in Glibbergewebe herum und befinde, dass es glibberig ist). Es ist eher ein Teilgebiet der Informatik mit Auswirkungen auf die Physiologie des Menschen. Die Nobelpreise 2024 für Chemie und Physik gingen ebenfalls an KI-Forscher. Einer der Chemiepreisträger hatte das Projekt „AlphaFold“ aus der Taufe gehoben und binnen zwei Tagen sämtliche Proteinformen, aus denen der Mensch besteht, ‚durchgerechnet‘ und deren Faltungsprinzipien verstanden. Die neueste Version „AlphaFold 3“ kann quasi das Zusammenpassen von Proteinbausteinen vorhersagen und neue Formen ‚erfinden‘. Neue Meldungen zu solchen Durchbrüchen kommen Schlag auf Schlag.
In Anbetracht der Geschwindigkeit dieser Entwicklungen wäre doch der Aufbau eines unsicheren Bürokraiegebildes obsolet noch bevor es sinnvoll gestartet ist. Wenn jede Krankheit, auch die psychischen und genetisch vorprogrammierten, mit einem „Pffffft“ aus Doktor Pilles Hypospray-Ampulle geheilt werden können, wären Daten über Krankheiten und deren Missbrauchspotenzial kein langzeitliches Problem mehr.
Hallo ihr beiden,
bei der ePA habt ihr mich wahnsinnig gemaxht, konkret die Diskussion über die fragen beim Arzt, 01:42:00 und folgen.
Tim: es geht mir ja vor allem drum, dass ich den Zugriff habe.
Linus: hast du garnicht! Zwei Dinge werden nicht passieren: erstens, Ärzte werden nicht aufhören zu fragen…
Was ist mit „zweitens“?! Wolltest du sagen, dass die Patienten gar keinen Zugriff haben/kriegen? Ich bin noch nicht soooo alt, habe aber seit ein paar Jahren einen Ordner, mit allem medizinischem drin. Dieses “ papiersammelsurium“ kann ich vorsortieren, und dann beispielsweise sagen: kuck, das Knie was gras wieder ärger macht hatte 2010 nen Skiunfall, hier Material von damals.
Wenn ich selbst das mache, hat das ne Chance, ich hab ja viel mehr Zeit als so ein Arzt.
Wenn *nur* Ärzte da PDFs ablegen und auch nur Ärzte da überhaupt reinschauen können, nicht die Patienten selbst, dann ist das ne Katastrophe.
Grüsse
Die ePA ist eine patientengesteuerte Akte, d.h. natürlich können Patientinnen und Patienten wenn sie wollen die ePA einsehen und auch Dinge ergänzen, löschen oder verschatten.
Zu Arne:
Es gibt einen Strafverteidiger, der zu vielen Themen auf YouTube Stellung bezieht. Er hat ein Live dazu gemacht und das Urteil im Prinzip voraus gesagt:
https://www.youtube.com/live/llEA7XFMN48?si=j3ZXt_CHuWUqfeuo
Nachtrag:
Sehr sehenswert, unbedingt mal die ersten 20 min schauen.
Staatsanwaltschaften und Gerichte geben selbst Pressemitteilungen heraus um Prominente bloßzustellen. Beispiel war Jens Lehmann, der vermutlich alkoholisiert in eine Verkehrskontrolle kam.
Man selbst darf aber als beschuldigter, oder als Presse nichts öffentlich machen.
Ich schätze diesen Anwalt sehr, man hat sogar die Möglichkeit regelmäßig Fragen zu stellen. Leider wird das hier vermutlich ohnehin schon zweifelhafte Bild unseres Rechtsstaats nicht besser. Aber es kann auch mal wichtig sein vorher gut bescheid zu wissen.
Anmerkungen zum Sicherheitsgutachten der ePA:
# Keine unabhängige Prüfung:
Laut gematik war Ziel des Auftrags an das „unabhängige Forschungsteam“ vom SIT „die Sicherheit [hinsichtlich definierter Sicherheitsziele] von einer unabhängigen Stelle prüfen zu lassen“. Tatsächlich aber war die gematik inhaltlich an der Bewertung beteiligt. Wie vorgetragen wurden Regierungsorganisationen in „Absprache mit der gematik“ als nicht relevant eingestuft. Die Relevanz bestimmt die „a-priori-Schätzung der Erfolgswahrscheinlichkeit“ und geht direkt multiplikativ in die Risikoeinschätzung ein. Zusätzlich lag die Sicherheitsanalyse vor Fertigstellung eine Woche zum Review bei der gematik.
# Keine CCC-Angriffe:
Die vom CCC 2019 gezeigten Angriffspfade wurden nicht betrachtet. Karten wie eGK oder SMC-B können laut Analyse nur gestohlen oder kopiert, nicht aber unberechtigt beantragt werden.
# Unplausible Angriffsbewertung:
Laut Sicherheitsanalyse ist z. B. die Wahrscheinlichkeit eines erfolgreichen Kartendiebstahls (#193) identisch zur Wahrscheinlichkeit, dass ein Außentäter eine Karte ink. darauf gespeicherten Daten wie privatem Schlüsselmaterial kopiert (#194, jeweils 10%). Tatsächlich ist Diebstahl zu erwarten (daher gibt es auch Sperrhotlines) wohingegen die Nichtauslesbarkeit der privaten Schlüssel in den Chips der eGK (vgl. nPA) ein grundlegender Sicherheitspfeiler der TI ist.
# Keine Supply-Chain-Angriffe
Laut Sicherheitsanalyse kann nur der Hersteller selbst Schadcode für Arzt- und Krankenhaussysteme entwickeln. Spätestens seit dem SolarWinds-Hack ist aber zu erwarten, dass auch Außentäter über kompromittierte Abhängigkeiten Schadcode einschleusen.
… usw. …
Anmerkung noch zur Aussage „Da macht irgendeiner ein Röntgenbild und exportiert das als TIFF und legt das zu den anderen PNGs“:
Die „ePA für Alle“ (ePA 3.0) unterstützt seit wenigen Tagen keine TIFF und PNG-Bilder mehr, ggf, kommen die später wieder hinzu [1].
Anmerkung noch zur Aussage „Wenn du ein Röntgenbild machts dann hast du deinen DICOM-Folder“:
Auch DICOM wird weiterhin nicht unterstützt.
[1] https://www.aerzteblatt.de/nachrichten/155204/Elektronische-Patientenakte-Bilddaten-monatelang-nur-ueber-Umweg-moeglich
Hallo!
Zur Feedumstellung habe ich folgenden Link gefunden. Ich habe keine Ahnung wie aktuell das ist (da steht kein Datum dran). Aber auf die Gefahr hin dass das ein nützlicher Hinweis ist, teile ich es mal:
https://podcasters.apple.com/support/2482-using-chapters-on-apple-podcasts
Das steht:
„Apple Podcasts supports chapters for MP4, MP3, and AAC files for podcasts available from the directory or manually added to Library using an RSS feed. Creators can specify chapters in the header of an MP4 file, or by modifying the ID3 tags of an MP3 or AAC file using third-party tools, such as Ferrite on iOS and iPadOS, Forecast by Overcast and Podcasts Chapters on macOS, and Vizzy on the web.“
Liebe Grüße!
Ihr hattet vor einiger Zeit den Fall „modern solutions“ besprochen, bei dem jemand, der eine Schwachstelle meldete, angeklagt war auf Basis des „Hackerparagrapgen“.
Das LG Aachen hat am 4.11 die Verurteilung aus erster Instanz aufrechterhalten und die Berufung abgewiesen. Das ganze ist eine schmerzliche Erinnerung wie gefährlich es sein kann – im Angesicht des technischen Unverstandes der Justiz und dieses Paragraphen – Schwachstellen zu melden, unbeschadet der Absicht und egal wie lachhaft die „Hürden“ auch seien, die man beim Eindringen in ein System überwinden musste.
Hi,
Zur ePA und der Sorge um Zugriffsrechte für Ärzte und Einrichtungen auf bestimmte Befunde:
Diese Sorge ist weitgehend unbegründet, vorausgesetzt man nutzt die Konfigurationsmöglichkeiten der ePA. Zumindest bei meiner KV habe ich eine EPA-App, die nach vorheriger Authentifizierung (Perso, Versichertenkarte oder App-Code) mir für jedes Dokument Zugriffsrechte definieren lässt.
Das funktioniert in drei Stufen: offen, vertraulich (nur die gleiche Fachrichtung darf es sehen) oder privat (Zugriff per Whitelist).
Die App dafür ist gewöhnungsbedürftig in der Bedienung, Einrichtung und Authentifizierung, was wieder einige abschrecken wird, aber am Ende ist der Datenschutz-Gedanke da auf jeden Fall mitgedacht.
Grüße
flo
@flo dies gilt für die heutige ePA 2.6, nicht aber für die kommende und hier diskutierte ePA 3.0 „ePA für Alle“.
Die Vertraulichkeitsstufen („ConfidentialityCodes“) fallen künftig weg. Alle Dokumente, die bisher „vertraulich“ („restricted“) waren, werden dann automatisch „offen“. Alle Dokumente, die bisher „privat“ („very restricted“) waren, werden dann vollständig verborgen und nur noch für den Versicherten und dessen Vertreter sichtbar.
Siehe A_24523: „Der XDS Document Service MUSS im Zuge der Migration von ePA 2.6 auf ePA 3.0 Dokumente und Ordner mit dem confidentialityCode „very restricted“ auf die GeneralDenyPolicy setzen. Danach werden die confidentialityCodes gelöscht.“ [1]
[1] https://gemspec.gematik.de/docs/gemSpec/gemSpec_Aktensystem_ePAfueralle/gemSpec_Aktensystem_ePAfueralle_V1.3.0/#A_24523
Mit der ePA für alle wird es dann aber auch wieder die Möglichkeit geben Befunde nicht sichtbar zu machen, sog. verschatten, oder Zugriffe für Leistungserbringer einzuschränken.
Linus Argument zur Software Bill of Materials verstehe ich nicht. Ja, moderne Entwicklungspraktiken (Paketmanager) machen es möglich, viele transitive Dependencies zu verwenden, aber die Information darüber liegt in strukturierter maschinenlesbarer Form vor. Die SBOM wird dadurch nicht erschwert, sondern gerade erst möglich, oder? Transitive Abhängigkeiten auflisten in NodeJS: npm ls –all
Evtl kann ich aufklären. Beruflich mache ich etwas mit Software in Medizinprodukten. Wir müssen SBOMs als Teil der Produktakte zur Zulassung abgeben. Diese SBOMs werden von Hand gemacht und nicht automatisch mit den Tools die man automatisiert bekommen könnte. Sie umfasst auch nur die SOUPs gegen die unsere Binaries direkt linken und die man nicht verschweigen kann.
Alles was darüber hinausgeht will kein Produktmanager sehen, auch die automatische Suche nach CVEs anhand der SBOM ist ein no-go.
Zitat: „Da ist man ja nur noch am Updaten“. Also trickst man die SBOM „dünn“, indem man sie von Hand schreibt und kein automatisch vom Buildsystem generiertes SPEX auf einen Stylesheet wirft.
Weitere Lektüre: https://www.johner-institut.de/blog/iec-62304-medizinische-software/sbom-software-bills-of-materials/
Wir bauen Software für die Verwaltung eines Bundeslandes und sollen nun auch immer SBOMs zuliefern. Diese sollen allumfassend alle transitiven Abhängigkeiten enthalten. Die SBOMs plumpsen aus dem Buildprozess heraus und dienen auch als Grundlage für eine Diskussion über die bekannten CVEs in den jeweiligen eingesetzten Dependencies. Falls da noch etwas vorhanden ist, muss entsprechend kommentiert werden, ob man betroffen ist und welche Gefahren durch Betreiben der Software sich ergeben können. Außerdem soll eine kontinuierliche Überwachung der Dependencies erfolgen und bei entsprechenden neuen Sicherheitslücken entsprechend geklärt werden, wie man mit dieser Lücke umzugehen hat.
Allein um die Awareness für solch ein Thema hochzuhalten halte ich das Ganze doch für sinnvoll und man ist als Softwarehersteller gezwungen deutlich mehr darauf zu achten was man da in seiner Software einbaut.
Übrigens gibt es für SBOMs genügend maschinenlesbare Standardformate inkl. Erweiterungen mit denen man z.b. kommentieren kann warum eine CVE aus einer dependency die software nicht betrifft etc.
Wir reden hier halt von Software welche von zentraler Stelle auf tausende Rechner landesweit ausgerollt wird. Zwar ist dieser Prozess noch nicht komplett umgesetzt, trotzdem habe ich schon jetzt mitbekommen, dass deutlich mehr über so ein Thema wie Dependencies und der daraus resultierenden Softwarequalität gesprochen wird und man wirklich zum Aufpassen gezwungen wird.
Zum Thema ePA: Als jemand, der Anfang des Jahres fast gestorben und nun schwerbehindert ist, bin ich erstmal ganz bei Tim, dass eine ePA doch eigentlich eine praktische Sache wäre. Das ganze Jahr renne ich als Folge meiner Krankheit von einem Arzt zum anderen und fände das richtig geil, wenn ich da meine ganzen Befunde einfach auf meinem Kärtchen „mit dabei hätte“.
Nun, die Realität des deutschen Gesundheitssystems sieht leider anders aus. Kein einziger Arzt hat sich allein meinen Entlassbrief aus dem Krankenhaus komplett durchgelesen. Da wird schnell mal die Epikrise überflogen und das war es auch schon. Die Reha-Befunde haben schon niemanden mehr interessiert.
Wie die digitale Speicherung von Befunden hier auf einmal mehr Lesezeit herbeizaubern soll ist mir schleierhaft.
Dazu kommt die oben schon angesprochene mangelnde Granularität bei der Gewährung von Zugriffsrechten. Wenn ich vor jedem Arztbesuch alle Dokumente neu bewerten und auf privat/öffentlich stellen muss, um der ärztlichen Person adäquaten Zugriff zu verschaffen, dann kann ich auch die notwendigen Papierbefunde ausdrucken oder aus einem Archivordner raussuchen und mit zum Arzt nehmen.
Summa summarum bringt mir die ePA keinen Vorteil, nur das Risiko einer unstrukturierten, zentralen Datenhalde. Meine zwingend notwendigen Daten (Medikamentenplan, Implantatausweis) muss ich sowieso immer bei mir tragen und diese sollen ja auch im Ausland (bspw. Schweiz) für Rettungskräfte verfügbar sein (daher als Papier im Geldbeutel). Und Befunde muss ich gerade bei komplexer Krankheitshistorie sowieso immer vor dem Arztbesuch vorbereiten und griffbereit dabei haben, damit ich die Ärztin gezielt an bestimmte Aspekte erinnern kann.
Leider heisst Digitalisierung in D immer nur, analoge Papierberge in digitale Papierberge zu verwandeln. Die Chance, diesen Transformationsprozess als Anlass zu nehmen, die Datenspeicherung und Kommunikation zwischen den Beteiligten neu zu denken, wird immer wieder grandios versemmelt. Was würde ich mir wünschen, dass man sich mal auf ein standardisiertes Datenformat einigt, in dem alle Labore in Deutschland bspw. Blutwerte zur Verfügung stellen müssen. Und wo ich als Patient dann einfach aus meiner ePA die Daten auf meinem Rechner mit meiner bevorzugten Open-Source-Software darstellen kann…
Mit dieser Folge seid ihr die Gesetzes(entwurfs)Vorleser.
Mich wunderte beim Hören etwas, wie schnell ihr über den Einsatz des LLMs hinweggegangen seid.
Was soll da denn für ein Gutachten herauskommen wenn man sich nicht mal die Mühe macht den Text zu lesen?
Hi Linus, hi Tim,
danke für eure Einordnung des Gutachtens zur ePA.
Zwei Punkte möchte ich noch beitragen, vieles steht ja schon in den Kommentaren:
In unserer hausärztlichen Praxis stellen sich viele Patientinnen und Patienten neu, also zum ersten Mal vor. Hier erwarte ich für mich, wie auch für Krankenhäuser und andere Stellen, den meisten Mehrwert, meine eigenen Patientinnen und Patienten kenne ich ja gut. ;)
Aus vorliegenden Briefen oder Befunden lassen sich neue bisher bestehende Diagnosen, Operationen und Medikamente viel einfacher erfassen als bisher mit Anamnesebögen die nicht immer vollständig sind. Insbesondere in meiner Krankenhauszeit gab es oft Aufnahmen bei denen wir von den Medikationsplänen auf bestehende Diagnosen schließen mussten, weil einfach keine Daten vorlagen und die Patienten aber nicht auskunftsfähig waren.
Ich erwarte da auch nicht unbedingt eine Müllhalde, im Verlauf wird es strukturierte Daten in der ePA geben und damit dann leichter durchsuch- und nutzbar sein.
Zweitens wird ein Widerspruch auch immer noch im Nachhinein möglich sein, man muss sich nicht jetzt dagegen entscheiden. Ebenso darf man sich immer noch im Verlauf für die ePA entscheiden, wenn man zunächst widersprochen hat. ;-)
Wen vor allem, nachvollziehbar, die Forschungsnutzung stört, kann auch explizit nur dieser widersprechen.
Ich hoffe das trägt zur Klärung bei – herzliche Grüße!
Hallo, vielleicht ist das hier ein Thema für eure nächste Episode?
Der Cartoonist Guido Kühn berichtet, dass das Anfertigen von antifaschistischen Cartoons mit verfassungsfeindlichen Symbolen ok ist, das Teilen dieser Cartoons in Social Media hingegen gilt als Verbreitung verfassungsfeindlicher Symbole und ist somit strafbar.. zumindest sieht das ein Gericht in Rechtsdeutschland (Sachsen) so :-(
Ausgangssituation: https://bsky.app/profile/guido-kuehn.bsky.social/post/3l54wa3o47c23
Ergebnis: https://bsky.app/profile/guido-kuehn.bsky.social/post/3lavyl4p4bs2y
Die Union hat so eben auch versucht, die VDS durch die Hintertür im Gesetzesentwurf zur Verlängerung der TKÜ bei Wohnungseinbrüchen einzuführen.
https://dserver.bundestag.de/btd/20/132/2013225.pdf
Zum Schachbrett:
Da wird nicht irgendein Bauer belohnt, sondern „Sissa ibn Dahir“ der Erfinder des Spieles Schach. Zumindest der Sage nach soll er für seine Erfindung dieses Spieles sich eine Belohnung aussuchen dürfen. Daraufhin kam dann die Geschichte mit den 2, 4, 8, 16, …. Reiskörnern bzw Getreidekörnern.
„Der indische Herrscher Shihram tyrannisierte seine Untertanen und stürzte sein Land in Not und Elend. Um die Aufmerksamkeit des Königs auf seine Fehler zu lenken, ohne seinen Zorn zu entfachen, schuf Dahirs Sohn, der weise Brahmane Sissa, ein Spiel, in dem der König als wichtigste Figur ohne Hilfe anderer Figuren und Bauern nichts ausrichten kann. Der Unterricht im Schachspiel machte auf Shihram einen starken Eindruck. Er wurde milder und ließ das Schachspiel verbreiten, damit alle davon Kenntnis nähmen. Um sich für die anschauliche Lehre von Lebensweisheit und zugleich Unterhaltung zu bedanken, gewährte er dem Brahmanen einen freien Wunsch. Dieser wünschte sich Weizenkörner: Auf das erste Feld eines Schachbretts wollte er ein Korn, auf das zweite Feld das Doppelte, also zwei, auf das dritte wiederum die doppelte Menge, also vier und so weiter. Der König lachte und war gleichzeitig erbost über die vermeintliche Bescheidenheit des Brahmanen.
Als sich Shihram einige Tage später erkundigte, ob Sissa seine Belohnung in Empfang genommen habe, musste er hören, dass die Rechenmeister die erforderliche Menge der Weizenkörner noch gar nicht fertig berechnet hätten. Der Vorsteher der Kornkammer meldete nach mehreren Tagen ununterbrochener Arbeit, dass so viel Weizen im ganzen Reich nicht aufgebracht werden könne. Der Rechenmeister half dem Herrscher aus der Verlegenheit, indem er ihm empfahl, er solle Sissa ibn Dahir ganz einfach das Getreide Korn für Korn zählen lassen.
Alternativen erzählen von Reiskörnern statt Weizenkörnern.“
Quelle Wikipedia: https://de.wikipedia.org/wiki/Sissa_ibn_Dahir
Die Zahl der Atome im Universum beläuft sich etwa auf eine Zahl im Bereich zwischen 10 hoch 84 und 10 hoch 89.
2^64 =1.845×10¹⁹
Hey, sehr geil dass ihr direkt eine Domain zu eurer letzten Sendung registriert habt! Dazu fände ich ein T-Shirt oder Raumbildendes Packmittel (am besten beides!) mit der Domain und einem schönen Logo ebenfalls lohnenswerten Merch, den man im Online-Shop von bestandteile-einer-bombe24.de bestellen könnte…