Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
Ein Logbuch:Netzpolitik Spezial zu den jüngsten Sicherheitsschwankungen im digitalisierten Gesundheitswesen
https://logbuch-netzpolitik.de/lnp522-security-by-hippocrates
Veröffentlicht am: 5. Mai 2025
Dauer: 2:10:15
Ja, hatte ich ja angekündigt. angekündigt, erster Mal Grunewald, ein wirklich sehr unterhaltsamer Tag mit einer wunderschönen Fahrradtour kann ich sehr empfehlen und ich muss leider darauf hinweisen, ich habe es in der letzten Sendung, angekündigt, ich wurde auch noch gebeten darauf hinzuweisen, dass man Mai Gruni auch unterstützen kann, weil jetzt also Milliardäre zum Marsch schießen, das ist teurer. Das ist teurer, das kostet und da brauchen die ein bisschen Geld. Die hatten nämlich unter anderem noch irgendwie Gerichtsverfahren geführt, dass man in Grunewald, jetzt überlegt mal, wie weit die gegangen sind, die Grünflächen betreten durfte. Also es war quasi beyond revolution. Letztes Jahr waren die Grünflächen am Johannaplatz mit so Hamburger Gitterne abgesperrt, weil nachher tritt da jemand drauf, auf so eine Wiese. Das kann man natürlich in Grunewald nicht machen.
Genau. Dann wurde dieses Mal, durfte man dann dort sitzen und die Hamburger Gitter standen irgendwo anders, damit man da seine Fahrräder anschließen konnte. Mit so schönen Sachen muss man sich dann da auseinandersetzen. Aber es ist tatsächlich eine Rakete gestartet, mehrere Raketen. Das war alles sehr nett.
So ist das nun mal im netzpolitischen Bereich. Aber wir hatten dich hier schon öfter mal referenziert. Insofern sehr schön, dass wir dich jetzt auch dabei haben. Ja, weiß nicht, vielleicht kannst du ja mal so ein bisschen erzählen, was du eigentlich so treibst normalerweise und dich zu diesem Thema gebracht hat.
Ja, also hi, mein Name ist Bianca. Ich bin eigentlich Softwareentwicklerin oder Softwareprojektleiterin, versuche tatsächlich Software für die Verwaltung zu schreiben in meinem normalen Leben. Ich bin natürlich als Bürgerin auch betroffen von Digitalprojekten um mich herum. Es führt dann dazu, dass ich natürlich digitalpolitisch auch durchaus aktiv bin, versuche auch immer die zivilgesellschaftliche Perspektive in Sachen auch politisch einzubringen. Man fragt mich ab und zu auch in irgendwelchen Gesetzentwürfen, auch zum Thema Gesundheitsdigitalisierung. Und wenn ich dann sonst nochmal flustlos werden will, habe ich noch eine Kunde bei Netzpolitik.org namens Digitalisierung, wo es um die schlechten Wirkungen von Digitalisierung geht oder von schlechter Digitalisierung. Ja, das, was ich so tue.
Themen, mit denen du dich in der Vergangenheit auseinandergesetzt hast, ist schon wirklich in der Regel so ein bisschen, also Gesundheit und Verwaltung ist schon so das Thema. Ich weiß, wir haben zu der Corona-Warn-App, nee, gar nicht, es war gar nicht unbedingt Corona-Warn-App, sondern eher so dieses Contact-Tracing-Luca und so, da waren wir beide auch mal zusammen im Bundestag, meine ich, war das, ne? Da warst du, also auf jeden Fall in der ganzen Luca-Geschichte und Contact-Tracing-Geschichte aktiv. Dann habt ihr ja noch dieses In-Öck, ne? Was ist das?
Genau, also der INÖG ist eine zivilgesellschaftliche Organisation, das ist ja auch gemeinnützig jetzt offiziell, die sich darum kümmert, im Schwerpunkt Public Health, Gesundheitsämter und Digitalisierung zu unterstützen. Und wir sind quasi so ein Kind der Pandemie, die gesagt haben, naja, da muss man was tun, wir sind der Digitalisierung, speziell auch der Gesundheitsämter, haben dann festgestellt, naja, Pandemie ist jetzt offiziell vorbei, aber das Digitalproblem ist immer noch vorhanden. Und dann versuchen wir eben im Bereich sowohl Gesundheit als auch Verwaltungs, Digitalisierung, kritisch, konstruktiv Menschen auch zu sagen, wie es vielleicht auch besser geht. Und ja, das ist was der INÖK tut. INÖK heißt was? Innovationsverbund Öffentliche Gesundheit.
Und ja, ab und zu werden wir dann irgendwie auch zu irgendwelchen Sachverständigen-Anhörungen eingeladen, auch zum Thema Gesundheitsdatennutzungsgesetz. Sich auch sachverständlich beim Online-Zugangsgesetz, also die ganzen tollen Gesetzsthemen, die manchmal auch schon Dinge verbauen, weil man irgendwas ins Gesetz schaltet, was komplett unsinnig ist.
Sehr schön und außerdem machst du dann noch die elektronische Patientenakte kaputt, das ist ja toll. Was fällt dir ein? Das schafft der Inöcke sich aber natürlich auch selber seine. Jeder Verband sucht sich ja seine seiner Arbeit selbst. Vielleicht fangen wir mal vorne an. Und ich dachte, wir fangen einfach letzten Dezember an. Und dann meintest du aber, nee, nee, lass mal 2005 anfangen.
Ja, also ich glaube, wir müssen bei dem Thema Gesundheitsdigitalisierung erst mal darauf hinweisen, dass das, was wir zeigen, einfach der Zustand ist. Man muss den, glaube ich, nur anders beleuchten. Das heißt, wir machen uns nichts kaputt. Das ist so. Schon mal wichtig festzuhalten. Was, glaube ich, bei diesem ganzen Gesundheitsdigitalisierungskomplex wichtig ist, ist, dass man irgendwann mal nach einem Medikamentenskandal eingesehen hat, man sollte das Ganze mal digitalisieren, Medikamentensicherheit und sonstige Dinge. Es gab dann Gesetzentwürfe, die aus dem Jahr 2003 stammen und im Jahr 2005 wurde dann tatsächlich unter Ulla Schmidt mal präsentiert, so das ist ein Konzept für die ersten Bausteine von dieser ominösen Telematik- Infrastruktur. Da geht es dann um elektronische Gesundheitskarten und auf dieser elektrischen Gesundheitskarte sollen dann irgendwelche, Rezepte und andere Anwendungen laufen und man hat damals halt schon 2003 ins Gesetz geschrieben, ja wir machen jetzt eine Patientenakte. Die war damals noch nicht so ausformuliert und dann geht es halt so weiter über die Jahre, Jahrzehnte mit der Digitalisierung des Gesundheitswesens. Zwischendrin passieren. Wenige Dinge, zumindest aus Sicht von Patientinnen und jetzt unter Karl Lauterbach tatsächlich ist da auch noch mehr Druck drin, weil Karl Lauterbach auch unter Ulla Schmidt quasi so ein bisschen beratend tätig war in dem Digitalthema. Jetzt auch, glaube ich, so ein bisschen den für sich den Moment gesehen hat, auch das nochmal zu vollenden in gewisser Weise, so nach mehr als 20 Jahren. Ja, und dann...
Ja, genau. Also man muss auch sagen, dass unter Karl Laderbach relativ viel vorwärts geht. Ob das jetzt von der Umsetzung gut, das ist eine andere Sache, aber er hat schon das Ansinnen gehabt, kann man jetzt sagen, weil er hat es in den letzten Tagen quasi angehen, das irgendwie vorwärts zu bringen. Aber halt vielleicht die Geschwindigkeit auch das Problem, die dazu geführt hat, dass das, was passiert ist, passiert ist. Und jetzt mal ein Hinblick auf die EPA im Vorgriff. Die Frage ist immer, fängt man beim Jahr 0 an? Nee, fängt eigentlich beim Thema E-Rezept an, weil das auch die Grundlage ist für das, was eigentlich dann jetzt auch kaputt gegangen ist.
Genau, das Edizep gibt es eigentlich geplant schon länger, aber die Einführung hat sich verzögert. Das Edizep gibt es jetzt eigentlich seit Anfang, seit zwei Jahren mehr weniger im Jahr. Steigenden Rollout ist jetzt aber tatsächlich seit Anfang des letzten Jahres verbindlich. Das heißt, es gibt quasi nur noch E-Rezepte. Das läuft auch relativ okay. Es gibt immer noch so diese Vollweglösung mit diesen rosa Zetteln und so. Aber das läuft erstmal grundsätzlich als Konzept.
Also jetzt gucken wir mal auf die technische Seite. Also was sind die Eigenschaften eines Rezeptes, die man irgendwie digital abbilden muss? Sollte von berechtigten und qualifizierten Personen ausgestellt werden? Sollte an eine Person gebunden sein, die Empfängerin des Rezeptes? Sollte entsprechend ungültig werden in dem Moment, wo es eingelöst wurde? Natürlich schwer zu fälschen, eigentlich alles verhältnismäßig simpel, kryptografisch abbildbare Dinge, dann sollte das irgendwie, da müsste man noch irgendwie gucken, wer so ein Rezept quasi einlösen und damit auch invalidieren kann. Also die Ausgebestätten müssen entweder auf der Gesundheitskarte sagen, knapp ist, haben wir jetzt erfüllt dieses Rezept oder im Zweifelsfall macht man sowas natürlich dann heute mit einer Cloud wahrscheinlich. Dann kommen Datenschutzfragen dazu.
Ja, ja, es ging damals schon das Problem eigentlich los. Das E-Rezept hat ein Zugriffssystem, was mehr oder weniger Tokens in den Cloud abgelegte Rezepte zugreifen lassen. Der Zugriff auf ein E-Rezept geht wahlweise über die Gesundheitskarte. Das heißt, man kann über seine Gesundheitskarte oder das Steckende Gesundheitskarte die für diese Gesundheitskarte offenen Rezepte einsehen. Oder man kann zum Beispiel QR-Codes Menschen in die Hand geben, wo man auch diesen Zugangscode mehr weniger zu diesem, genau diesem Rezept hat. Also beim E-Rezept ist es auch nachvollziehbar, dass man dann verschiedene Zugangswege braucht, weil es geht um Niedrigschwelligkeit. Da geht es auch darum, dass man irgendwie für andere Personen in die Apotheke gehen kann und ein Medikament abholen kann. Und dann hat man das mehr oder weniger versucht, möglichst niedrigschwellig zu machen. Das heißt, Stecken von dieser Gesundheitskarte reicht, um die offenen Rezepte einer Person einzusehen. Das führt uns jetzt dann nachher noch zu dem Problem bei der EPA, weil man hat eigentlich das Konzept von dieser Zugangsberechtigung aus dem E-Rezept kopiert und gesagt, super, haben die Leute schon, kennen sie? Und damit geht die Misere dann so langsam los.
Greifen da ein bisschen vor. Ich glaube, die Schwierigkeit dahinter ist, man hatte eigentlich im guten Sinne gedacht, naja, wir nehmen etabliertes Verfahren, sparen wir irgendwie Geld. Hat das damals aber mit E-Rezept aufgebaut, was einfach ein ganz anderer Use Case ist. wenn ein Rezept verloren geht, ist es auch sensibel, aber das ist halt in dem Moment, im Zugriff ist, sind nur die offenen Rezepte, wenn ich einen Zugang dazu kriege. Und das gleiche Konzept, aber jetzt quasi eins zu eins auf eine EPA auszurollen, kann halt dann ziemlich ins Auge gehen. Und da sind wir jetzt, glaube ich, bei der Historie von dem, was in den letzten Tagen nochmal wieder passiert ist, wie da eigentlich die Historie bei der elektronischen Patientenakte war. Und da muss man dann jetzt eigentlich wieder auch schon ab dem Moment anfangen, wo Uli Kälber schon beim E-Rezept sagte, ja, also der Zugriffsschutz irgendwie, das müssen schon irgendwie signierte Daten sein.
Der damals schon sagte, wenn diesen Zugang zu diesen E-Rezepten, da muss schon irgendwie auch kryptografisch nachgewiesen werden, dass die Karte steckt. Das hat man damals irgendwie wegdiskutiert und irgendwie gesagt, naja, okay, das passt für den Fall, das Risiko ist akzeptabel, weil es tatsächlich in dem Fall nur möglich ist durch, Zugriff auf eine Karte halt zu gucken, was sind die offenen Rezepte. Das ist, Vielleicht ein vertretbarer Schaden. Was mit der EPA dann passiert, ist ein anderes Thema.
Das müssen wir, glaube ich, einmal nochmal in Ruhe erklären. Du hast gerade gesagt, ein kryptografischer Nachweis, hat Uli Kelber gesagt, es war auch richtig, dass er das gesagt hat, dass die Karte steckt. Wie ist es denn implementiert, das Rezept? Also welche Daten schickt die Apotheke an, die TI, also die Cloud letztendlich, um zu sagen, gib mal bitte offene Rezepte?
Also beim E-Rezept ist es so, es gibt Altdienste in der Telematik-Infrastruktur, einen versicherten Stammdatendienst. Dieser versicherten Stammdatendienst löst eine ganze Kette aus an Dingen, die notwendig sind, um erstmal von dieser Karte dann eigentlich zu der jeweiligen Anwendung zu kommen. Also wenn ich diese Karte stecke, dann ist es meistens immer auch so, dass überprüft wird, ist die Person überhaupt jetzt gültig versichert, hat die Kasse für diese Person irgendwelche Updates vielleicht noch. Das heißt, es geht erst über den Stammdatendienst. Der Stammdatendienst schickt quasi dann zu dieser Karte zurück, ne, es gibt keine Updates. Man kann dann, so ist es ursprünglich auch beim E-Rezept implementiert gewesen, hat es verändert dann, aber da kommen wir gleich dazu, warum man es verändert hat. Man schickt dann quasi, nachdem man feststellt, man hat kein Update für diese Karte, an einen zweiten Dienst, den Update-Flag-Service mehr oder weniger, die Kartennummer sagt dann ja, zu dieser Kartennummer hätte ich gerne Zugangstoken. Das heißt, wenn man jetzt, böswillig einfach nur diesen Dienst sagt zu dieser Kartennummer, hätte ich gerne einen Token, kriege ich einen Token dazu. Das war beim E-Rezept schon so. Das heißt, man kann aus dieser ganzen Kette von, Berechtigungserlangung einfach nur den Dienst ansprechen und sagen, ich hätte gerne eine ganz bestimmte Karte hinzugucken.
Genau, also die sogenannte ICSSN ist eine Nummer, die generiert sich aus der jeweiligen Kasse. Die Kassennummern sind bekannt. Das sind die ersten zehn Ziffern. Dann gibt es halt die nächsten zehn Ziffern. Die sind dann aufsteigende Nummern. Jetzt kann man hochrechnen, wie viele Gesundheitskarten wir in dem ganzen Gesundheitssystem schon ausgegeben haben. Das sind mehrere Generationen. Wir sind bei Generation 2.1. Die mit NFC ausgestattet ist und dann kann man hoch hin, die Gesundheitskarte gilt irgendwie fünf Jahre, das heißt, die wird alle fünf Jahre durchrotiert, dann weißt du, wie der Nummerraum ist und weißt du wie die Karten bei bestimmten Krankenkassen, mit den Nummern aussehen würden.
Das ist übrigens ICCSN, Integrated Circuit Card Serial Number, also serielle Nummer. Okay, also wenn ich alle E-Rezepte haben will, rede ich mit dem einen Service, geh einfach die ganze Zeit Karten, geh einfach Kartennummernraum durch, hab nicht so viele Kassen, wie die ersten 10 Ziffern sind, also es ist ein relativ einfach abbildbarer Raum, durch den ich iterieren kann.
Ja, also ich glaube, wir sind ins Detail gegangen, es hängt drum herum schon noch einiges mehr. Die ganze Telematik-Infrastruktur als solches, die besteht aus mehreren Komponenten. Das ist noch Technik von vor ein paar Jahrzehnten, aber die hält sich halt im Gesundheitswesen. Um in diese Telematik-Infrastruktur zu kommen, braucht man mehrere technische Geräte. Zum Beispiel einen Connector. Der Connector ist eine Art Internet-Router für ein VPN-Zugangsnetz, der in den Praxen installiert ist. Den kann man sich entsprechend mit Berechtigung kaufen. Und was man dann auch braucht, sind mehrere kryptografische Komponenten, um diesen Zugang aufzubauen. Man braucht einerseits für die jeweiligen Personen, quasi Berufsnachweise, Heilberufsausweise. Das heißt, da kriegt man irgendwie bei seiner Ärztekammer oder irgendwelchen anderen Ständevertretungen einen Nachweis, dass man jetzt zum Beispiel Arzt ist oder irgendwie Zahnarzt oder keine Ahnung. Da gibt es einen Heilberufsausweis, das ist quasi eine Chipkarte, mit der ich nachweisen kann, hallo, ich bin Arzt. Dann gibt es einen Praxisausweis, das ist also für die Organisation, mit der man nachweisen kann, sogenannte SMCB, mit der man nachweisen kann, ja hallo ich bin in der Praxis.
Genau. Wichtig ist das SMCB in diesem Konzept vor allem deswegen, weil man das Konzept ein bisschen runtergedampft hat auf, naja es reicht ja, wenn wir nachweisen, dass da jemand aus einer Apotheke auf zum Beispiel E-Rezepte zugreifen will oder dass jemand aus einer Praxis E-Rezepte ausstellen will. Man kann die nur mit einem Heilberufsausweis signieren. Das heißt, das muss ein Arzt signieren. Aber das Einlösen von E-Rezepten zum Beispiel ist halt so gedacht gewesen, naja gut, es ist wichtig, dass halt irgendwie alle in der Apotheke damit hantieren können. Deswegen reicht es zum Beispiel, da die SMCB zu haben.
Ja, gut. Aber bauen wir mal kurz die Kette auf von Dingen, die wir brauchen. Also wir haben erstmal kryptografisch nachgewiesen, identitätsmäßig genutzt. Da gibt es einen Arzt zum Beispiel oder eine Ärztin. Dann haben wir die berechtigte Organisation, die Leistungserbringerinstitution, wie es in der Telematik-Sprech heißt. Dann haben wir einen Connector, dann haben wir in diesem Connector auch noch eine entsprechende Kryptokarte drin, damit dieser Connector auch Dinge entschlüsseln, verschlüsseln kann. Und dann haben wir noch entsprechend ein Kartenlesegerät. In diesem Kartenlesegerät stecke ich als Patientin dann meine Gesundheitskarte, um dort entsprechend auch kryptografische Informationen auszutauschen. Und auch dieses Kartenlesegerät hat nochmal eine Kryptokarte SMCKT für Dinge. Also ihr versteht, es gibt viel kryptografisches Material auf Karten, was eigentlich gut abgehangen und viele Funktionen hat. Und das brauche ich erstmal so als Grundlage, um mit der Telematik zu interagieren und dann kann ich in der Telematik-Infrastruktur entsprechende Web-Services nutzen, um Dinge zu tun. So, und jetzt kommen wir vielleicht so ein bisschen zu dem, was jetzt eigentlich das Problem ist, was wir auf dem Kongress gezeigt haben. Also der Martin Schiersig und ich haben ja auf dem Kongress quasi so eine ganze Reihe von Dingen gezeigt, wo man mit dieser Telematik interagieren kann, um sich dann ein bisschen langsam Richtung elektronische Patientenakte durchzuringen. Man muss wissen, dass diese SMCBs, also diese Praxisausweise, naja, die kann man sich natürlich versuchen irgendwie zu erschleichen. Das Einfachste ist da zum Beispiel irgendwelche Portale von, ja, Ärztekammern mal sich anzugucken und dann gibt es halt so Dinge wie SQL-Injections, man kann irgendwie die Datenbanken manipulieren. Also ja, SQL Injection gibt es halt immer noch in dem Konzept, weil die ganze Technik ist halt auch irgendwie 20 Jahre teilweise.
Ich glaube, das Portal hat so lange überlebt. Also genau, also ich habe das Ziel eigentlich, brauche ich in dem Zugang zu das Konzept, ich brauche einen Praxisausweis. Weil das ist das, was ich brauche und damit kann ich anfangen, in diesem System zu interagieren. Also gucke ich, ob ich bei der Ärztekammer SQL Injections finde. Ja, gibt's. Den Weg haben wir jetzt nicht gewählt, weil Hackerparagraph und so, naja.
Ja, es ist halt ein klassisches Social Engineering Problem. Man hat das erstmal so gutmöglich abgesichert. Hallo, ich bin Arzt, lassen Sie mich durch. Ich brauche jetzt hier eine Karte. Dann hat man irgendwann mal festgestellt, ja doch irgendwie doof, wie wir das machen. Dann hat man irgendwie Identifikationen eingebaut und hat noch irgendwie Postident gemacht, um die Dinge zuzustellen. Aber de facto ist es so, dass wahrscheinlich irgendwo irgendwelche Sachen durchgerutscht sind, weil wir sprechen von mehr als 100.000 Leistungsbringerinstitutionen, die es gibt. Das heißt, dass die alle hundertprozentig korrekt ausgegeben und immer sicher verwahrt werden, schwierig.
Das mit den mehr als 100.000 wissen wir vor allem auch sehr genau aus dem Detrust-Datenleck, wo jeder einzelne Antrag für eine solche Karte zugreifbar war. Durch eine, ich glaube, das war eine Insecure Direct Object Reference. Also das ist da auch schon einmal rausgefallen, alles an Daten. Ich glaube 100, weiß nicht, 100 noch was, 1000 waren es auf jeden Fall. Gut, aber ich würde das jetzt mal so ein bisschen überspringen, weil eigentlich mit dieser Zahl 100.000 ist ja schon klar, da wird es potenziell auch, einen einen oder anderen nicht ganz so ethischen Endpunkt geben. Seien es jetzt vielleicht zwei, drei Ärztinnen oder Ärzte, die da eventuell mal über ihre Befugnisse hinausgehen oder auch deren Mitarbeiterinnen, die sie ja da sitzen haben. Also wir haben hier, selbst wenn man davon ausgeht, dass es nur diese hunderttausende berechtigten Karten gibt, muss man in denen ja mit dem kompletten Spektrum an Gut- und Bösartigkeit rechnen. Und selbst wenn man das nicht tun würde, entschuldigt das ja nicht Security-architektonische Schwächen. Wir haben also einen Connector, wir haben so eine Karte, es wurde gezeigt, die kann man bekommen. So, jetzt wäre ja der nächste Schutz, der zu sichern wäre, dass ich Rezepte nur für Patientinnen ausstelle, die bei mir waren, oder Rezepte auch nur von Patientinnen einsehe, die bei mir sind.
Und das ist ja, wenn ich das, ich fasse das so ein bisschen zusammen, weil alles was wir jetzt, da werden wir vielleicht auch die ein oder andere Hörerin unterwegs kurz verloren haben, das Wichtige ist immer, wenn SMC, von SMCKT und SMCB die Rede ist, ist immer eine kleine goldene SIM-Karte, wie eine SIM-Karte aussehendes Kärtchen gemeint, auf dem sich kryptografisches Schlüsselmaterial befindet, mit dessen Hilfe ein Nachweis zu erbringen ist, dass diese Karte zu einem bestimmten Zeitpunkt tatsächlich vorhanden war. Und wie das funktioniert, ich mach das mal ganz kurz high level, dann gehen wir wieder in die Details, ist die Karte, diese Karten werden gebaut, um kryptografische Schlüssel aufzubewahren, anwenden zu können, aber nie zu verraten. Und das ist wirklich eine sehr tolle Erfindung, die, ich glaube die erste breite Anwendung solcher Karten waren SIM-Karten für Mobiltelefone. Man könnte auch sagen, Telefonkarten, die verteilt wurden, die waren, glaube ich, noch ein bisschen, also da kann man noch nicht von diesem Stand sprechen, aber auch die hatten das Schutzziel, ähm, eine Aussage treffen zu können, einseitig programmierbar zu sein und da quasi auch Werte drauf speichern zu können. Das heißt, in den 90er Jahren hat die Deutsche Post, wahrscheinlich noch damals, oder hieß sie da schon Telekom, Telekom wahrscheinlich, damit Pfennigsbeträge geschützt. Also nur um das mal ins Verhältnis zu setzen. Und dann Ende der 90er Jahre mit Mobilfunk wurden dann damit eben, ja sagen wir mal Beträge im Bereich der Hunderte und Tausende, D-Mark geschützt, und vor allem der Grund, dass wir auch heute noch SIM-Karten haben, ist ja damit pro Vertrag, der bezahlt wird, auch nur eine Person telefoniert. Das ist also, das schützen sich die Mobilfunknetze vor uns, damit wir nicht einfach nur einen Tarif haben und alle darüber telefonieren. Und also diese Karten werden dadurch nicht kopierbar. Jetzt will ich noch ganz kurz erklären, wie die Karte denn den Nachweis erbringt, dass sie zu einem gegebenen Zeitpunkt da ist, das ist nämlich auch ein sehr einfaches Prinzip, die ferne Instanz, in dem Fall die TI, wenn sie es machen würde, würde sagen, ach guck mal, du willst also die Gesundheitskarte von der Bianca sein, ich gebe dir meine Zufallszahl, sei doch mal so gut, insignier mir die bitte. Und dann sagt die Karte, naja klar, ich signiere diese Zufallszahl jetzt mal hier mit meinem Schlüssel. Und dann könnte die TI sagen. Zappalott, das passt zu dem öffentlichen Schlüssel, den ich bei mir hinterlegt habe. Diese Karte ist da. Das sehe ich jetzt ein. Und würde nun ich oder der Martin oder der Tim, der ist ja auch böse, diese Kommunikation von der Bianca abhören, dann hätten wir zwar die Antwort, aber beim nächsten Mal werden wir nach einer anderen Zufallstage gefragt. Das heißt, wir können diesen Beweis nicht mehr erbringen. Und das ist quasi für alles, was SMCB ist, SMCKT, das zugrunde liegende Prinzip. Und ich bin, ich muss wirklich sagen, ja, ich habe ja so eine Gesundheitskarte. Ich habe den Chip da drauf gesehen und dachte, dann werden die den wohl verwenden. Also ich meine, wenn die jetzt so einen riesen Aufriss gemacht haben, mir diese Karte zu schicken, da war schon immer so ein Chip drauf, jetzt ist da noch ein Foto drauf. Und dann kommt ihr auf einmal daher und sagt, du benutzt den Chip nicht.
Ja, also man muss dazu sagen, diese Gesundheitskarte hat zwei Datensätze. Es gibt den guten signierten und es gibt den nochmal unsignierten, mehr weniger mit den Basisinformationen. Und aus irgendeinem der IT-Welt nicht ganz nachvollziehbaren Grund hat man beim E-Rezept damals einfach nur diese Basisinformation abgegriffen. Hat gesagt, naja, gut, ich muss ja noch wissen, dass die Karte sowieso, ich kann die Karte eh weitergeben. Ich möchte irgendwie, dass für andere Leute irgendwie Rezepte eingelöst werden. Zum Beispiel, ich gebe irgendwie, keine Ahnung, die Oma gibt dem Kind die Gesundheitskarte, damit das Kind irgendwie in die Apotheke laufen kann, die Gesundheitskarte und so weiter und so fort. Das Szenarien sind ja aus der praktischen Anwendung vielleicht nachvollziehbar. Jetzt ist es aber so, man hat dann quasi nur diesen unsignierten Datensatz ausgewertet. Und mit diesem unsignierten Datensatz, hallo, ich bin die Karte sowieso nummerös, ich hätte dafür gerne Zugang zu den entsprechenden Rezepten, hat man das im E-Rezept so implementiert. Mit eben dieser Kette, dass man, wenn man sich diesen, quasi den API-Call rauszieht, der sagt, naja, ich hätte gerne, lieber Update-Flex-Service, ich hätte gerne hier zu dieser Karte nochmal einen Zugang, dann ist man relativ schnell halt einfach direkt bei dem Zugang, wenn man sagt, ich bin irgendeine beliebige Karte, nehme einfach nur die Nummer davon und ich hätte zudem gerne den Zugang. Beim E-Rezept ist es noch nicht so schlimm, weil, naja, im Zweifel kann man eben zu, Kartennummern offene Rezepte einsehen, die sind aber halt nur eine gewisse Zeit offen, weil die laufen erstens mal nach 30 Tagen ab und wenn die eingelöst sind, kann man die nicht mehr einsehen.
Nur offene Rezepte tatsächlich. Also das ist der Trade-off, den man damals, glaube ich, gemacht hat, den man vielleicht noch nachvollziehen kann, weil natürlich ist es so ein Thema, dass es auch sensible Informationen sind, was in den Rezepten drin ist. Sind halt Rezepte mit entsprechenden Diagnosen, auch kodierbar mehr oder weniger. Aber man hat damals gesagt, wir nehmen das schnelle Verfahren, signieren dauert ein bisschen, braucht einen Sekundenbruchteil, wir müssen jetzt noch konnektoren irgendwie vielleicht anpassen, wenn die weitere Verfahren irgendwie haben und irgendwie die Kartenlesegeräte brauchen, andere Software. Also hat man damals irgendwie die billige Variante genommen und hat gesagt, wir nehmen einfach nur unsignierten Daten.
Also es wäre, man könnte ja argumentieren, dass dieser Trade-off beim Rezept, also ich finde den auch nicht gut, wäre schon irgendwie so ein Pinschutz auf die Karte oder irgendwas noch, wäre schon ganz sinnvoll gewesen. Ich weiß auch nicht, ob jetzt der Enkel unbedingt verschreibungspflichtige Medikamente für Oma holen muss oder ob die nicht die zwei Euro für den Apotheken liefern, meistens ja sogar kostenlos, aber okay.
Naja, du musst halt, also man muss dazu sagen, da kann es halt auch mal um Leben und Tod gehen, so. Also da so eine niedrigschwelligere Lösung, also das willst du dann halt auch nicht lieben. Ja, Oma verstorben, weil Apotheke konnte nicht wichtige Medikamente mal eben ausgeben. Also das ist ein Konfliktbereich und man kann es halt immer auch übertreiben. Wir wissen ja auch, wenn man es alles sicher machen will, dann wird es halt auch schnell so kompliziert und klar, wenn man mit so einer elektronischen Logik da rangeht, dann macht das irgendwie alles Sinn, aber es muss ja auch im Real World funktionieren.
Also da kann man ein bisschen drüber nachdenken, warum das für das E-Rezept vielleicht ein wirkliches Vorgehen ist, das irgendwie so zu machen. Jetzt ist aber der Witz bei der Sache natürlich das, was mit der E-Pardon jetzt passiert ist, weil das ist der gleiche Zugangsmechanismus. Es ist jetzt nicht so, dass wir mit Gematik, also der zuständigen Digitalagentur für Digitalisierung des Gesundheitswesens, darüber schon mal gesprochen hätten, dass das ein Problem ist mit dem E-Rezept-Dienstweg auf die Daten zuzugreifen. Der Martin Schirsich hat im August der Gematik gesagt, hier Problem, wenn man diesen Weg so und so geht und dann diesen OP-Call über den Update-Flex-Service durchgeht, kriegen Zugangstoken auf alle E-Pass, wenn ich die Nummer von der Karte habe. Das haben wir der Gematik gemeldet im August letzten Jahres.
Ich glaube, das war mehr oder weniger schon Leuten bekannt, die, ich meine, Menschen arbeiten in diesem Feld, arbeiten da seit ein paar Jahren, auch in der Industrie, implementieren sowas und die merken ja auch, was es gibt an verschiedenen Varianten, denken sich, ob das so eine gute Idee ist, keine Ahnung, aber ja, da wickelt man halt vor sich irgendwie hin. Das ist so das Thema.
Um mal Karl Lauterbach zu zitieren, der wird nicht müde zu betonen, das ist auch richtig, was er sagt, dass diese EPA für alle oder die TI das größte Digitalisierungsprojekt der Bundesrepublik ist. Es gibt nichts Vergleichbares, weder in Datenmenge noch in Bedeutung, aber damit auch erst recht nicht im Sinne der Kritikalität, weil aktuell, gut, was ist da jetzt schon drin in so einer EPA, aber was sich da an Daten über die Laufzeit so eines typischen Menschen rein akkumulieren wird, das wird eine riesige Anlage. Ja, und wie, da muss doch, müssen doch Menschen, die dafür verantwortlich sind, die so etwas schreiben, die sagen, wir bauen, wir wissen auch, dass wir hier etwas bauen, auch von den Anwenderinnen, also erstens hunderttausende Endpunkte und dann Millionen, zehn, also Größenordnungen von Millionen an Menschen, deren Daten in dem Ding sind. Wie kann denn da irgendetwas anderes als das, also schon Stand der Technik wäre mir da ja etwas, wo ich nervös wäre.
Ja, eigentlich schon, aber das ist irgendwie seit Jahrzehnten ein Weg, wo man da eher so diesen, ja, ich will nicht sagen, phlegmatisch, glaube ich, trifft es ganz gut, in den Weg geht, wo man irgendwie so ein bisschen laissez-faire sagt, okay, es muss jetzt durchgehen, wir sind eh schon spät dran und wir setzen es dann um und Karl Lauterbach hat noch gesagt, wir müssen am 15. Januar fertig werden.
Der, so jetzt meldet ihr das im August, das ist immerhin vier Monate vor eurer, ungefähr vier Monate vor eurer Congress-Präsentation ich glaube zu der Zeit wahrscheinlich etwas später als August gab es ja dann noch dieses, Fraunhofer-Gutachten, wo ich ja auch wirklich mich stundenlang drüber amüsiert habe und ich werde dich nicht müde zu betonen die haben diese Dokumentation in ein LLM gefüttert, weil kein Mensch, also weil die das mit, Fraunhofer-Mentalkapazität gesagt haben, das können wir, das versteht keine Saut, das analysieren wir mit einer KI, das kann keine, das machen wir nicht, das können wir unseren Hiwis hier nicht zumuten. So viel Papier. Was ist, also das spricht ja schon auch Bände über dieses Projekt als solches. Wenn, ein Sicherheitskonzept für beispielsweise Mobilfunknetze oder so, wo ja auch eine Reihe von Angriffen, das ist, das kann zumindest noch ein Mensch lesen. Also auch nicht angenehm, aber zumindest nach Kenfer Konventionen noch zum Mut war, ohne dafür ein LLM heranschaffen zu müssen. Haben die diese Probleme in ihrer Analyse gefunden?
Dann müsst ihr irgendwie die Reaktionszeiten hochfahren, weil es ist dann so ein Problem. Also die haben irgendwie so organisatorische Themen gefunden, die haben auch so ein bisschen, ja auch ein paar Innentäter-Szenarien irgendwie formuliert, aber am Ende war halt so der Konsens so ein bisschen, ja schon ganz okay so ungefähr zwischen den Zeilen, weil es war halt auch so beauftragt, man hat gesagt, ja guck mal, das bitte nicht so in den Scope nehmen und so weiter. Und dann stellt sich halt die Gematik hin und sagt, ja ist sicher, das Sicherheitskonzept von dem Fraunhofer U hat gesagt, sicher. Also hat schon noch Mängel gefunden, aber die sind jetzt irgendwie alle nicht so schlimm.
Ja, genau. Ja, also das Fraunhofer-Vergutachten, ja, wie gesagt, Scope ist seltsam, von daher würde ich da jetzt nicht so viel drauf geben. Ich glaube, das Spannende ist eher so das, was nach dem Hinweis im August auf, dass es diese Zugangserlangungsmöglichkeit über den Update-Flex-Service gibt, der…, Was dann passiert ist. Also August, dann weist man irgendwie nochmal intensiver drauf hin, spricht auch mit ein paar Organisationen drüber, die da noch beteiligt sind und sagt, das ist ein Problem. Und dann hat die Gematik eine Risikobewertung gemacht und gesagt, naja, okay, das Problem ist vorhanden. Das Problem hat den Impact aller Akten. Aber jetzt kommt das, was die Gematik damals gesagt hat. Naja, wir sind ja die Zugangsmittel zur Telematikinfrastruktur, sind ja sicher, alles sicher ausgegeben. Und damit ist ja dieser Schaden dadurch mitigiert, der möglicherweise eintritt, weil wir ja alle Zugangswege, wir sprechen von mehr als 100.000, sicher ausgegeben haben und die ja niemals irgendwie missbraucht werden.
Das ist das klassische Konzept des Worldgarden. Es gibt so ein paar Dinge, die man in der IT-Security tunlichst vermeidet. Das eine ist Security by Obscurity und das andere ist ein Worldgarden. Ja, beziehungsweise, sagen wir mal so, man vermeidet sie vielleicht auch absichtlich nicht, um sich eine langfristige Beschäftigung und Einnahmequelle zu schaffen. Ja, wo man weiß, ach guck mal, lass uns mal einen World Garden machen, dann kommen wir von dem Projekt nicht mehr runter. Ja, dann können wir das hier dauerhaft betreiben. Erinnert mich zum Beispiel auch an die ganzen SS7 Probleme die jetzt auch die im Mobilfunkbereich die Menschheit nun auch seit über 20 Jahren erfreuen und Berater und Produkte also ein Gift that keeps on giving das ist Walt Garden und für die eine nicht akzeptable Entschuldigung oder eine nicht akzeptable Begründung an dieser Stelle würde ich sagen.
Ja genau, also wir waren im August, das war sicher, weil da Volt gaben und dann hat man da erstmal so weiter gewirkelt. Jetzt gab es sich so, dass Martin und ich dann diesen Talk eingereicht haben für den Kongress und wir dann so dachten, okay jetzt haben wir halt diese VSDM, Abdeck-Flex-Service-Nummer, um auf alle Akten zuzugreifen. Und die Gematik sagt, jo, ist er sicher, weil ja alle Praxisausweise sicher ausgegeben werden. Also in dem Moment ist es nur wichtig, dass ich einen Praxisausweis habe und ich muss mich nicht irgendwie als Arzt ausweisen. Jo, das scheint anscheinend bei der Gematik nicht irgendwie zum Umdenken zu führen. Die Gematik wusste, dass es auf dem Kongress präsentiert werden wird. Das heißt, sie hatte Zeit zu reagieren, auch auf den öffentlichen Impact, hat nichts getan. Ja, und dann waren wir irgendwann so im November und dann meinte Martin so, ja gut, Vortrag wird wahrscheinlich was.
Jetzt wäre es vielleicht doch ganz clever, wenn wir irgendwie wahlweise das noch ein bisschen anbieten. Vollender da demonstrieren könnten. Jetzt gucken wir mal, ob wir noch irgendwie, eine SMCW bekommen, um auch der Gematik zu demonstrieren. Übrigens, das Szenario, was ihr da so geschrieben habt, ist sicher, weil Worldgarden ist es nicht, weil übrigens hier ist ein Worldgarden ist offen.
Ja, genau. Also wie geht man dann in die TI? Ja, klar, man kann jetzt irgendwie in die Praxis einbrechen, aber das ist jetzt auch nicht ein bisschen unethisch. Und dann ist die Frage schlicht und ergreifend, was gibt es denn sonst für Überschaffungswege? Wir hatten das mit den SQL-Injections bei den Karten herausgegeben, ein paar Teilen, die Lieferzeiten bei diesen Dingen sind aber immer so lang und das ist immer so ein bisschen, wenn du dann irgendwie erst im November auf die Idee kommst, eine Karte dir zu besorgen, dann ist die vielleicht nicht zum Kongress da und dann ging Martin irgendwie mal einfach auf Internetrecherchen, guckte, was so irgendwie existiert in dem Bereich, und hat dann erstmal bei Kleinanzeigen nach Kartenlesegeräten gesucht über Kleinerzeigen.
Genau. Und dann, also genau, was sucht man da? Kartenlesigaräte. Diese Kartenlesigaräte haben verschiedene Kartenslots und diese Kartenslots sind halt normalerweise die Gesundheitskarte der Patientin, aber halt auch, Karte des Kartenlesegeräts selbst, also um sich als Kartenlesegerät auszuweisen, aber da hängen halt auch immer noch unter Umständen möglicherweise ein Halberufsausweis drin oder eben auch eine SMCB, also ein Praxisausweis. Ja, dann guckt man da halt bei kleinen Zeigen ein bisschen rum und guckt, wie viele, funktioniert das Gerät noch? Leute machen da meistens Bilder von, hier ist das Gerät, funktioniert noch, hier gibt es dann halt ein Foto vom Display und dann sieht man, naja, da sind irgendwie so und so viele Karten gesteckt. Dann kauft man sich halt mal ganz nett das, wo die ganzen Karten stecken und, guckt, ob man da vielleicht noch die Karten irgendwie dazu kriegt und dann war es halt immer so Szenarien wie keine Praxisauflösung oder Menschen, die halt einfach nicht wissen, was sie da verkaufen aber noch irgendwie, einen Schnapper machen wollen und ja, wenn man da noch lieb fragt dann geben Leute sogar noch Pins mit raus Was? Weil eigentlich ist diese.
Ich kann das ja nicht verwenden, Entschuldigung, Du weißt, was passiert, wenn du eine schlechte Bewertung bei Kleinanzeigen kriegst, Tim. Das ist der Spaß auch. Dann bleibt der Keller für immer voll. Dann musst du den selber entrümpeln, wenn einmal einen Stern bei Kleinanzeigen Top Security liegt gerade wieder.
Ja, genau, also Karten-Niese-Gerät gefunden mit SMTB plus PIN und damit auch quasi den physikalischen Anker für, übrigens, hallo, wir sind eine TI, wir könnten jetzt den Weg durchtanzen. Martin hat dann halt auch noch ja ein Skript gebaut, um zumindest so einen Nachweis zu demonstrieren das einmal dann tatsächlich auch auf der, sogenannten Referenzumgebung evaluiert, dass da auch tatsächlich ein Nachweis zurückkommt und ja.
Das ist eine der Produktivumgebungen naheliegendste Umgebung, also der echten TI. Die Schwierigkeit ist halt zu dem Zeitpunkt gewesen, ich meine die EPA war zu dem Moment ja noch nicht live, sondern es ist quasi wirklich ein Auseinandernehmen der Einzelkomponenten und der Einzeldienste und an den Einzeldiensten zu zeigen, dass wenn man den Teil raus isoliert und rausschält, dass man genau dann eigentlich alles hat, um egal was dahinter nachkommen wird, einen Zugriff zur EPA zu kriegen. Und das waren dann quasi die zwei Dinge, die halt notwendig waren. EBay-Kleinanzeigen und einen Webservice aufrufen. Dieser Webservice eben, dieser Zugangsweg über, naja, ich schicke halt die Gesundheitskartennummer, an diesen Service und kriege dann Zugang dazu. Damit kann man halt sagen, ja, okay, Zugriff auf 70 Millionen Akten. Und das ist das, was so als schlimmste Lücke dann auf dem Kongress mehr oder weniger rauskam. Es gab halt noch andere Themen drumherum, wie, keine Ahnung, irgendwelche Praxissoftware, die irgendwie Standardpasswörter verwendet und andere Dinge. Aber das, wo man sich drauf gestürzt hat, war halt tatsächlich dieses, okay, ihr geht auf Kleinanzeigen und kriegt irgendwie Praxisausweise, ist irgendwie nicht so doof, sollte man den Leuten sagen, das ist eine Scheißidee, Awareness-Maßnahmen, ja. Und eben auch mal halt das technische Szenario von dem Zugangsweg über den sich versicherten Stammdatendienst, der einfach durch Angabe eines ganz bestimmten Calls mit einer Nummer mir den Zugang gibt.
Jetzt, also ich finde das mit dem Connector irgendwo herbekommen und Karten irgendwo herbekommen, ist notwendig, um das zu demonstrieren, damit man auch Ende zu Ende sagen kann, Eine böswillige Akteurin, das ist absolut im Rahmen, wenn wir das sogar schon vor dem Launch dieser Karte hinkriegen, also absolut richtig, aber man darf nicht vergessen, hinter diesen 100.000 berechtigten oder 150.000 berechtigten Stellen verbergen sich ja dann auch wirklich immer nochmal oder häufig nochmal mehrere Angestellte und es ist wirklich in keiner Form davon auszugehen, dass da nicht irgendwo mal jemand Böses dabei ist. Das ist einfach ausgeschlossen. Und so wie du das jetzt gerade schilderst, kann man ja ein Skript schreiben und sagen, alles klar, ich rasiere jetzt einmal durch den gesamten Space und dann habe ich alle Gesundheitsdaten aller Deutschen, brauche ich eine große Festplatte, aktuell noch nicht so groß, aber irgendwann brauche ich eine richtig große. Und dann funktioniert das. Wir haben jetzt natürlich ein paar Sachen, glaube ich noch vereinfacht ausgelassen, denn die Berechtigung für den Zugriff auf die EPA ist auch zeitlich begrenzt auf ich dachte mal 16 sind 90 Tage.
Also genau was kriegt man, wenn man diesen Zugriffstoken kriegt, also die Befugung, man bekommt für die jeweilige Organisation, also auf dem Praxisausweis liegen die Organisationen Und die wird in Gruppen einkategorisiert. Also das ist eine Arztpraxis, das ist eine Zahnarztpraxis, das ist eine Apotheke, das ist Arbeitsmedizin, dann gibt es noch ganz viele andere Gruppen. Das, was zum Beispiel noch securitymäßig spannend wird, es kommen zum Beispiel Pflegeeinrichtungen dazu, Rehaeinrichtungen, das sind jetzt alles nicht Einrichtungen, die für IT-Security-Fachexpertise bekannt sind, sondern die müssen halt damit arbeiten. Das heißt, die Attack-Service im Bereich von Leistungserbringern wird größer. Das heißt, das ist alles sicher ausgegeben und alle Endpunkte sicher. Das Narrativ passt nicht mehr.
Also im Gesundheitswesen sind mehr als Millionen Menschen beschäftigt. Und man muss ja dann auch, also allein der Mikrokosmos eines Krankenhauses, wo in dieser Rechnung nur eine von dieser Leistungsumbringung ist, da hast du ja tausende Leute, die irgendwie dort beschäftigt sind. Und all die haben irgendwie unter Umständen Interaktion mit dem, was in der TI passiert. Also von daher, ab dem Moment kannst du... Kaum mehr überblicken, ob eine von, ja, ich glaube, Gesundheitswesen durchaus schon mehr als eine Million Menschen, die irgendwie indirekt oder direkt damit im Zugang sind. Plus eben halt auch noch sowas wie IT-Dienstleistern, die ja dann immer noch Dinge fernwarten und so weiter und so fort. Also die Kette geht sehr, sehr weit.
Genau, also das, was man bei so Sicherheitslücken oder Austausch auch mit Gematik immer merkt, ist, dass das theoretische Hinweisen auf Themen nicht immer so erfolgreich ist. Man sollte es zumindest auch soweit validiert und kurz vor der möglichen Kompromittierung haben, um zu sagen, jo, ist wirklich kaputt. Wir haben es sehr eindringlich evaluiert und demonstriert. Natürlich ethisch, aber zumindest soweit, dass man dann auch in den Massenangriff gehen könnte und dann funktioniert das auch. Und das, was halt auch das, naja, nicht so nachvollziehbare, aber dann doch, wenn man die Logik der Schadensbewertung dann immer auch bei der Gematik nachvollzieht, ist halt, eigentlich muss es immer erst brennen, bevor man sagt, oh ja, ist doch ein Risiko. Also, das ist immer, man muss das ja praktisch machen.
Das ist ja auch, also ich habe das häufig in Berichten, wo ich mit meinen Kolleginnen und Kollegen spreche, wo auch immer so, theoretisch wäre es möglich, eine Angreiferin könnte, wo ich auch immer auf die, also formal sage, nein, nein, ein Angreifer kann. Also ich kann Fußball spielen. Das heißt nicht, dass ich es mache, aber ich kann es. Und genauso deswegen kann ein Angreifer das tun. Dann gibt es keinen Unterschied zwischen theoretisch und praktisch. Ich verstehe, dass das für die Wahrnehmung, für so eine öffentliche Wahrnehmung, auch in dem ich mit Journalistinnen natürlich jetzt in letzter Zeit auch häufiger mal darüber unterteile, ja theoretisch ist es möglich. Heißt ja nicht, dass es jemand macht. Aber es geht. Heißt halt nicht, dass es theoretisch geht. Sondern da gibt es bei Gehen, wenn etwas möglich ist, gibt es keinen Unterschied zwischen theoretisch und praktisch.
Richtig, Theorie, ja. Also eine sehr, okay, aber die haben ernsthaft, also Menschen, denen wir mit diesem Risiko, mit diesem Digitalisierungsprojekt vertrauen, die warten noch drauf, dass eine für jede Person inhaltlich sofort nachvollziehbare theoretische Möglichkeit, Der muss sich auch noch praktisch manifestieren, bevor sie sagen, also dann werden wir hier unruhig.
Ich glaube, inzwischen reagieren sie auch schneller, wenn die gleichen Leute wiederkommen, die einen nachweisbaren Track-Record haben mit Dingen, die wirklich kaputt waren. Das haben wir jetzt gesehen. Aber es ist tatsächlich auch immer, glaube ich, schon hilfreich. Der Prozess ist nicht auf einer Ebene proaktiv, dass man sagen würde, ich greife alles ab und minimiere Risiken vorher, bevor sie entstehen, sondern es ist immer eher reaktiv. Wenn ein Risiko wirklich manifest ist, dann tue ich was. Das ist einfach in der Entstehung dieser ganzen Systeme ein Problem, weil da halt auch, wenn man merkt, man hat es irgendwo von dem, was man da spezifiziert hat, wirklich verkackt. Dann kriegst du es aber erst über Monate später raus, weil das heißt ja, ich muss die Spezifikation verändern. Irgendjemand, irgendwelche Dienstleister, meinetwegen IBM oder Bitmark Rice müssen dann in diesem EPA-System Dinge verändern. Da hängt eine ganze Kette von Industrie dran, die das nochmal verändern muss. Von daher, ich kann das in den Zwängen, ich muss nicht sagen, nachvollziehen, nachvollziehen kann man sagen, dass man versucht das zu vermeiden, weil die Fehlerkorrektur halt nicht irgendwie, ich patch mal kurz in dem Repo irgendwas ist, sondern ich mache eine Änderung der Spezifikation, die dann dazu führt, dass mehrere Dienstleister mit ihren eigenen Prozessen nochmal Dinge verändern müssen. Aber dennoch ist es halt genug Zeit gewesen, angemessen darauf zu reagieren und man hat sich so ein bisschen halt nach hinten geschoben. Wahrscheinlich auch vor dem Hintergrund, naja, man möchte jetzt einem Karl Lauterbach nicht sagen, du übrigens.
Das wird knapp. Aber trotzdem haben sie ja dann, also ich denke auch, wenn man sich überlegt, wie so ein Laden läuft. Wir sollten vielleicht einmal noch ganz kurz erklären, die Gematik ist die Nationale Agentur für Digitale Medizin, die die Spezifikation und dann auch den Betrieb der Telematik-Infrastruktur verantwortet. Und damit natürlich auch die dort geltenden technischen Standards, Voraussetzungen und so weiter definiert. So, da finde ich sehr spannend, wem die gehört. Wenn ich mich nicht täusche, ist das 50% Bundesministerium für Gesundheit und dann irgendwie die ganzen Kassenärztlichen Vereinigungen und Krankenkassen oder so. Das ist irgendwie der... Diese Zusammensetzung der Gematik, oder?
Ja, also man muss dazu sagen, dass die Gematik eigentlich, ich glaube inzwischen sind es 51 Prozent, das ist immer der feine Unterschied, dieses 1 Prozent, was tatsächlich auch diese Mehrheit dann auslöst. Es ist möglich, dass wenn es bestimmte Spezifikationen oder sonstige Dinge gibt, dass das BMG die durchdrückt, weil sie eben diese 51 Prozent haben. Das ist der aktuelle Stand und das führt eben aber auch dazu, dass man auch politisch Dinge durchdrücken kann. Und wenn jetzt jemand sagt, wir machen jetzt das und das so, auch wenn irgendwie die ganzen anderen Beteiligten dagegen sind, ist es politisch möglich, das durchzudrücken. Das ist auch tatsächlich passiert bei einem Verfahren namens CardLink. Das war, also das Verfahren ist dazu da, dass man E-Rezepte, jetzt wird es ein bisschen wild, mit einem Smartphone durch das Ablesen der Gesundheitskarte via NFC über den Konnektor der Apotheke dann Rezept einlösen kann. Sehr wildes Verfahren, aber naja, und das war natürlich auch ein bisschen kritisch gesehen, hat man aber von Seiten des BMGs durchgedrückt gehen jetzt nicht in die technischen Details, wird noch wilder, aber, einfach nur zu zeigen, das BMG kann auch Dinge durchdrücken und sagen, ja okay machen wir jetzt so.
Wahrscheinlich. Also die Flickschusterei kommt ja auch immer in einem System zustande, wo man, politisch Dinge festsetzt, das muss da und da fertig werden und dann hat man halt nur beschränktes Budget und die Zeit läuft halt dann runter und wenn man sagt, muss fertig werden und das sind die Features und die Features könnt ihr nicht irgendwie, runterpräsieren, das muss alles auf einmal gehen, kommen da halt unter Umständen bestimmte Dinge zu kurz wie irgendwie sichere Entwicklungsprozesse oder auch Prozesse, die halt sagen, naja, es gibt eine Entscheidung, dass wir halt nicht live gehen, weil Security nicht eingehalten. Also mit dieser ganzen politischen Komponente, man möchte es jetzt an den Start bringen und Karl Lauterbach mit seiner Vorgeschichte, dass er halt unter Ulla Schmidt schon damals irgendwie jetzt und jetzt endlich an den Start gehen möchte, kommen da nicht die besten Security-Entscheidungen raus.
So die BER-Methode, ne? Das ist ja im Prinzip auch politisch die ganze Zeit so, muss jetzt irgendwie fertig werden, aber oh und jetzt haben wir auf einmal andere Bedingungen, ja dann machen wir das jetzt irgendwie anders und dann widersprechen sich halt auch am Ende die ganzen Entscheidungen. Also BER ist ja letzten Endes auch an diesen ganzen Umplanungen mit gestorben. Was weiß ich, jetzt planten wir erstmal einen Großflughafen, alles ganz toll, alles luxuriös und dann kommt halt irgendeiner und sagt so, ja, aber die Billig-Airlines, die wollen gar nicht so ein teures Terminal haben, die würden dann woanders hingehen. Da müssen wir aber nochmal ein paar dazu planen und dann passt das dann halt auf einmal wieder nicht mit der Feuerwehr und so weiter und dann wollen sie eigentlich schon eröffnen so wenige Tage vorher und dann so ah ja, nee, doch nicht, dauert noch 10 Jahre im Prinzip ist das jetzt hier nochmal genau dasselbe Trainwreck.
Genau, also das ist vielleicht gar nicht so ein schlechtes Bild, was man so fürs Security, weil ich glaube immer, wenn man so von Computer Security redet, für uns ist das irgendwie so normal. Aber ich glaube so in der Öffentlichkeit ist es immer so schwierig. Aber wenn man das mal mit Brandschutz vergleicht, dann könnten die Leute da glaube ich schneller drauf einsteigen.
Im August meldet ihr das, es passiert nichts, dann wird klar, okay, ihr habt es theoretisch gemeldet, ihr habt es praktisch in der Zwischenzeit dann auch mal nachgewiesen. Ihr habt eingereicht, ein Einreichen wird angenommen, immer wird bekannt, okay, scheiße, diese Leute, die da irgendwie uns letztens diese theoretische E-Mail geschrieben haben, die präsentieren auf dem Kongress, was machen die denn da? Raschelt, raschelt, ach ja, die zeigen, dass wir hier, und nochmal, fundamentale, in meiner Wahrnehmung nicht zu entschuldigende, architektonische Schwächen haben. Ich frage, also ich verstehe wirklich nicht. Wirklich nicht. Und ich weiß, dass, Organisationen, insbesondere wenn sie den Staaten und Ministerien und so weiter nah sind, sehr gut darin sind, Verantwortungsdiffusion, hier von der nach da zu reichen und so, Aber irgendein Kopf muss doch mal rollen, weil das ist doch, also das ist so nicht vertretbar. Da muss es eine verantwortliche Person geben, entweder sitzt sie im Ministerium oder bei der Gematik, aber das geht so nicht. Also das ist wirklich, das ist für ein IT-Projekt dieser Größe nicht zu vertreten, was da passiert ist.
Ja, also ich glaube die Verantwortung ist tatsächlich, ich will jetzt die Gemahlin nicht in Schutz nehmen, aber eher politisch zu sehen, weil man ganz klar sagt, das muss in der Zeit irgendwie erreichbar sein und das ist auch ein politisches, die besteht in der Digitalstrategie, wurde schon jetzt irgendwie Jahre vorher committed, man hat sich darauf committed und gesagt so und so. Und dann hast du halt unter Umständen die Entscheidung hältst du einen Termin und machst ein bisschen Security bei Obscurity und denkst, naja, ist nicht so schlimm. Oder du sagst den Leuten, nee, sorry, geht nicht, wir müssen irgendwie noch ein halbes Jahr nochmal komplett neu ansetzen.
Da würde ich aber anders, das würde ich anders sehen, warum wurde jemals ein solcher Mist überhaupt vorgelegt? Also ich kann verstehen, dass die Situation, also im August heißt, habt ihr ja nicht ein Kind in den Brunnen geworfen, sondern gesagt, guck mal, da ist ein Kind im Brunnen. Und das ist ja jetzt nicht so, als hätte man zu dem Zeitpunkt jemand sagen können, naja, also ich kann es verstehen, dass zu dem Zeitpunkt jemand sagt, jetzt können wir es nicht mehr ändern. Aber wer hat denn den Karren überhaupt bis dahin gefahren? Und da müssen doch Menschen vorher, die das Vertrauen des Bundesgesundheitsministeriums genossen haben, das getan haben und die haben in meiner Wahrnehmung nicht verantwortungsbewusst, nicht kompetent, nicht nach Stand der Technik agiert und. Ich erwarte nun auch nicht unbedingt von den Menschen, und wir beide haben ja auch mit denen interagiert, dass jetzt die Leute, die wir da in der Verantwortungsebene kennen, dass die so ein Konzept durchverstehen. Die müssen ja auch irgendwann sagen, na gut, wir haben jetzt hier so und so viel 100 Millionen bezahlt, wir haben so und so viele Expertinnen und Experten mit hohen Jahresgehältern mit dieser Scheiße beschäftigt, die haben einen wunderbaren Scope so definiert, dass das bei Fraunhofer durchgegangen ist, so, irgendwann müssen wir doch mal sagen, geht jetzt. Und dann kann ich auch verstehen, dass ein Ministerium sagt, Moment mal, wer kommt da jetzt? Chaos, die haben wieder Ach, Heike, wollen irgendwas sagen. Ja gut, komm, das scheint mir ja eher theoretisch zu sein. Steht ja auch da, theoretisch. Ach, scheiße, ist praktisch. Ja, fuck, wie lange haben wir jetzt noch Zeit? Vier Monate. Kacke. Na, könnt ihr da irgendwie noch ein bisschen was drüber, könnt ihr da nochmal drüber lackieren? Dann sagen die von der Geburt, klar können wir da drüber lackieren, dann machen wir hier, dann machen wir hier nochmal Unterbodenschutz dran, an die Roststelle. Das sieht keiner mehr. Den Gebrauchtwagen kriegen wir verkauft. Da macht ihr mal keine Sorgen. Das kann ich schon verstehen, dass auf den letzten Metern die Verantwortung politisch ist. Aber wie viele Jahre haben die denn vorher daran gedoktert?
Okay, was haben sie jetzt gemacht? Jetzt kommt, und ich weiß, das war dann relativ, also wir waren ja auch vorher im Austausch, wird jetzt nicht überraschen, dass wir über so etwas sprechen, aber, Richtig nervös wurden die aber erst irgendwann so im Dezember. Da kam dann auf einmal, ja, Herr Lauterbach, hätten Sie kurzfristig Zeit, mal mit Herrn Lauterbach zu sprechen? Und dann kam das, ja, wir werden das beheben und alles wird gelöst, bevor das hier an den Start geht. Wo jetzt natürlich du und ich haben ja durchaus ein bisschen Vorstellungen, was das alles an Zeit und architektonisch und Testen und so weiter beansprucht, wo schon klar war, das werdet ihr nicht in der Zeit lösen können. Das hättet ihr ab August bis Januar, wäre enorm sportlich gewesen. Aber wenn sich jetzt hier jemand, weiß nicht, im November Dezember meldet und sagt, wir gucken uns das jetzt mal an, da bin ich mir ganz sicher, dass wir das gelöst kriegen, da war ja schon klar, dass das nicht richtig gelöst wird. Wie haben sie es denn gelöst?
Das ist sehr schön. Also man hat festgestellt, okay, wir haben diesen versicherten Stammdaten-Dienst-Problematik mit diesen 70 Millionen Akten. Dann wurden Dinge eingeführt, wo ich mir dachte, wieso gibt es die jetzt erst und naja, warum nicht schon früher. Man hat erstmal festgestellt, naja, es ist vielleicht nicht so clever, wenn eine Institution 70 Millionen Akten aufrufen kann, weil das ist ja irgendwie praktisch gar nicht möglich, dass ein Krankenhaus plötzlich alle Akten in Deutschland im Zugriff hat. Also hat man gesagt, naja, Rate Limiting, also ich mache eine Mengenbegrenzung von neuen Befugungen, die ich einführen kann und ich glaube, das ist tatsächlich auch so das. Ja, nachweisbar wirksame, was gerade zu den Schaden begrenzt, den es vorher aber tatsächlich nicht als Begrenzung gab. Also ich kann auch ich mir nicht vorstellen zu sagen, ja, man hat sich da keine Gedanken drum gemacht, gesagt, ist alles sicher und deswegen braucht auch kein Rate-Limiting bei 100.000 leistungsübrigen Institutionen, die vielleicht nicht alle ganz integer sind, aber genau, Rate-Limiting funktioniert zumindest. Zumindest, wir können jetzt nicht mehr sagen, es sind 70 Millionen Akten, die wir im Zugriff haben, weil das Rate-Limiting da reinhaut und wir halt dann nur noch maximal 200.000 mal 300.000, also 600.000 Akten im schlimmsten Fall an einer Organisation hängen haben. Das ist das, was jetzt so der Maximum-Impact ist, weil in der Speck halt gesagt wurde, Krankenhaus maximal 200.000 Befugungen pro Monat, die Befugung hält drei Monate. Das ist das Schadenausmaß, was wir auf diesem Feld von so vielen Institutionen haben. So, und dann haben wir gesagt, naja, gut, diese Zugangserlangung, ja, das mit dieser Nummer, das ist vielleicht irgendwie, doch irgendwie doof, wenn man die hochzahlen kann.
So, dann haben wir angefangen, naja, wir haben ja eine zweite Nummer, wir könnten ja noch die Krankenversicherungsnummer nehmen, aber die steht auch auf der Karte drauf, das ist ja doof. Also jetzt habe ich zwei Dinge, die da stehen auf der Karte drauf. Oder es gibt irgendwelche Leaks von irgendwelchen Dienstleistern. Bei Bitmark sind immer so Kartennummern mit ICSSN weggekommen. Das ist ja auch doof. Jetzt sind diese, wenn wir diesen Zugriffsschutz jetzt so bauen, dass wir neben der Kartennummer, die Krankenversicherungsnummer, neben, naja, das ist vielleicht auch Public Knowledge. Hm, was machen wir denn jetzt? Und dann kam jemand auf die Idee und meinte, naja, wir brauchen noch so eine Prüfsumme, eine Hashtag-Value. Weil da können wir jetzt noch einen Faktor einbauen, den kennt bestimmt niemand. Und er hat gesagt, naja, dann nehmen wir dann einen Teil der Straße, also den ersten Buchstaben der Straße, dann die Hausnummer. Den ersten Buchstaben nur der Straße? Ja.
Müsste man jetzt, okay, 26, dann sagen wir mal so vielleicht 999, das wird sich aber auch im Bereich unter 100 bündeln und dann Versicherungsbeginn, okay, kann bis zu 70 Jahre wahrscheinlich zurückliegen, aber. Ja, okay, also wahrscheinlich auch ausreichend für um massenhaftes Brutforcing auf jeden Fall nicht ökonomisch zu machen, aber für einen gezielten Zugriff wäre er komplett überschaubar.
Also man hat wirklich versucht, Massenangriffe zu verhindern, das war auch das, was so ein bisschen wirklich der Worst Case war im Bundesgesundheitsministerium. Das, was man nicht wollte, ist, man will keine Schlagzeile U70 Millionen Akten abgeflossen, sondern in zwei, drei, fünf weggehen, das ist noch toleriert, aber Massenangriffe will man nicht. Also dämpft man das ein.
Ne, die Testphase nicht. Aber man hat die Testphase radikal gekürzt, weil ursprünglich war es so, wenn du zum Beispiel in Franken in der Praxis hast, dann kannst du in Franken dort, weil du ja in Franken bist, kriegen alle da den Zugang zu diesem EPA, EPA, Rollout, Prilod, wie auch immer. Genau. Und das hat man erstmal sehr radikal zurückgekürzt auf, es sind nur noch 300 händisch ausgewählte Institutionen. Da gab es dann irgendwo in bestimmten Regionen nur bestimmte Krankenhäuser. In Hamburg gab es dann nur bestimmte Ärztegruppen und in der anderen Region gab es dann nur die Apotheken oder so ungefähr.
Genau, es gab eine Allowlist und da waren 300 händisch ausgewählte Institutionen. Wahrscheinlich sind da noch Leute, ein paar sind da auch persönlich gefahren mit Pressetermin und jetzt geht es endlich los und so weiter. Und dann gab es diese 300 Institutionen, dann gab es eine Allowlist und alle anderen Konten hatten keinen Zugriff. Das heißt, um jetzt, während man hier noch diese Sachen hin und her fixen, schon teilweise gefixt hat, wäre es halt der Impact nur 300 Institutionen. Das heißt, du musst eigentlich schon sehr, sehr genau vorgehen. Die hat man, glaube ich, auch noch irgendwie validiert. Man hat sie quasi nochmal nachvalidiert, ob die auch wirklich diese Institutionen sind und so. Und mit 300 kann man das ja noch machen. Ja, und währenddessen hat man halt versucht, dieses Rate-Limiting auch zu sehen. Es dauert ja auch ein bisschen, Logging und so weiter, Monitoring hochzuziehen, Das lässt sich ja nicht von heute auf morgen einrichten, aber man hat glaube ich, wenn man so auf die Zulassungen guckt und die Veröffentlichung der ganzen Aktensysteme und der Apps der Krankenkassen so irgendwie zum 15. Januar glaube ich sogar auch diesen Zugriffsweg über diese Hashtag Value plus eben noch Krankenversicherungsnummer und KVNR irgendwie umgesetzt und ist dann in diesen Rollout gegangen in den Testregionen. Aber eben mit 300 Institutionen.
Das meines Wissens schon. Das Thema ist aber halt, es haben sich währenddessen halt noch andere Dinge irgendwie mit subsumiert. Also Rate-Limiting hat man glaube ich erst nachher eingebaut, weil das natürlich auch schwierig ist aufzusetzen. Aber dieses Hashtag-Value-Thema, um das halt auch tatsächlich nicht irgendwie in den Testregionen verschiedene Aktensystem-Versionen zu nutzen, weil man will ja aus den Testergebnissen auch rausfinden, ob das irgendwie funktioniert, hat man das schon relativ schnell auch irgendwie mit eingebaut. Ich glaube, da haben Menschen auch ihren Weihnachtsurlaub sehr verkürzt. Ja, Menschen von Krankenhassen meinten zu mir, naja, danke, wegen dir habe ich jetzt meinen Skiurlaub auch verkürzen müssen.
Das Gesundheitssystem dankt, dass du mich mit der Sprunggelenktrümmerfraktur, obwohl die Sprunggelenke gehen beim Stiel nicht drauf. Aber die technische Lösung muss man trotzdem einmal beurteilen. Es wird jetzt weiteres Wissen vorausgesetzt. Keiner dieser Wissensfaktoren, der hier mit dazu genommen wird, betrifft überhaupt etwas sonderlich Geheimes. Also es gibt ja einen Unterschied zwischen beispielsweise einem Namen oder einer Nummer, einer Identifikationsnummer und einem Passwort, wo das nur die Patientin kennt oder dass es in irgendeiner Weise überhaupt ein Datum, ein Wissensdatum ist, das gefleckt ist als sensibel. Das heißt, noch nicht einmal Passwortcharakter findet hier Anwendung. Was so noch das Mindeste wäre und schon auch nicht ausreichend, weil wir ja zum Beispiel für unser E-Mail schon sagen, ein Passwort ist nicht ausreichend, man hätte gerne einen zweiten Faktor. Aber wir haben hier noch nicht einmal ein Passwort. Es müssen also mehrere Wissensfaktoren zusammenkommen. Jeder Wissensfaktor, den ich dazu nehme, erschwert natürlich das Sammeln der Informationen. Ich muss jetzt die Kartennummer und die Adresse und das Datum des Versicherungsbeginns herausfinden zu einer Person und das erschwert es praktisch, auf jeden Fall massenhaft das zu machen. Aber wenn ich weiß, wo du wohnst und irgendwann mal Gelegenheit hatte, eventuell deine Kartennummer zu sehen oder sich irgendwo doch etwas auftut, wo ich zu einer Kartennummer einen Namen finde und sich am Ende mein Problem reduziert auf deinen Versicherungsbeginn, das sind ja die Konstellationen, die so etwas wieder kaputt machen. Und deswegen ist so etwas auch, ich muss das nochmal betonen, weil du so diplomatisch bist, fundamental ungeeignet zur Lösung des Problems. Man könnte auch noch sagen, Name des ersten Haustiers, Grundschule, Lieblingsfilm, das kann man alles machen, aber das sind alles noch nicht einmal Passwörter. Und selbst Passwörter wären nicht ausreichend. Vor allem, weil jetzt in dieser Kommunikation auch immer gesagt, man braucht jetzt einen weiteren Faktor. Nein, braucht man nicht. Es ist immer noch eine Ein-Faktor-Authentifizierung, nämlich Wissen. Man braucht ein Wissen. Dieses Wissen speist sich aus unterschiedlichen Domänen, aber am Ende ist es alles ein Faktor, nämlich Wissen über Versicherungsbeginn und so weiter. Das kann man alles auf einem Blatt Papier schreiben und deswegen ist es auch nur ein Faktor, ein Wissensfaktor. Ein Haben-Faktor wäre geeignet. Was könnte man dann nehmen? Ha, vielleicht den Chip auf der Karte. Aber nee, lassen wir das.
Ja, wer weiß, was die sich da wieder einfallen lassen, diese Hacker. Also da muss man auch aufpassen. Also Gold, es ist nicht alles Gold, was glänzt. Also nee, das macht man nicht. und einen Seinfaktor Biometrie hätte man noch nehmen können. Okay, auch das fällt hier, glaube ich, aus. Aber ich glaube, zu sagen, das ist, Wieder nicht so, wie es einem IT-Security-Prinzipien lehren würde. Du sagst, du verrätst einmal aus Versehen den Beginn deiner Versicherung und jemand kann quasi, brauchen wir die Karten nochmal, aber es ist ein lösbares Problem. Und das sieht man, das ist so ein Hütchenspiel. Es ist und bleibt ein lösbares Problem, während hier ist ein Chip auf der Karte, du brauchst einen Pin, du musst wieder reinstecken und einen Pin eingeben. Das ist ein nicht mehr lösbares Problem, solange es nicht diese Karte gibt. Und damit, die Karte kann invalidiert werden, wenn ich die verliere, das heißt, hier werden Zugriffe unmöglich gemacht und nicht, also ganz schön schwierig, den Aufwand muss ja erstmal jemand betreiben und dann machst du am Ende Martin und du irgendwie in eurer Freizeit. Jetzt habt ihr aber dieses neue System ging dann in der Breite an den Start.
Ja, genau. Also 15 Ländler Modellregionen haben da Dinge nicht funktioniert, wie zu erwarten war, weil die ganzen Softwarehersteller von diesen ganzen Praxiserwaltungssystemen, die sie in Modulien nicht fertig hatten und mit 300 Institutionen, naja, da hatten wir jetzt auch nicht so viele Erkenntnisse. Man hat ja dann politisch den offiziellen Launch immer weiter nach hinten geschoben, war dann irgendwann mal beim 29. April und auch mit so einem phasenweisen Rollout, weil man dann sagte, naja, okay, nicht sofort für alle verpflichtend als Leistungserbringungsinstitution oder medizinische Einrichtungen, sondern wir machen das erst im Oktober, weil bis dahin läuft das vielleicht erstmal stabil. So. Und jetzt ist es halt so, dass am 29. Es so war, dass es diese Hashtag-Value gab.
Ja, es war eine wilde Woche. Nein, also, Historie dahinter ist, Hashtag Value, okay, was brauche ich? Ich brauche Wissensfaktoren. Jetzt ist die Frage, gibt es irgendwo in diesem System der Telematik-Infrastruktur vielleicht einen Bereich, wo es diese Wissensfaktoren gibt, stellt sich heraus, ja, den gibt es. Denn es gibt nämlich aus fachlich nachvollziehbaren Gründen für Leistungserbringungsinstitutionen die Möglichkeit, dass man sagt, ja, ich habe ja jemanden, die Person hatte ihre Krankenkassenkarte nicht dabei, ich möchte die jetzt aber gerne abrechnen, ist die bei euch versichert? Deswegen gibt es die sogenannte elektronische Ersatzbescheinigung. Die Personische Ersatzbescheinigung. Gibt Menschen die Möglichkeit zu sagen, ich habe gerade meine Krankenkassenkarte verloren oder keine Ahnung oder irgendwas, gerade Notfall, ich musste irgendwie abrechnen. Ist die Person überhaupt irgendwo versichert? Ja. Also gibt es da zwei verschiedene Aufrufe. Man kann einerseits bei einer Person bestimmten persönlichen Informationen, Name und irgendwie Adresse oder Eingrenzen herausfinden, wo die versichert ist. Und dann kann man mit einer KVNR, also einer Krankenversicherungsnummer, an die entsprechend richtige Krankenkasse sagen, übrigens, hier ist eine Person mit dieser Nummer von euch bei mir. Ich brauche doch mal einen Nachweis, dass die bei euch versichert ist. Und dann schickst du an diese Krankenkasse diese Informationen und dann kommt...
Da wird es ein bisschen obskur, weil die Telematik-Infrastruktur ein bisschen obskur ist. Also man schickt über einen Webservice diese Anfragen, bekommt dann eine sogenannte KIM-Nachricht, also eine verschlüsselte E-Mail in diese ganzen Telematik-E-Mail-Logik. Also das ist eigentlich nur ein normales S-Malm. Und da hängt ein XML-File dran. Und in diesem XML-File stehen total tolle Sachen drin, wie die Adresse der Person und eben auch das Datum des Versicherungsbeginns.
Deswegen hat man sich in der IT vor ein paar Jahren, Jahrzehnten verzeihung, das Konzept Passwort ausgedacht, um zu sagen, das hier ist etwas... Uffpasse, nicht verraten. Wir werden sie nie auch am Telefon nicht danach fragen. Wir speichern einen Hash davon. Das ist etwas, das ist Passwort. Geheim. Wenn man natürlich nicht geheime Daten nimmt, dann passiert nämlich genau sowas. Vor allem, wenn man ein System gebaut hat, das so groß und so komplex ist, dass eine Fraunhofer eine KI damit trainiert, statt sich das selber durchzulesen. Dann sowas kommt von sowas. Also habt ihr jetzt eine EEB angefragt, hattet dann wieder alle Daten und konntet wieder drauf zugreifen.
Ja, das ist es eigentlich. Ja, genau. Und ja, das war dann wieder das, was jetzt in dieser Woche passiert ist. Wir waren natürlich da auch wieder verantwortungsbewusst, muss auch sagen, hat uns der Christoph Sauriö noch mal gut geholfen, der auch in dem Thema Telematik-Infrastruktur lange mit beschäftigt ist, schon viel mit diesem KIM-System gemacht hat, Dinge auch auf dem Kongress präsentiert hat. Und wir brauchten halt jemanden, der gerade geeigneten Zugang hatte, um zu demonstrieren, dass dort wirklich auch die Daten zurückkommen, die wir brauchen. Also das Ganze natürlich auch nochmal evaluiert, auch mit verschiedenen Krankenkassen festgestellt, dass die Krankenkassen andere lustige Implementierungen haben von dem Verfahren. Dass bei bestimmten Konnektoren man Dinge groß oder klein schreiben muss und dass die Implementierungen zwar nach Spezifikationen so und so funktionieren, aber dass die natürlich alle in der Praxis komplett unterschiedlich sind und wie halt immer so ist. Auf jeden Fall mehrere Krankenkassen, mehrere Anfragen, mehrere erfolgreiche Rückgaben von den benötigten Hashtag-Value-Informationen. Das Ganze auch nochmal demonstriert mit dem Spiegel zusammen, eine beliebige. Krankenversicherungsnummer genommen und sagen, übrigens wohnst du da und bist du seit dann bei der Krankenkasse? Oh ja, wie ist der denn das? Ach ja, wir haben da sowas gefunden. Und damit war es dann auch plausibel und bestätigt, dass das ein Problem ist. Ja, und dann sind wir wieder bei dem Thema Hallo liebes PSI, haben da so eine Meldung? Ja, und dann muss man sagen, ist schon schnell was passiert in der Reaktion. Also die Zertmeldung war am 29. Abends und dann ist über den Tag, den nächsten Tag innerhalb von weniger als 24 Stunden sind diese Endpunkte komplett abgeschaltet worden.
Aber es ist auch, also... Genau, das ist das, was als Sofortmaßnahme passieren musste, ja, weil jetzt hast du etwas zum Geheimwert oder zum Authentifizierungswert gemacht, was du an anderer Stelle bereitwillig leakst, also schaltest du dieses Leak ab, aber bei der Komplexität dieses Systems ist ja nicht ausgeschlossen, dass das an anderer Stelle auch nochmal irgendwo rausflattert, ja, also das, oder wahrscheinlich kann ich da anrufen und sagen, ich stehe hier gerade an einer Dönerbude, der will irgendwie wissen, die wissen wir nicht an, Versicherung. Also es ist, es funktioniert halt nicht. Also selbst ein Passwort wäre nicht genug, das sind noch nicht einmal welche und es ist, werde nicht müde zu betonen, ich würde nicht ausschließen, dass es ähnliche, ähnlich gelagerte Probleme weiterhin gibt und auch genau deswegen macht man sowas ja auch nicht so. Werden Sie es denn irgendwann einmal richtig machen?
Also die Grundsicherheitsarchitektur, die wir haben mit der elektronischen Patientenakte, ist ja eine, die ganz bewusst von einer Indoor-Ende-zu-Ende-Verschlüsseln-Akte wegging zu, wir machen jetzt Confidential Computing und Clouds-Verschlüsseln und sowas. Das heißt, inhärent ist in dieser Architektur, unabhängig davon, ob man etwas richtig macht, man kann es immer noch falsch implementieren und irgendwelche Fehler einbauen, ist der Impact von diesen Fehlern, die passieren, einfach immer immens. Der ist immer im Millionenbereich, wenn irgendwas da nicht richtig funktioniert, unabhängig davon, ob man es jetzt richtig macht. Das ist das, was man dazu sagen muss, diese eigentlich unsere gemeinsame öffentliche Infrastruktur, digitale Art, ist so gebaut, dass sie extreme Risiken erzeugt. Das war vorher besser. Obwohl die E-Parte halt nicht wirklich genutzt war, der war aber des Schadensausnahms geringer. Zu dem spezifischen Thema des Zugangs. Gibt es tatsächlich eine Lösung, die in der Spezifikation sinnvoll ist? Proof of Patient Presence heißt das System. Das heißt, dann kann man auch wirklich nachweisen, dass diese Person da irgendwie bei mir ist irgendwie. Also da fängt man dann an, irgendwie auch von der Krankenversicherungskarte den Chip zu benutzen. Aber es gibt halt dann auch modernere Methoden, um zum Beispiel mit dem Smartphone vor Ort einen QR-Code abzuscannen und zu sagen, ich bin jetzt in der Praxis zum Beispiel und kann dann einen Kanal mit dem Smartphone aufbauen um halt den Leuten auch irgendwie die Möglichkeit zu geben sich auf dem Smartphone da aufzuweisen und so weiter, dieses Verfahren setzt im Hintergrund auch irgendwie nicht mehr auf Konnektoren, sondern hat dann auch zeitgemäßes Zero Trust, Eigenschaften, also so wie man es halt heute eher macht, weil die Komplexität von Hardware halt irgendwann da auch schwierig wird. So, und das Verfahren soll kommen Anfang 2026. Ich sage deswegen soll kommen, weil wir natürlich in der Telematik-Infrastruktur, immer wieder Verzögerungen haben und wenn wir jetzt feststellen, dass die EPA dann in der Breite dann doch nicht so skaliert, dann wird man da erst wahrscheinlich daran rumdoktern, um dann vielleicht andere Dinge zu verschieben, wie es immer so läuft.
Vielleicht sollten wir nochmal beleuchten, wieso denn überhaupt diese Daten nicht Ende zu Ende verschlüsselt sind. Also es ist tatsächlich kein triviales Problem, einen solchen Datensatz zu pflegen. Er soll ja auch immer zugreifbar sein für diese Ärztinnen und Ärzte und sicherlich sind diese Daten irgendwo immer verschlüsselt gespeichert. Das ist ja immer so der wunderbare Zauberbegriff, dass irgendetwas verschlüsselt gespeichert ist, was aber alle problemlos zugreifen können. Dann bringt dir diese verschlüsselte Speicherung nichts. Was sind die Gründe? Also das naheliegendste wäre, man verschlüsselt die Daten so, dass sie nur mit der Karte zu entschlüsseln sind. Dann hast aber das Problem, hier soll ja eine Zugriffsberechtigung delegiert werden können, nämlich an Ärztinnen und Ärzte. Also musst du so oder so irgendwie die Krypto-Keys mal rausgeben. Ja.
Also die Gründe dafür, warum man das System genau in diese Richtung gebaut hat, haben mit zwei Dingen zu tun primär. Das Thema ist eine Opt-out-EPA. Das heißt... Wenn ich jetzt eine Ende-zu-Ende-verschlüsselte EPA hätte, dann ist ja immer die Sache, idealerweise wird an dem Ende jeweils exklusiv Schlüssel generiert, damit wir wirklich unter exklusiver Hoheit der jeweiligen Enden sind. So, jetzt haben wir das Szenario, dass wir natürlich jetzt allen Menschen in der Bundesrepublik eine EPA angedeihen wollen. Und dann können wir jetzt nicht anfangen zu sagen, übrigens, ja, ihr kriegt jetzt alle eine E-Paar, ihr müsst bitte irgendwie noch ein Kryptomaterial würfeln und das ist natürlich ein bisschen schwierig, wenn man das sauber machen wollte. Also hat man gesagt, okay, das ist eine Ende-zu-Ende-Nummer, die wir anders machen, eine Opt-out-E-Paar, wir legen die irgendwie in so Confidential-Cloud-Dinge, und halten die halt vor und machen dann noch Zugangsberechtigungen, die wir dazu haben und wir können dann entspannter, sagen wir mal, Leuten irgendwie das managen. Das ist das Erste. Es ist mit Opt-Out halt gekommen, um zu sagen, wir brauchen jetzt irgendwie ganz schnell irgendwie handhabbar viel, viel Dinge auf einmal.
Weil noch kein Schlüsselmaterial auf den Karten drauf ist oder was? Weil ich meine bei den, also es gibt ja Beispiele von, wo mir ein Schlüsselmaterial zugeteilt wird, von dem ich auch jetzt nicht unbedingt Opt-Outen kann. Doch, genau, wo ich auch eine Opt-Out-Lösung habe und werde elektronische Personalausweis, neue Personalausweis, Das heißt ja nicht mehr Epa.
Nee, also das Material gibt es. Aber ich glaube, was man nicht wollte, ist, dass man so Szenarien hat, wie okay, wenn du jetzt deine Epa nutzen willst, musst du erst irgendwie vor Ort mit dem Smartphone, irgendwie mit deiner EGK irgendwas initialisieren. Sondern man wollte halt sagen, okay, guck mal, ist in dem Moment schon verfügbar. Wenn du in die Praxis kommst, ist sie schon da.
Das ist ein technischer Grund, der noch halbwegs plausibel ist und ich meine der andere politische Grund ist eigentlich relativ einfach. Ich sage jetzt einfach KI. Deswegen war halt medizinische Forschung. Der Gedanke ist auch ganz offensiv gewesen zu sagen, naja gut, wir brauchen das irgendwie besser in Massen zugreifbar für Forschung. Jetzt ist Ende-zu-Ende-Verschlüsselung und Datenaggregieren nicht so ganz trivial. Also machen wir es anders. Wir bauen es in zentralisierte Clouds, wo wir mit Zugangsbefugungen dann einfacher auch große Datenmengen zusammenführen können, was tatsächlich auch dann passiert mit dem Forschungsdatenzentrum Gesundheit, wo diese Daten aus den e-Pass pseudonym, das ist auch immer komplett wichtig, dass das pseudonym ist. Das heißt, jemand kriegt halt einen gewürfelten Identifier von einer sogenannten Vertrauensstelle, aber diese Gesundheitsdaten sind in ihren Datenwerten und auch damit der individuellen Datensignatur immer noch nachvollziehbar. Auch wenn da mein Name nicht mehr dran steht, ist es relativ klar, dass ein gewisses medizinisches Profil die und die Person sein wird. Und die werden aber halt jetzt massenhaft tatsächlich auch in Vorbereitung, das läuft noch nicht, aber das wird 2026 kommen, Richtung Forschungsdatenzentrum transferiert. Und weil man das relativ häufig und in großen Massen machen möchte, hat man gesagt, man setzt eine andere Art von Verschlüsselung auf eher Cloud-Ebene ein und spart sich diesen Ende-zu-Ende-Gedanken etwas, weil das halt viel Interaktion mit Leuten ist.
Er wäre natürlich auch, also was dann natürlich auch nochmal eine Rolle spielen würde bei so einer richtigen Ende-zu-Ende-Verschlüsselung, wenn es jetzt wirklich auf dem Schlüsselmaterial der Karte basieren lässt, Kartenverlust wird ein größeres Problem und ich glaube so ein Kartenverlust findet wahrscheinlich mehrmals am Tag statt. Das heißt, du brauchst irgendeine Recovery-Lösung, die zumindest den tatsächlich dann genutzten Schlüssel irgendwie wieder von deiner, dass das auf jeden Fall nicht der ist, den du auf der Karte hast. Aber dafür könntest du ja eigentlich einfach jede Datei, die da drin liegt, symmetrisch verschlüsseln und das wieder an, Ärztinnen, Ärzte und so weiter. Okay, da gehen wir jetzt ins Detail. Aber letztendlich ist es so, dass ich richtig verstanden habe, dass es letztendlich eigentlich immer Zugriff auf alle diese Daten geben kann, aus der dünnen Luft also mit anderen Worten, sie sind nicht, wirksam verschlüsselt, es gibt keine Möglichkeit dass ich durch Zerstörung einer Karte, wirklich sicherstellen kann, dass diese Daten nicht mehr zugreifbar sind. Es ist so tragisch also ich muss wirklich sagen Bianca, ich finde das so tragisch dass, Man kann ja dann, man kann vielleicht über diejenigen Länder lachen, die dann vielleicht irgendwie schnell in so eine Digitalisierung rein stolpern, auf dem Weg lächerliche Fehler machen und die Sachen dann irgendwie, wenn man sagt, guck mal hier, das hast du davon, dass du Early Adopter bist, jetzt hast du das Problem oder so. Aber dann das Land zu sein, was halt wirklich mit einer absoluten Behäbigkeit hinterher trottet und dann irgendwie gegen alles, was andere Menschen auf dem Weg dahin mit dem Absichern sehr viel kleinerer Risiken gelernt haben, irgendwie blasiert zu ignorieren und mit so einem Mist anzutreten. Oder mit so Schwielen an der Stirn Gesundheitsrisiken zu induzieren. Für mich ist das wirklich sehr, sehr, sehr bedauerlich. Also ich kann es nicht anders sagen. Ich muss da auch wirklich sagen, mir tut da ernsthaft, unpopular opinion vielleicht, der Karl Lauterbach auch leid. Weil der sich nun wirklich, also ich weiß nicht, wie dein Eindruck war, widersprich mir gerne. Ich habe schon den Eindruck, dass der sich für einen Minister... Dann doch sehr in die Sachen reingefuchst hat. Wenn man dann mal von Kryptoschlüsseln redet, dann sagt er so, ja, natürlich wäre das mit RSA. Man merkt schon gut, aber er hat weitergelesen, weil wir haben sicherlich nicht RSA empfohlen. Da ist doch so ein bisschen Kompetenz durchgeleuchtet. Nicht Kompetenz, also der kann Engagement sich in das Thema reinzufuchsen.
Ja, nee, also ich glaube in der Genese, also zur Person von Karl-Heart aber von seiner Digitalkompetenz, nennen wir es mal so. Ich glaube ja schon von allen Ministern, mit denen ich, oder Ministern, Staatssekretär oder was auch immer, ich habe ja so ein bisschen Kontakt jetzt zu der ganzen Bubble, sowohl in Verwaltung als auch in Gesundheit, Interesse dafür hat. Das Problem ist aber auch, er ist halt eine Person, die ist gleichzeitig auch ein bisschen getrieben von diesem A-Modus, Dinge zu vollenden, die er seit 20 Jahren vor sich her schiebt. Also auch unter Ulla Schmidt, so, ja, das machen wir schon seit 20 Jahren, es muss jetzt irgendwann mal in den Start gehen. Und die gefährliche Kombination mit dem dem KI Forschungstrend, der gerade passiert, der dazu sagt halt, Ich meine es ja an Supervised Learning auf massenhafte Daten und er kann dann irgendwie Krankheiten erkennen, was wissenschaftlich auch kompletter Humbug ist, aber was gerade so der, nennen wir es mal Vibe, im Gesundheitsministerium ist.
Was ja auch naheliegend oder erklärbar ist, weil der Mann ist ja Epidemiologe und er hat ja seine komplette Wissenschaftlerkarriere davon geträumt, massenhafte Daten explorativ zur Verfügung zu haben. Ich meine, es ist schon verständlich, dass er Überzeugungstäter ist. Weil der Mann, wie alt wird der sein, irgendwo über 50, das heißt mindestens 30 Jahre leidet der in seiner wissenschaftlichen Disziplin am Ende immer unter Datenmangel. Oder?
Zu Hause, ja. Also ich kann das ja beruflich nachvollziehen. Ich meine, ich versuche Gesundheitsämter und Software zu entwickeln, weil die haben ja genau das gleiche Problem mit Pandemie gemerkt. Aber auf der anderen Seite ist halt die Art und Weise, wie du so Systeme baust, auch die hat ein Menschenbild in gewisser Weise inhärent inne. Da ist ein System, was einfach nur massenhaft Daten abgreift, aber sich nicht um die Risiken schert. Es ist kein System für, keine EPA für alle, sondern eigentlich eine EPA gegen alle. Und das ist halt das Schlimme eigentlich. Das ist eine Opt-out-EPA mit der Sicherheitsarchitektur und diesen handwerklichen Mängeln, die sich auch wiederholen. Und da kommt nicht das Menschenbild raus, wir versuchen ein System für Menschen zu bauen, sondern wir versuchen ein System zu bauen, was einfach Daten abgreift. Und das ist bei einem Gesundheitssystem fatal eigentlich. Was wir brauchen, ist ein System, was Menschen das Gefühl gibt, befähigt zu werden, im Gesundheitswesen digital zu interagieren und dann auch vertraulich sichern und was auch immer. Aber auch meiner Meinung nach gerne eine Forschung, Daten zur Verfügung zu stellen oder irgendwie verteilte Berechnungen durchzuführen, whatever. Aber das haben wir ja nicht, sondern wir wollten politisch gesehen und da ist Karl Lauterbach auch ganz maßgeblich schnell in die Größe kommen, dort explodativ irgendwas zu machen auf der gesamten Bevölkerung und dann irgendwie. Mit strahlenden Augen zu sagen, ich habe Krankheiten herausgefunden, Zusammenhänge oder sonstige Dinge und guck mal, wie schnell ich das gemacht habe. Da ging es nicht um Qualitäts, dann ging es um massives nach oben skalieren in kurzer Zeit. Das ist ein Problem.
Wie lässt sich denn das jetzt vielleicht retten alles? Ich meine, wir sind ja immer schnell so, warum das alles kaputt ist und so und am Ende wollen wir ja eigentlich alles irgendwie funktioniert, dass wir nicht Digitalisierung haben, sondern Digitalisierung. Hast du da irgendwie eine Perspektive, wie man jetzt das Schiff dann noch gedreht bekommt?
Also eigentlich sind wir von diesem Architekturgedanken, müssten wir eigentlich komplett von vorne anfangen, weil diese EPA ja Themen Ende-zu-Ende-Verschlüsselung, verteilte Forschung, sonstige Themen, Notfalldatenzugriff und so weiter eigentlich falsch konstruiert ist. Weil so ein Gesundheitssystem hat ja mehr oder weniger drei wichtige Eigenschaften. Notfalldaten, das ist etwas, wo du sagst, ja, das muss immer funktionieren, auch wenn das Smartphone abbraucht und sonst irgendwie.
Das ist eher so, okay, hast du vielleicht noch eine Karte, wo es auf der Karte ist, physikalisch gesehen? Hat man aber nicht gemacht, sondern man sagt jetzt nur, voll Daten müssen in die Cloud. Weiß nicht, ob das eine gute Idee ist. Dann hat man halt einen normalen Versorgungskontext, da hat man irgendwie ganz andere Szenarien, da hat man auch eine andere Art von Möglichkeiten, die man einstellen soll. und man hat den Forschungsbereich. Und der Forschungsbereich ist ja von der Dateninteraktionsrate und wie Daten sich verändern und so weiter, etwas, was komplett anders ist wie das vorherige. Was wir aber gebaut haben, wir haben ein System gebaut für alles und das soll dann für alles super funktionieren. Und das kann halt nicht funktionieren, weil das Gesundheitswesen so unterschiedlich ist in seiner Art und Weise. Das auf der Haben-Seite, was wir haben, wir haben eigentlich. Für ein Digitalsystem in Deutschland, ich habe ein paar Ressorts im Blick, Verwaltung und Gesundheit im Digitalbereich. Wir haben dort tatsächlich konsequenterweise diesen ganzen Identitätskram, der ja sonst immer ein Pain ist, schon sehr konsequent als Basis, die wir haben. Also wir haben Identitäten auf Basis von Karten für alle Leistungsberechtigung, wir haben für alle wichtigen handelnden Personen Heilberufsausweise. Wir haben damit eine Basis, wo wir schon mal viel geschafft haben, was wir in der Verwaltung zum Beispiel nicht haben. Also Verwaltungen wären ja nicht irgendwie Behörden irgendwie sinnvoll, die haben irgendwie eigene PKIs und nicht irgendwie, das ist da vollkommen heterogen, wohingegen im Gesundheitswesen man diese Kette von den beteiligten Leuten, denen auch digitale Mittel an die Hand zu geben, sich auszuweisen, irgendwas berechtigt zu sein, die hat man eigentlich sinnvoll gemacht. Wir gehen jetzt aber halt in die Richtung, dass wir darauf Architekturen bauen, die dann wieder komisch werden und handwerklich wild und ich glaube, man muss schrittweise diese eigentlich gute Basis von, wir haben versucht, einen ganzen Sektor von 100.000 bis zu 1.000.000 Millionen Leuten digital auszuweisen, in so ein System einzubinden. Das müsste man jetzt glaube ich nochmal eine neue Komposition davon machen, die schrittweise in den Modus kommt. Das werden nicht mehr diese ja holzernen, Architekturentscheidungen und dieses handwerkliche Rumgeschnitze da irgendwie haben, was meistens immer ins Auge geht.
Ich glaube, meines Eindrucks nach hat die Gematik im Speziellen, aber vielleicht auch eher von dem, wie das Gesundheitsministerium steuert, man hat dort ein Prozessproblem, wie dieses Thema entsteht. Weil üblicherweise entstehen Spezifikationen irgendwo in irgendwelchen Gesellschafterentscheidungen bei der Gematik. Dann wird irgendwas entschieden, dann wird irgendwas entschieden, dass man es so macht, dass man es irgendwie in Klaus speichert und sonst irgendwas. Was man aber eigentlich machen müsste, man müsste halt transparent, so ähnlich wie bei der Corona-Warn-App sagen, übrigens das ist das System, was wir bauen wollen. Ihr seid alle davon betroffen, weil das ist unser Gesundheitssystem. Das ist das, was wir wollen. Wir legen den Weg dorthin transparent da und dann können alle nochmal drauf gucken und Veto einlegen und sagen hier übrigens, für die Gruppe ist es schlecht, gibt es eine andere Lösung. Wir werden dort nicht auch immer die perfekten Lösungen für alles finden. Es sind immer Aushandlungen für verschiedenen Vor- und Nachteilen. Aber bisher läuft es halt so, es gibt eine politische Entscheidung, da macht die Gematik davon irgendeine Spezifikation. Die ist dann irgendwie aus irgendwelchen Zwängen seltsam. Aber es gibt diese Zwänge. Die Zwänge sind aber nicht transparent. Und dann kommt halt das handwerkliche Rumgeeier von der ganzen nachgeleiteten Kette von Unternehmen, die daran rumdoktern, weil woran wir immer diese Mängel sehen, ist tatsächlich, wir lesen Spezifikationen und gucken ein paar Endpunkte, wie die eigentlich implementiert sind und schauen halt dann an, was dann so von dieser Theorien-Spezifikation in der Praxis nutzbar ist, irgendwas kaputt zu machen. Das heißt nicht, dass wir in alle Software-Konstellationen in Krankenkassen reingucken, sondern wirklich nur in diese Linie, die uns irgendwie öffentlich verfügbar ist.
Ja, also ich glaube, es ist nicht alles schlecht, was sich jetzt auftut an neuen Dingen, also dieses, Thema mit Proof of Patience ist schon solide, auch was Digimati Richtung Zero Trust und so weiter macht an Konzepten, ist für die Größe, glaube ich, im Konzept grundsätzlich gut angelegt, man muss aber halt jetzt überlegen, was man bisher in der Art und Weise gemacht hat, was man nicht so weiter tun kann und das ist, glaube ich, das Problem. Die Veränderung zu sagen, nee, sorry, das haben wir das letzte Mal schon komplett gegen die Wand gefahren, das können wir nicht wieder so machen.
Aber wenn jetzt die richtigen Maßnahmen, TM, eingeführt werden, wie schnell könnte man quasi auch aus dem, was man jetzt hat, ein akzeptables, betreibbares System bauen, was auch irgendwie, wo man sagen kann, so ja, ist nicht optimal, aber passt jetzt erstmal und bietet vielleicht auch einen Weg an, wo man jetzt über einen Parallelbetrieb in ein, zwei Jahren vielleicht zu einem Modell hinkommen kann, wo die Dinge, die entkoppelt gehören, auch entkoppelt sind und dann geht alles in die richtige Richtung.
Also die übliche Zeit, die man die man in diesem ganzen TI-Kontext braucht, um auch nur kleinere Änderungen durchzukriegen, sind wir sechs Monate und drunter geht eigentlich kaum. Und das heißt, wenn man jetzt akzeptabel größere Baustellen umbauen möchte, ist man im Bereich von Jahren. Also ich glaube, unter zwei Jahren sind so größere Veränderungen nicht durchzuführen. Und da wird man auch nicht alles auf einmal einreißen können, sondern wird schrittweise anfangen müssen, vor allem jetzt erstmal dieses Zugriffsthema irgendwie zu regeln. Ob das Thema 2026 dann schon zufriedenstellend gelöst sein wird, wissen wir nicht, weil es immer so eine Wundertüte ist. Aber mal gucken. Dann kann man so schrittweise dann halt die anderen Baustellen aufbauen und dann stellt man fest, okay, müsste man vielleicht irgendwie den Baustein, den Baustein, den Baustein machen. Man kann nicht alles gleichzeitig machen, weil es ist schon sehr, sehr viel auch ausgerollt. Und wenn man jetzt zum Beispiel an dem E-Rezept-Dienst irgendwie rumdoktet, dann ist ja plötzlich das gesamte E-Rezept in Deutschland betroffen. Das macht die Geschwindigkeit der Veränderung also langsamer. Ich glaube, eigentlich ist das, was man jetzt in die Richtung entwickelt hat, um es wirklich umzubauen, sind wir eher bei mindestens fünf Jahren.
Und jetzt reden wir ja die ganze Zeit über die deutsche Lösung, und eigentlich muss sowas ja auch in irgendeiner Form europäisch mindestens europäisch gedacht werden weil man geht ja man ist ja auch mal im Urlaub und dann geht man auch mal woanders zum Arzt und so ist eigentlich in irgendeiner Form hier schon eine Interoperabilität, eine europäische oder gar internationale Perspektive an irgendeiner Stelle verankert?
Ja, das ist tatsächlich verankert, tatsächlich auch gesetzlich europäisch verabschiedet. Es gibt den europäischen Gesundheitsdatenraum, IHDS, European Health Data Space, der auch tatsächlich das als Ziel hat, der natürlich auch bestimmte problematische Dinge hat, wie Datennutzung für wen auch immer, Big Tech und sonst was ermöglicht. Aber der auch zum Ziel auch diese Interoperabilität hat, wo man dann sagt, okay, guck mal, wenn ich jetzt in Spanien ein Rezept einlöse, das elektronisch, dann muss es auch in Deutschland funktionieren, wenn ich in die Apotheke gehe. Der IHDS als solches ist jetzt in dieser gesetzlichen Formulierung durch. Jetzt kommen diese ganzen technischen Spezifizifikationen, die meistens in einem Zeitraum von zwei Jahren umgesetzt werden. Und dann, Ja, ist aber da immer die Schwierigkeit, wenn du ein Gesundheitssystem hast, was bei dir im Land noch gerade im Wandel ist und was du dann noch irgendwie in europäische Interoperabilität reinkriegen musst, ist halt noch mehr Stress auf dem System, um Veränderungen reinzukriegen. Da werden zwar Dinge vorbereitet, aber ich glaube, da wird es auch noch Veränderungen brauchen, um irgendwas interoperabil europäisch zu machen und das ist halt in kurzer Zeit viel Veränderung, die nicht unbedingt gut ist für etwas, was nicht stabil läuft.
Nicht zu verwechseln mit der Sammelbezeichnung für eine Gruppe von Sexualpräferenzen, die oft unschärfer auch als Sadomasochismus bezeichnet werden. Das mehrschichtige Akronym wird aus den Anfangsbuchstaben der englischen Bezeichnung für Bundesministerium, Digitalisierung und Staatsmodernisierung gewählt. Nein, Bondage, Discipline, Dominance and Submission. Und das ist doch wunderbar, das passt doch absolut.
Naja, also die voraussichtliche Besetzung dieses neuen Postens ist Carsten Wildberger. Haben wir wahrscheinlich alle noch nie gehört. Seines Zeichens Physiker, war dann irgendwie Wirtschaftsberater unterschiedlichen Organisationen und ist halt auch im CDU-Wirtschaftsrat vertreten, der ja, anders als der Name vielleicht implizieren mag, keine Organisation der CDU ist, sondern so eine Art Lobbyverein, der mehr oder weniger so die Wirtschaftsvertreter zusammen beruft und wird dann so rumlobbyiert. Aber es ist jetzt nicht wirklich ein Gremium der Partei. Da war er dann Vizepräsident, hat glaube ich März sogar in dieser Rolle abgelöst. Und ist aktuell noch Vorstandsvorsitzender von Seekonomy, was ich noch nie gehört habe. Hast du das schon mal gehört?
Im Prinzip ist das der Rapper um eine deutsche Technikberatung und die Media Markt Saturn Gruppe, deren Geschäftsführer er auch ist. Also das ist sozusagen aus dem Einzelhandel jetzt. Die haben auch so Online-Shops und Apps und so. Da ist also auf jeden Fall schon mal was passiert. Ja, laut Netzpolitik.org waren seine bemerkenswertesten politischen Vorschläge, die er bisher im Rahmen seiner Lobby-Tätigkeit gemacht hat, die Sonntagsöffnung von Läden und eine Abwrackprämie für Elektrogeräte. Wo man vielleicht auch noch drüber diskutieren kann. Ich meine, Energie, Ökonomie, bla bla bla und so weiter.
Auf jeden Fall sorgt er sich um die geschundene Wirtschaft, die sonntags nicht aufmachen kann und die irgendwie Probleme hat, ihre Elektrogeräte an den Mann zu bringen oder die Frau. Naja, gut, vielleicht ist er ja ein kluger Kerl, was natürlich ein Problem sein wird, ist wie immer, wenn du ein komplett neues Digital, also überhaupt ein neues Ministerium erstmal hochziehen musst, dann brauchst du natürlich eine Verwaltung. Also du musst ja im Prinzip die ganze, nicht nur im Prinzip, sondern auch ganz konkret musst du da überhaupt erstmal Leute hinkriegen, die brauchen einen Ort, die müssen sich irgendwie etablieren, die müssen sich ihre Regeln schreiben. Also das wird wahrscheinlich einfach erstmal ein, zwei Jahre dauern, bis überhaupt dieser Apparat steht, wenn überhaupt, keine Ahnung, was da so die typischen Erfahrungen bisher sind. Aber davon ist natürlich auf jeden Fall auszugehen und dann wird natürlich auch dieses ganze Zuständigkeits-Hickhack losgehen mit, okay, wofür bist du denn jetzt eigentlich zuständig und was muss jetzt das Innenministerium abgeben, was muss das Wirtschaftsministerium abgeben, was muss das Verkehrsministerium abgeben. Alles ja so Player, die bisher in irgendeiner Form versucht haben, da mitzuspielen. Und was aus meiner Warte bisher auch noch vollkommen unklar ist, ist, was hat sozusagen dieses Digitalministerium nicht nur für Zuständigkeit, sondern auch für Eingriffsmöglichkeiten. Wir haben ja schon darüber gesprochen, dass es ja vielleicht so eine Art Digitalvorbehalt geben sollte, sprich so wie ein Finanzministerium anderen Ministerien sagen kann, so ja, schöne Pläne habt ihr da, aber Kohle ist nicht dafür da. Müsste im Prinzip ja auch so ein Digitalministerium sagen können, hier wir haben ja so eine bundesweite, vielleicht eben auch europäische Digitalstrategie, die hat die und die Anforderungen. Wir wollen sicherstellen, dass wir eben nicht nur so eine Ansammlung von singulären Digitallösungen haben für dieses und für jenes und nichts arbeitet mit irgendwas anderem zusammen und wir haben 31 Millionen verschiedene Authentication-Systeme und Zugangskarten und was weiß ich noch alles, Infrastrukturen, APIs, die vielleicht nach unterschiedlichen Prinzipien funktionieren, sondern wir wollen ja eigentlich eher die Digitalisierung des Staates, hier heißt es ja auch Staatsmodernisierung und jeder, der sich ein bisschen mit Digitalisierung mal beschäftigt hat, weiß, das ist halt sehr wichtig, dass man einfach in gewisser Hinsicht auch eine Wiedererkennbarkeit hat, dass da auch so ein Lerneffekt eintritt, so nach dem Motto, ich weiß, wie ich hier irgendwie mit dem Verkehrsministerium meine Daten abrufe, dann kann ich wahrscheinlich auch beim Wirtschaftsministerium mehr oder weniger im selben, also nicht vollständig identisch, aber zumindest in derselben Denkweise da rangehen. Und das sind alles diese Dinge, die diese Person und dieses Digitalministerium im Prinzip einführen müsste. Ja, mal gucken, was er mit seinem Mediamarktwissen da einbringen kann.
Also ich meine, die, Es ist ja, also ich finde es jetzt nicht so blöd, zu sagen, lass uns mal jemanden aus der Wirtschaft nehmen, der noch nicht durch dieses ganze Ministeriums- und Verwaltungsgedöns ruiniert wurde und das alles völlig normal findet, sondern der wahrscheinlich einfach, sobald der Erste irgendwie anfängt mit irgendeiner dummen Scheiße was zu blockieren, einfach den anschreit und schlägt. Ja, und das wäre vielleicht erstmal so, das wäre Hoffnung, dass wir da irgendwie jemanden, der noch nicht weiß oder der vielleicht noch nicht am eigenen Leib erfahren hat und noch nicht zerrieben wurde darin, wie man alles kaputt macht, sondern jemand, der sein Leben unter einem Leistungsdruck verbracht hat oder damit verbracht hat, anderen Leuten Leistungsdruck zu machen, damit sie Geld verdienen.
Nein, also irgendetwas, also naja, immerhin also aber ich, ich mag du hast recht, das kann in die andere Richtung auch sehr schief gehen das kann in die andere Richtung sehr schief gehen aber in die Richtung, in die wir gerade galoppieren geht es gerade schon schief, vielleicht können wir jetzt mal eine andere Richtung nehmen.
In der es schief geht Ja, mal kurz, ja okay vielleicht, ich weiß nicht, Anke Domscheit-Berg meint irgendwie, mit Wirtschaftsdenke kommt man, in dem System nicht weit, weil man eben nicht so aus einem singulären Interessen Ding von oben herab einfach mal was rein diktieren kann, sondern man muss halt im Verwaltungskontext und im politischen Kontext halt schon irgendwie auch einen Blick für alles haben.
Ich meine am Ende wird es eine Stilfrage sein und da muss man halt einfach die richtigen Skills an den Start bringen. Ich meine generell denke ich, ein bisschen Erfahrung zu haben mit einem konkreten Digitalaufbau, das ist ja durchaus etwas, was jetzt gerade diese Läden mit Online und so weiter, Zugänge, Betrieb von Infrastrukturen und so, das steckt da jetzt drin. Ob die Person da jetzt die richtige ist, das werden wir sehen, keine Ahnung.
Du immerhin nicht Jens Spahn. Ja. Alexander Dobrindt soll Innenminister werden. Also wir haben hier eine CSU, geführtes Innenministerium. What could possibly go wrong? Und er war ja der erste deutsche digitale Infrastrukturminister im Verkehrsministerium. Das hat ja auch schon super funktioniert. Ich weiß gar nicht, was du hast. Ist doch geil. Endlich mal jemand mit Erfahrung. Linus. Ich kann da nicht sehr viel zu sagen. Also ich meine, das ist halt, wir haben ja hier alle CDU, CSU, Rans eigentlich schon gebracht und die müssen halt jetzt liefern. So und normalerweise ist es halt so, wie heißt es so schön Konservative wehren sich so lange gegen die Realität bis es sich nicht mehr vermeiden lässt so und in dem Zusammenhang heißt es einfach jetzt wait and see, also ob die jetzt wieder in so einen, Ablehnungsmoment reingehen ich meine das Bemerkenswerte an Merz ist ja wahrscheinlich so der erste, Bundeskanzler der schon vor seinem Amtsantritt im Prinzip sämtliche Wahlversprechen vorher abgelegt hat. Und nachdem er die Wahl gewonnen hat, so wie der Habeck das will, das machen wir auf gar keinen Fall. Wir machen das jetzt alle rückgängig. Und jetzt ist schon vorher klar, dass alles genauso gemacht wird, wie Habeck das eigentlich gesagt hat. So Staatsverschuldung und ich werde auch dieses Heizungsgesetz nicht zurücknehmen, weil wir werden es ja wahnsinnig so, weil das sind alles so Realitäten, gegen die kann man jetzt eigentlich gar nicht mehr ankämpfen, das kann sich ein Trump noch leisten, gut, aber ich kann mir durchaus vorstellen, dass Herr Dobrindt sagt, hier holt mal Bier, irgendwas kriegen wir schon noch zurückgedreht keine Ahnung Schauen.
Wir uns mal kurz zu Dobrindt an, der ist ja immer der Kontroversen- und Kritik-Anteil in der Wikipedia, spannend, ja, ähm. Dobrindt versuchte Einflussnahme auf das ZDF-Programm zu nehmen im Rahmen der Medienaffäre der CSU. Der hat Volker Beck als Vorsitzenden der Pädophilen AG bei den Grünen bezeichnet. Er hat verhindert, dass eine Sammelklage im Rahmen des VW-Abgangsskandals durchkam oder sich dagegen engagiert. Er hat das Unwort des Jahres 2018 geprägt, nämlich die Anti-Abschiebe-Industrie. Wir kennen ja die Milliardenindustrie in Deutschland. Und er hat die Klimakaoten vor den Klimakaoten gewandt, die jetzt bald zu Klima-Raff werden. Also da weißt du woher der, also ungefähr, das sind ja jetzt nur so Sachen, die er sagt, aber natürlich hat er, das ist jetzt kein progressiver Mensch, der für irgendwie eine Rolle sieht im sinnvollen Schutz einer sich weiterentwickelnden Gesellschaft.
Dann gibt es sehr viele Diskussionen um den Wolfgang Weimar, den Kulturstaatsminister. Also auch ein irgendwie erzkonservativer, der irgendwie Cicero gegründet hat, Chefredakteur bei Welt und Fokus war. Also Fokus ist ja auch so ein wirklich sehr anstrengendes Magazin. Ja, Erstaunlich viele, wo ich noch nicht so viel Bezug zu habe. Es ist eine sehr interessante Auswahl. Und ich glaube, wer ja dann unter dem, wer im BDSM arbeiten wird, ist ja dann Philipp Amthor.
Jaja, das ist ein Risiko. Also da ist Kompetenz. Der steht im Verdacht zumindest inhaltlich kompetent zu sein. Insofern bin ich da, Ich finde es jetzt auch schwierig, außer jetzt bei so völlig offensichtlichen Leuten mit einer langen Historie, wie jetzt irgendwie Dobrindt oder Doro Bär, Personalien zu beurteilen. Und bin mal sehr gespannt.
Ja, danke für dein Engagement in dem Bereich. Lass uns noch kurz erwähnen, also viel drüber gesprochen, du hast die Namen auch erwähnt, Martin Schiersig, mit dem hast du das meistens zusammen gemacht und jetzt dieses zweite Ding, Christoph Saathjohann. Also ihr drei habt das da jetzt so in eurer Freizeit mal so ein bisschen gemacht, was sehr unwahrscheinlich war. Und man kann dir folgen im Internet. Fili, links haben wir alle deine Kolumne bei Netzpolitik unter dem wunderschönen Titel Digitalisierung. Und das uns eingangs erzählt, dass der Titel ist richtig gut. Da bin ich ein bisschen neidisch. Und dann kommen Leute und sagen, er hat mich vertippt. Digitalisierung finde ich enorm gut. Also das werden wir auch in den Sprachgebrauch aufnehmen, diesen Begriff.