# Pentaradio vom 28. Januar 2025 # Titel: "Digitalisierung mit der Brechstange" Mit Simon und Xyrill. Das letzte Jahr endete mit einem Paukenschlag: katastrophale Sicherheitslücken in der elektronischen Patientenakte (ePA). Doch das Gesundheitsministerium hält am Start zum 15. Februar fest. Sollte man jetzt widersprechen? Außerdem die News des Januar zu Technik und Gesellschaft. Auf Basis der Livesendung vom 28. Januar 2025. ## Feedback Xyrill hat im Namen des Pentaradio physische Post von Till erhalten. Außerdem diverse Einsendungen in chronologischer Folge des Eingangs. Kuchenmampfer schreibt zu Datensouveränität: > Moin, erstmal vielen Dank für das Pentaradio. Das ist glaube ich inzwischen mein Lieblingspodcast :) > Der Spendenaufforderung bin ich schon gefolgt, jetzt möchte ich hiermit auch noch Moles Emailaufforderung nachkommen: > > Ich hoste mir alle möglichen Dienste und biete die grundsätzlich auch Bekannten zur Mitnutzung an. Hier besteht aber nur Bedarf nach Nextcloud und Matrix, weil alles andere gefühlt einfach niemand außerhalb der Nerdbubble auf dem Schirm hat. Meine Nextcloud nutzen wir auch in einem Verein, in dem ich tätig bin, dort habe ich 13 unterschiedliche Nutzer, auf Matrix sind es fünf. Dominic schickt einen Themenvorschlag: > \[Ich] würde gern mal zu euch in die Sendung kommen, kann aber warscheinlich nicht so viel zu den Themen sagen, da ich im Vergleich zu euch nicht in der Materie stecke sonder an der Kruste kratze... > > Als Thema ist ja auch mal ganz interresant: Digitales Erbe > > Was passiert mit meinen Daten und Accounts nach mir? Wer darf das löschen und was kann ich vorher schon regeln, etc.? > > Macht weiter so und vielen Dank für eure Arbeit. :) > > P.s. Den Schlüsseltechnologiepodcast suchte ich gerade durch. ;) Zu digitalem Erbe hat Xyrill letztes Jahr eine [Sendung beim MDR](https://www.mdr.de/sachsenradio/audio-2567244.html) gemacht. Ist aber nur noch bis 23. Februar verfügbar wegen der vermaledeiten Depublizierung. Till versucht sich an unserer Ontologie-Herausforderung: > Jungs, > > ein Loch ist wirklich nicht schwierig zu definieren: es ist ein mentales Hilfskonstrukt, um die Abwesenheit von etwas Erwartetem zu benennen. Das Erwartete kann dabei fieserweise einerseits eine Kontinuität bezeichnen, also das Loch als Lücke (physisch im Pullover, abstrakt im Bundeshaushalt), andererseits den Aspekt des Funktionalen annehmen: die Öffnung einer Schraubenmutter ist an der Übergangsfläche mit Gewinde versehen, um die Schraube aufzunehmen. Erst ihre Löcher machen Fallschirm oder Nähnadel zum zweckmäßigen Werkzeug. Die Tiefe eines Lochs ist ebenso unbedeutend wie die Frage, ob bei genauerem Hinsehen vielleicht doch was drin ist. > > Ihre Eigenschaft als mentales Konstrukt erlaubt es Löchern, ungewöhnliche Formen anzunehmen. Das Binger Loch zum Beispiel bezieht seinen Namen aus einer Sammlung von Eigenschaften, die der Unterkategorie "Höhle" entlehnt wurden: Dunkelheit, Enge, Gefahr. Interessant dabei, dass das Binger Loch nicht von den Bürgern von Bingen so benannt wurde, sondern von geplagten Flusschiffern, für die diese Engstelle einst die gefährlichste Passage des Rheins war. > > Kosmische Schwarze Löcher zeigen, dass es nicht einmal umliegende Materie braucht, um ein Loch auszubilden. Das Referenzmodell an dieser Stelle war soweit ich das verstanden habe die antike Idee des Mahlstroms (wieder ein nautisches Konzept, und ja, der interstellare Raum ist nicht so leer wie gedacht, aber das wusste 1967 noch niemand). > > Ein Loch, in dem man haust, zeigt als Endpunkt eines gesellschaftlichen Abstiegs die soziale Ausprägung des mentalen Konstrukts Loch, einer Abwesenheit von Hoffnung, von Bewegungsfreiheit. Es basiert wahrscheinlich auf mittelalterlichen Gefängniszellen. > > So, jetzt freudiges Falsifizieren, mit der Femtolichtsekunde winkt Euer \[Till] Marco schreibt [auf Mastodon](https://chaos.social/@pintman/113698566272855084) zum Nutzen der IHK: > Da ich beruflich damit etwas zu tun habe, kann ich vielleicht einen Nutzen nennen, der mir im beruflichen Alltag begegnet. Als Berufsschullehrer sehe ich immer wieder, wie groß der Prüfungsbereich bei der IHK ausfällt: ein großes System aus schriftlichen und praktischen Prüfungen sowie vielen ehrenamtlichen Prüfern wird dort organisiert. > > Da ist sicherlich nicht alles uneingeschränkt gut und ich will das auch nicht alles unkritisch verteidigen, aber eine gewisse Leistung wird hier sicher erbracht. > > Danke übrigens auch noch mal ansonsten für eure schöne Sendung, die ich seit langer Zeit immer wieder mit Freude höre. Christian bohrt ebenfalls die dicken Bretter: > Hallo, ich habe Euch erst vor ein paar Monaten entdeckt und das war die erste Sendung von Euch, die ich ganz durchgehört habe. Hat mir sehr gut gefallen! > > Ich will nur kurz dem Aufruf am Ende der Sendung folgen: Seit über einem Jahr betreibe ich tatsächlich für meine Freunde und Familie einen [Snikket](https://snikket.org/)-Server, um eine Alternative zu WhatsApp zu bieten. Das funktioniert technisch super. Der Netzwerkeffekt hält aber natürlich alle weiterhin in WhatsApp gefangen. Aber wenigstens mit mir und in ein zwei, drei Gruppen sind meine Freunde und Familie jetzt auch auf Snikket aktiv. Die Topologie ist leider noch eher ein Stern mit mir im Zentrum. ;-) Aber so kennen zumindest rund 30 Menschen in meinem Umfeld eine freie Alternative zu WhatsApp und Co. Immerhin! > > Grundsätzlich ist mir Freie Software sehr wichtig und ich würde mich auch gerne mehr engagieren. Habe bisher aber noch keinen passenden Zugang oder das angemessene Betätigungsfeld gefunden. Ich suche weiter. ## News - ✨KI✨: [Windows Recall greift Kreditkartendaten ab](https://www.tomshardware.com/software/windows/microsoft-recall-screenshots-credit-cards-and-social-security-numbers-even-with-the-sensitive-information-filter-enabled) - Ja, das ist genau die Sache, die wir [letzten Monat](https://c3d2.de/news/pentaradio24-20241224.html) vorhergesagt haben. - ✨KI✨: [Apple "Intelligence" formuliert Spam-Mails um, sodass sie legitim aussehen](https://pivot-to-ai.com/2025/01/09/apples-ai-helpfully-rewords-scam-messages-to-make-them-look-legitimate/) - weitere ✨KI✨-Fails des Monats im Schnelldurchlauf: [Chatbot schlägt zum Umgehen von Bildschirmzeit-Limits die Ermordung der Eltern vor](https://text.npr.org/nx-s1-5222574), und [OpenAI Sora braucht noch etwas Nacharbeit](https://arstechnica.com/information-technology/2024/12/twirling-body-horror-in-gymnastics-video-exposes-ais-flaws/) - [Firefox 135 entfernt Support für DNT (Do-Not-Track-Header)](https://arstechnica.com/gadgets/2024/12/firefox-one-of-the-first-do-not-track-supporters-no-longer-offers-it/) - [Wenn man nichts bezahlt, ist man nicht der Kunde, sondern das Produkt (VPN-Edition)](https://arstechnica.com/security/2024/12/vpn-used-for-vr-game-cheat-sells-access-to-your-home-network/) - Xyrill erinnert an seine Lektion aus [STP048](https://xyrillian.de/noises/stp/048-vertrauen/): "Vertrauen lässt sich nicht eliminieren, nur verschieben." - apropos Vertrauen: [Bing hat sich als Google ausgegeben](https://www.golem.de/news/wechsel-nicht-erwuenscht-microsoft-taeuscht-bing-nutzer-mit-fake-google-suchmaske-2501-192174.html) - Verkehrsupdate: [Dresden will ÖPNV kürzen](https://www.dvb.de/-/media/files/download/lnp_angebotsreduzierung_04_2025_pdf.pdf); [Petition dagegen bis 28.2. zeichenbar](https://www.dresden.de/de/leben/gesellschaft/buergebeteiligung/epetition.php?extForwardUrl=https%3A//apps.dresden.de/ords/f%3Fp%3D1610%3A3%3A%3A%3ANO%3A%3AP3_P_ID%3A23599) - Anlass: Bund und Land werden den Wiederaufbau der Carolabrücke [wohl nicht finanziell unterstützen](https://www.mdr.de/nachrichten/sachsen/dresden/dresden-radebeul/carolabruecke-geld-absage-millionen-schulden-habeck-100.html) - siehe [Pentaradio vom Dezember 2021 zu Mobilität](https://c3d2.de/news/pentaradio24-20211228.html) - im Gespräch erwähnt: [Reichsbrücke Wien](https://de.wikipedia.org/wiki/Reichsbr%C3%BCcke), [Brückenbeschädigung in Norwegen 2022](https://en.wikipedia.org/wiki/European_route_E6#Badderen_bridge_washed_away), [Eröffnung der Behelfsbrücke 9 Tage später](https://www.nrk.no/nyheter/badderen-bru-apnet-for-trafikk-1.15994125) - Aufruf: 2025 ist beim C3D2 das 20. Jubiläum - Die Gründung unseres Erfa war am 28. Dezember 2004 auf dem 21C3. Im August 2005 wurde dann der Netzbiotop Dresden e.V. gegründet. - Anlässlich des Jubiläums möchten wir feiern; Einladungen gehen diese Woche raus. - Sofern von den Zuhörern "alte Hasen/-innen" des C3D2 dabei sind, die noch keine Einladung erhalten haben, meldet Euch bitte per Mail. ## Musik - ["Tech and Health", Becouse Heart (2023)](https://freemusicarchive.org/music/becouse-heart/depth/tech-and-health/) - ["The Organization of Society and the Conditions of Health & Safety", Pulse Burst (2023)](https://freemusicarchive.org/music/pulse-burst/single/the-organization-of-society-and-the-conditions-of-health-safety/) ## Debatte Es sieht danach aus, dass "Agentic AI" ("agentische KI") eines der Buzzwords für 2025 wird. In dem Zusammenhang möchte Xyrill an folgendes Zitat erinnern und die ethische Motivation des Strafrechts erklären. > A computer can never be held accountable. Therefore a computer must never make a management decision. > > *Ein Computer kann nie zur Verantwortung gezogen werden. Deswegen darf ein Computer nie eine Management-Entscheidung treffen.* > > -- Folie aus einer internen IBM-Präsentation von 1979; [Informationen zur Provenienz](https://werd.io/2024/a-computer-can-never-be-held-accountable) ## Thema: Elektronische Patientenakte Ab Beginn diesen Jahres werden für alle Krankenversicherten in Dtl. elektronische Patientenakten angelegt: - ab 15. Januar teilweise in Testregionen (Hamburg, Franken, Teile von NRW), ab 15. Februar flächendeckend und bundesweit - [BMG wirbt offensiv mit Plakatkampagnen für epa-vorteile.de](https://epa-vorteile.de) - Krankenkassen müssen mit Briefen über die Opt-Out-Möglichkeit informieren (haben nach Buschfunk nicht alle gemacht) Xyrill hat so ein Schreiben bekommen: - allgemeiner Ton von "das ist alles voll geil; sie müssten schon ein ziemlicher Trottel sein, um dem zu widersprechen, aber hier können sie widersprechen" - Widerspruch auf einem Level mit Telefonvertragskündigung, mit einer perfekten Kombi aus Digitalzwang und Analogzwang: Formular im Internet runterladen und ausfüllen, aber dann per Post einschicken - Service-Link: [FAQ zum Widerspruch bei Netzpolitik.org](https://netzpolitik.org/2025/faq-wie-widerspreche-ich-der-elektronischen-patientenakte/) Und dann war da [dieser eine 38C3-Vortrag neulich](https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle) von Martin Tschirsich und Bettina Kastl: - bereits vorher mehrere Angriffe mit überschaubarem Aufwand (von ca. 1 Tag bis 1 Woche mit 1 Person) und produktiven Resultaten (Remote-Vollzugriff auf einzelne oder alle ePA) -> Antwort der Gematik war im Wesentlichen nur, die konkret gezeigten Sicherheitslücken zu addressieren - siehe auch die Vorträge von Martin auf [dem 35C3](https://media.ccc.de/v/35c3-9992-all_your_gesundheitsakten_are_belong_to_us) und [dem 36C3](https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt) - Angriff 1: [SQL-Injection](https://owasp.org/www-community/attacks/SQL_Injection) auf ein Kartenherausgeberportal, um eine SMC-B-Karte zu beschaffen (also eine Schlüsselkarte für Leistungserbringer wie Arztpraxen oder Apotheken) -> damit Vollzugriff auf alle ePAs, die für die entsprechende Art von Leistungserbringer freigegeben sind - Bonus-Sahnehäubchen: einzige Authentifizierung in dem Kartenherausgeberportal ist ein Passwort (gespeichert als MD5-Hash!!!), kein 2FA, kein gar nichts - Angriff 2: beim Versicherten-Stammdatendienst kann man persönliche Daten einer Versicherten nur mittels der Kartennummer abfragen - diese kriegt man durch [Skimming](https://de.wikipedia.org/wiki/Skimming_(Betrug)) oder durch Erraten; es findet keinerlei [Challenge-Response-Authentifizierung](https://de.wikipedia.org/wiki/Challenge-Response-Authentifizierung) der Gesundheitskarte statt - Problem: erfordert Zugriff auf das interne VPN der Gematik; MITM geht, aber ist etwas aufwändig; man kann aber auch einfach eine Blankokarte mit der Kartennummer beschreiben und die in ein legitimes Lesegerät stecken - Bonus-Sahnehäubchen: Kartennummern sind fortlaufend vergeben - Probleme waren teilweise seit 2016 bekannt und wurden ignoriert, bis sie August 2024 von Tschirsich und Kastl gemeldet wurden - Angriff 3: viele Praxisverwaltungssysteme aus dem Internet zugreifbar, nur mit Standard-Passwörtern geschützt - Angriff 4: eGK (elektronische Gesundheitskarten) werden per Post zugestellt und können ohne Nachidentifizierung sofort genutzt werden - hat Ulrich Kelber schon 2023 moniert, aber passiert ist bis Dezember 2024 nichts - Angriff 5: Kartenterminals bei Kleinanzeigen gekauft, in einigen Fällen waren SMC-B-Karten inkl. PINs dabei Die Gematik [hat geantwortet](https://www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle): - "Grundsätzlich gilt weiterhin: Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt." - ja, **aber**: Zertifizierungen von BSI etc. sind immer am _möglichen_ Stand der Technik ausgerichtet, nicht unbedingt am _notwendigen_ Stand der Technik - Illustrationsbeispiel: da steht zum Beispiel "Virenscanner" als Anforderung drin, aber nicht "Virenscanner ohne kritische Sicherheitslücken", weil letzteres ein Fantasieprodukt ist - "Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen." - das soll uns beruhigen, weil wir ja alle wissen, dass Strafbarkeit ein zuverlässiger Schutz ist - so wie Polizisten auch bekanntermaßen nie unberechtigt Zugriff auf Ermittlungsakten nehmen - "Dazu zählen zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation." - ***Eine SQL Injection ist nicht technisch komplex, verdammt noch mal. Nur weil ihr es nicht versteht, ist es nicht kompliziert.*** Was sagen andere relevante Gruppen dazu? - [Berufsverband der Kinder- und Jugendärztinnen und -ärzte](https://www.golem.de/news/wegen-sicherheitsluecken-aerzteschaft-empfiehlt-widerspruch-zu-epa-fuer-alle-2501-192224.html): "Es ist frustrierend, wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden und den Eindruck zu erwecken, die ePA würde die Datensicherheit in Deutschland sicherstellen." - [Deutsche Psychotherapeuten-Vereinigung](https://www.dptv.de/aktuelles/meldung/digitalisierung-ist-wertlos-wenn-die-risiken-zu-hoch-sind/): "Der Hack des Chaos-Computer-Club (CCC) bestätigt unsere Befürchtungen: Die elektronische Patientenakte (ePA) ist noch nicht sicher und kann so nicht ausgerollt werden. Das Risiko eines Missbrauchs ist hoch – vor allem bei psychischen Erkrankungen. \[...] Alle Vorzüge der Digitalisierung sind wertlos, wenn die Risiken zu hoch sind" - Tschirsich zitiert im 38C3-Vortrag Randolf-Heiko Skerka von der Sicherheits-Beratungsfirma SRC: Das System ist "inzwischen so komplex, dass es kaum noch jemand vollständig durchdringt." - siehe [diese Meldung vom Oktober](https://www.sit.fraunhofer.de/de/presse/details/news-article/show/neues-epa-sicherheitskonzept-auf-dem-pruefstand/), als das Fraunhofer bei einer Sicherheitsprüfung von der Komplexität des Systems so überfordert war, dass sie die Spezifikationen in ein LLM gepumpt und dann die ✨KI✨ nach Sicherheitslücken befragt haben Der Vortragsitel „Konnte bisher noch nie gehackt werden“ ist ein Zitat von Karl Lauterbach und fasst in einem Satz die ganzen Probleme von moderner IT-Sicherheit zusammen. Einiges wurde oben schon erwähnt, außerdem: - alle Verschlüsselungsmethoden sind nur temporär kritisch und werden irgendwann geknackt (im Zweifelsfall einfach durch schnellere Computer) - für viele Daten nicht kritisch (z.B. die meisten Chatverläufe), weil diese keines langfristigen Schutzes bedürfen - Gesundheitsdaten sind besonders kritisch, weil sie auch lange in die Zukunft noch schützenswert sind - vgl. E-Rezept: ähnlich hohe Kritikalität, aber zumindest werden die Daten (hoffentlich!) nicht ganz so langfristig gespeichert - Wie konnte das alles passieren? - Gesellschafter der Gematik sind das Bundesministerium für Gesundheit (BMG), die Bundesärztekammer (BÄK), die Bundeszahnärztekammer (BZÄK), der Deutsche Apothekerverband (DAV), die Deutsche Krankenhausgesellschaft (DKG), der Spitzenverband der Gesetzlichen Krankenversicherungen (GKV-SV), der Verband der Privaten Krankenversicherung (PKV), die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) ([Quelle](https://www.gematik.de/ueber-uns/struktur)) - Fällt was auf? Keiner, der am Pflichtenheft mitgeschrieben hat, war ein Techniker. - Was kann man machen? Tschirsich fordert im 38C3-Vortrag: - unabhängige und belastbare Bewertung von Sicherheitsrisiken - transparente Kommunikation von Risiken gegenüber Betroffenen - offener Entwicklungsprozess über gesamten Lebenszyklus - in einem Satz: vertrauenswürdige Digitalisierung anstatt Digitalisierung mit der Brechstange - Xyrill fügt noch einen Rückbezug auf [letzten Monat](https://c3d2.de/news/pentaradio24-20241224.html) hinzu: "die meisten Menschen haben weder die Zeit noch die Expertise, ihre Online-Identitäten bis ins Kleinste zu verwalten" - Erfahrung von der Ratgeberstunde beim MDR zum selben Thema: Menschen sind frustriert darüber, jetzt die Sichtbarkeit ihrer ePA-Einträge mit der Pinzette durchsortieren zu müssen, wenn sie die Kontrolle behalten wollen (insb. für mit Scham belegte Diagnosen, z.B. Psychotherapie) Übrigens, wer noch nicht genug vom Widerspruch überzeugt ist: - [Elektronische Patientenakten sind nicht vom Beschlagnahmeverbot in §97 StPO erfasst](https://www.heise.de/-10248249) - Sieht so aus, als ob auch die ärztliche Schweigepflicht damit ausgehebelt ist. - Mal schauen, wann es dann die entsprechende Musterklage beim BVerfG gibt, die die ganze ePA kippt. - Die Dänen sind übrigens weiter als wir. Wie aufs Stichwort sind denen erst letzte Woche [Daten von 130.000 Patienten weggekommen](https://blog.fefe.de/?ts=996e0b4a).