Es sind ja nicht nur Honkhasen, die professionell angepißt reagieren können.
https://mastodon.social/@bkastl/113834370444572626
Bitte sehr, @bkastl hat mal begründet schlechte Laune und veranstaltet ein gerechtes Blutbad.
Ihre Conclusio:
Vertrauenswürdig ist das nicht. Es ist keine ePA für alle. Sorry.
=> More informations about this toot | More toots from isotopp@infosec.exchange
Und man kann die Arbeit an der Evaluation der ePA in den letzten Wochen auch nicht würdigen, ohne diesen Thread von Frau @evawolfangel Traindestroyer zu lesen.
https://chaos.social/@evawolfangel/113833333419159809
Das ist weniger professionell angepißt als vielmehr Verzweiflung angesichts der IT-Laiendarsteller (und offensichtlich, wie im Thread deutlich wird, auch Politik-Laiendarsteller), mit denen sie da zu tun gehabt hat.
=> More informations about this toot | More toots from isotopp@infosec.exchange
Aber keine Sorge, mit dem Angriff Spahn im Merz wird das gewiß in Ordnung kommen.
=> More informations about this toot | More toots from isotopp@infosec.exchange
Und in dem Artikel von @evawolfangel
https://www.zeit.de/digital/2025-01/elektronische-patientenakte-datenschutz-cybersicherheit-hacker?freebie=dcef73d5
(Paywall, Geschenk-Artikel-Link, Archivlink: https://archive.is/2oDWc)
ist es dann @ankedb, die das Knie in die Genitalien des Systems rammt, denn es ist ja nicht der CCC und es sind nicht irgendwelche deutschen Whitehats, die das Problem sind.
Diese Aufrufe, das Opt-Out für sich selbst und die einem anvertrauten Abhängigen (Kinder und andere) durchzuführen kommt aus dieser Ecke nicht ohne Grund.
Da ist auch mit einem Patchpflaster nicht mehr viel zu machen, wenn die Systemarchitektur generalverkackt wurde und wieder die Empfehlungen von Leuten genaut wird, die da mit dem richtigen Adversary Mindset ran gehen.
Schau, wir wissen, daß das System nicht sicher sein kann. Ihr wißt, daß das System nicht sicher sein kann. Ihr gebt das sogar zu.
Dann müßt Ihr ein System bauen, bei dem der Verlust einer Apotheken- oder Arztkarte, eines Praxis-Lesegerätes auf eBay oder das Foto einer Patentientenkarte nicht dauerhaft Zugriff auf die Daten eines oder gar aller Patienten gewährt, bei dem ein (unvermeidlicher) Breach nicht Titanic-gleich das ganze Schiff versenkt.
Bei dem Zugriffsrechte wirksam reversibel gewährt werden, bei denen Patienten selbst ein Logbuch aller Zugriffe mit Gründen (oder Fall-Kontext) haben und bei denen auch innerhalb des Systems wirksame Partitionen eingezogen sind.
Und bei dem ihr dann diese Mechanismen allgemeinverständlich präsentiert und erklärt und kommuniziert und die Nutzer ausbildet, damit sie verstehen, mit was sie es da zu tun haben, wie das System funktioniert, wie es sie schützt, was es für Vorteile hat, und warum es recoverbar ist, wenn denn dann unvermeidlich doch was passiert.
Dann erst, danach, am Ende, nach dieser Sache, können wir über Vorteile und Funktionalitäten reden. Also, Vorteile für mich, nicht Vorteile für das Anlernen der KI von Meta.
=> More informations about this toot | More toots from isotopp@infosec.exchange
"Warum es sinnvoll ist, Systeme mit kritischen personenbezogenen Informationen vom Fehlerfall her zu konstruieren, um Resilienz zu erreichen."
Ein öffentliches, bundesweites Pflichtseminar für alle Krankenversicherten, am praktischen Gegenbeispiel. Ein Trauerspiel von Karl Lauterbach.
=> More informations about this toot | More toots from isotopp@infosec.exchange
@isotopp Es scheint in den Genen unserer Entscheider-Kultur zu liegen, daß wir bei Grossprojekten im besten Fall ein absolut inadequates Ergebnis erzielen.
=> More informations about this toot | More toots from icing@chaos.social
@isotopp @evawolfangel @HonkHase
Ich, wenn ich versuche, mich auf der #gematik Webseite über #datensicherheit zu informieren …
=> More informations about this toot | More toots from maxipalle@norden.social
@isotopp @evawolfangel @ankedb was ich nicht verstehe: Kann man nicht von den Balten oder Skandinaviern lernen, in DK läuft das System sundhed.dk schon bestimmt 20 Jahre!?
=> More informations about this toot | More toots from sseewolf@mastodon.social
@sseewolf
Das ist ja eine Insel, das kann in Deutschland so nicht funktionieren.
=> More informations about this toot | More toots from isotopp@infosec.exchange
@sseewolf @isotopp @evawolfangel @ankedb Und da gibt es noch viele andere Beispiele.
Das - aus meiner professionellen Perspektive - traurigste sind nämlich eigentlich nicht die Sicherheitslücken. Das Konzept der aktuellen ePA ist fachlich auch einfach wenig hilfreich. Wer braucht denn im medizinischen Alltag einen riesen Wust an PDFs, wo wirklich alles dabei ist, wie z.B. Abrechnungsdaten der GKVen? Wer soll denn in unserem Gesundheitssystem die Zeit haben, sich das in Ruhe anzugucken?
Andere Länder setzten hierbei expliziter auf standardisierte und strukturierte Daten, was die einzige logische Herangehensweise ist.
Aber um fair zu bleiben, das ist auch bei der ePA angedacht. Nur irgendwie glaube ich das mittlerweile erst, wenn ich das bei mehr als einem use-case sehe.
=> More informations about this toot | More toots from jakesmolka@hachyderm.io
@jakesmolka
Es wird doch das Standard-Datenaustausch-Format der deutschen Verwaltung eingesetzt: DIN A4!
=> More informations about this toot | More toots from ge0rg@chaos.social
@jakesmolka Strukturierte Daten in der ePA stehen doch für 2028 im Plan (-; @sseewolf @isotopp @evawolfangel @ankedb
=> More informations about this toot | More toots from oliof@treehouse.systems
@oliof @jakesmolka @isotopp @evawolfangel @ankedb Muss ja alles erstmal erfunden werden!
=> More informations about this toot | More toots from sseewolf@mastodon.social
@oliof @sseewolf @isotopp @evawolfangel @ankedb Tja, mal gucken 😄
(Aber wieder, um fair zu bleiben: teilweise kommen ja Sachen wie der Medikationsplan auch schon jetzt/früher.)
=> More informations about this toot | More toots from jakesmolka@hachyderm.io
@jakesmolka der gleiche Medikationsplan, den man als Versicherti nicht einsehen kann, und der von einem Versorger händisch aktualisiert werden muss, und den niemand je ausliest? @sseewolf @isotopp @evawolfangel @ankedb
=> More informations about this toot | More toots from oliof@treehouse.systems
@oliof @sseewolf @isotopp @evawolfangel @ankedb Ich wollte doch auch einfach wenigstens etwas positives sagen :D
Aber im Ernst: ich habe keine Ahnung wie das in der Praxis umgesetzt ist. Ich weiß nur, dass die Daten strukturiert sind (FHIR).
=> More informations about this toot | More toots from jakesmolka@hachyderm.io
@jakesmolka frag mal beim nächsten Praxisbesuch nach, ob sie Dir den Medikamentenplan auf der Karte aktualisieren können @sseewolf @isotopp @evawolfangel @ankedb
=> More informations about this toot | More toots from oliof@treehouse.systems
@isotopp Ich habe mir dabei ja die Frage gestellt, ob man in Deutschland überhaupt in der Lage ist, gut funktionierende und sichere Software zu entwickeln.
Liegt es
=> More informations about this toot | More toots from h0ru2@cyberplace.social
@isotopp @evawolfangel @ankedb
Du meinst so was, was sogar die Scherzverein von österreichischem Hauptverband (der Sozialversicherungsträger) schafft?
So schaut das bei der ELGA aus.
Und man beachte, die ELGA (weil zentral vom Hauptverband) hat auch einen zentralen Ein-/Aus-Schalter.
Sind apropos die niedergelassenen Ärzte, die das Ding am wenigsten verwenden, die Befundübermittlung eher umständlich ist.
=> View attached media | View attached media
=> More informations about this toot | More toots from yacc143@mastodon.social This content has been proxied by September (3851b).Proxy Information
text/gemini