Es wimmelt von Infos und fake news in allen Medien.
Hier finden sich veröffentlichte, aber irgendwie wenig sichtbare Informationen.
Nein, keine in der Art:
Verschwörer in der Wall Street oder im Mossad oder beim Bilderberg hätten ein Virus in die Welt gesetzt, um sich diese untertan zu machen.
Keine rassistischen Dummheiten wie die vom "chinesischen Virus".
Keine Behauptungen, wir hätten es gerade mit einem simplen Schnupfen zu tun.
Sondern solche, die helfen, einen kritischen Abstand zu regierungsamtlichen Verlautbarungen zu halten.
Denn erinnern wir uns: Es sind die gleichen Experten und Regierenden, die gestern unser Gesundheitssystem planmäßig (nicht etwa nur fahrlässig) ruiniert haben, die uns jetzt vorschreiben, was richtig und was verboten ist. Und Vorsicht: Die Grundhaltung ist links, auch wenn hier merkwürdige Positionen in der Linken befragt werden.
Übersetzungen aus dem Englischen sind oft holprig, weil mit dem Google Übersetzer (inzwischen deepl.com) vorgenommen.
Zitate aus dem Internet haben als Abrufdatum das des Beitrags.
Über den Button oben kann ein RSS-Feed abonniert werden.
Hier kann man die neuesten Beiträge via -Telegram erhalten.
Dieser Blog benötigt keine Spenden! Trotzdem vielen Dank für die Angebote.
E‑Rezept: Sicherheit nicht ausreichend,
Datenschutz mangelhaft
2022-09-08 16:38:44, erdgeist
Sicherheitsforscher des Chaos Computer Clubs (CCC) haben sich anlässlich der Einführung des E‑Rezepts mit dessen Technik auseinandergesetzt. Was sie dabei entdeckten: im Klartext gespeicherte medizinische Gesundheitsdaten, Verfügbarkeit und Datenschutz mangelhaft und beim Abruf des E‑Rezeptes nur ein Witz statt ordentlicher Sicherheit.
In einigen Arztpraxen beginnt am Donnerstag die schrittweise Einführung des E‑Rezepts. Bis zum Frühjar 2023 soll es den bekannten rotrosa-farbigen Papierzettel verpflichtend ersetzen. Verantwortlich für das Konzept des E‑Rezeptes ist die gematik.
Die gematik ist eine von den Spitzenorganisationen des Gesundheitswesens gegründete Gesellschaft, deren Aufgabe die Entwicklung technischer Spezifikationen der erforderlichen Datenformate, Dienste und Komponenten für die Telematikinfrastruktur (TI) ist. Schon in der Vergangenheit mussten sich Mitglieder des CCC mit halbgaren Lösungen der gematik auseinandersetzen. So attackierte der Club erfolgreich die Ausgabe der Praxisausweise und bemängelte die elektronische Gesundheitskarte (eGK) sowie die elektronische Patientenakte (ePA).
Auch eine aktuelle Analyse des E‑Rezeptes lässt die gematik nicht gut aussehen, obwohl die Vorlaufzeit lang, die Kosten enorm sind und die Umsetzung nun unmittelbar beginnen soll. Dennoch krankt das E‑Rezept an vielen Problemen:
Mangelhafte Verfügbarkeit
Experten des CCC kritisieren, dass sich Verfügbarkeitsanforderungen an den Sektor „Medikamentenversorgung“ der Kritischen Infrastrukturen (Kritis) mit dem vorliegenden E‑Rezept-System nicht realisieren lassen: Bei einem Ausfall zentraler Dienste der Telematikinfrastruktur, wie zuletzt im Jahr 2020, wäre es wochenlang unmöglich, E‑Rezepte einzulösen. Ob bei einer wie geplant verpflichtenden Einführung des E‑Rezeptes die Papierverfahren für den Havarie- oder Katastrophenfall bestehen bleiben, ist ungewiss.
Unzureichendes Verständnis bei Verschlüsselung
Zudem bemängeln die CCC-Experten, dass beim E‑Rezept an zentraler Stelle medizinische Daten im Klartext anfallen. Eine Ende-zu-Ende-Verschlüsselung, wie sie längst industrieüblich ist, sieht die gematik beim E‑Rezept nicht vor. Stattdessen müht sie sich mit täuschenden Formulierungen, um genau diesen Anschein zu erwecken:
„Die E‑Rezepte werden von der Arztpraxis verschlüsselt an einen zentralen Dienst übertragen, dort verschlüsselt gespeichert und verarbeitet und wieder verschlüsselt von der Apotheke abgerufen. Damit sind die E‑Rezepte vor unbefugtem Zugriff geschützt.“
Der entscheidende Teil – die Verarbeitung – erfolgt unverschlüsselt. Die gematik verspricht, die Daten in einer „vertrauenswürdigen Ausführungsumgebung“ (VAU) zu verarbeiten. Überprüfen lässt sich dies als Anwenderin jedoch nicht, bei einem gut designten System muss sie dem Server nicht blind vertrauen. Zudem handelt es sich bei dieser VAU um eine veraltete und mehrfach erfolgreich angegriffene Technologie mit dem Namen „Intel SGX“ , die primär für Kopierschutz eingesetzt wird.
Damit sitzt die zu 51 Prozent dem Staat gehörende gematik auf einem riesigen Berg Daten, und alles was diese Daten schützt, ist das Prinzip Hoffnung und veraltete Intel-Technologie. Da die gematik die Soft- und Hardware selber spezifiziert, könnte durch eine entsprechende Anpassung auf diese Daten zugegriffen werden, etwa nach einer Gesetzesänderung. „Wo ein Trog ist, sammeln sich die Schweine“, lehrt uns das Bundesverfassungsgericht, leider vielfach die Vergangenheit und zuletzt erneut die Realität: So klagt der CCC zusammen mit der Gesellschaft für Freiheitsrechte gegen die zentrale Sammlung von Gesundheitsdaten durch das neue Digitale-Versorgungs-Gesetz.
Nicht aus Versehen: Sicherheitsniveau inakzeptabel
Um das E‑Rezept mit der elektronischen Gesundheitskarte (eGK) in einer Apotheke abzurufen, reicht die Krankenversichertennummer. Das kritisieren die CCC-Forscher als nicht akzeptabel. „Das ist ein Sicherheitsniveau, wie wir es vor fünfzehn Jahren bei Kreditkarten hatten und das dort inzwischen sogar verboten wurde“, sagte Fabian „fluepke“ Luepke, ein Sicherheitsforscher des CCC. Die Präsenz der eGK wird nur im Frontend und somit nur unzureichend geprüft, wie selbst die gematik offen in ihrer Spezifikation eingesteht:
„Der E‑Rezept-Fachdienst kann daher weder die Integrität noch die Authentizität eines Prüfungsnachweise überprüfen. Es liegt in der Verantwortung des AVS [Apothekenverwaltungssystems], die Abläufe […] gemäß den Anforderungen der gematik umzusetzen.“
Holm Diening, „Chief Security Officer“ der gematik, rechtfertigt das Vorgehen, Prüfungen nur im Frontend zu vollziehen. Das sei gar Absicht:
„Logisch, dass solche Maßnahmen im Client bei Vorsatz überwindbar sind. […] Wir verlagern also von Prävention zu Detektion + Reaktion. Nicht aus Versehen, sondern bewusst.“
Es wird also ganz bewusst auf Prüfungen im Backend – also auf dem zentralen Datenlager der gematik – verzichtet und sich lediglich darauf verlassen, dass die (Online-)Apotheke die Präsenz der eGK schon irgendwie prüft. „Nach dieser Logik bräuchte die gematik ihre Rechenzentren nicht abzuschließen, weil Einbruch ja verboten ist“, so Luepke weiter.
Selbst für simple Betrügereien sind Tür und Tor offen: Ein Mitarbeiter aus dem Bereich der Online-Versandapotheken kann beispielsweise bei bekannt gewordenen Versichertennummern Prominenter Zugriff auf deren Verschreibungen nehmen und sie an die Boulevardpresse verkaufen.
Es gibt zwar ein Auditlog, was Patientinnen möglicherweise eine missbräuliche Datenabfrage durch Apotheken aufzeigen könnte. Dieses regelmäßig zu prüfen, bedeutet jedoch erheblichen Aufwand und setzt ein technisches Verständnis voraus. Welche Strafe Apotheken droht und ob sie sich einfach mit einem Angriff auf ihre Systeme entschuldigen können, ist unklar.
Forderungen
Die gematik muss sich klar zu einer Ende-zu-Ende-Verschlüsselung bekennen, die diesen Namen verdient. Die mündige Patientin soll die (selbst erzeugten) Schlüssel für ihre Gesundheitsdaten in die Hand bekommen.
Um das Projekt kurzfristig noch zu retten, sollte auf einen Upload des E‑Rezeptes gänzlich verzichtet werden und stattdessen der Patientin eine vollständige Version des E‑Rezepts menschen- und maschinenlesbar ausgehändigt werden. Im Gegensatz dazu verlinkt der bisherige QR-Code lediglich auf die zentral gespeicherte Vollversion des Rezepts.
Auch bei einem Ausfall eines zentralen Systems sollten Rezepte weiterhin eingelöst werden können. Das mehrfache Einlösen eines Rezeptes kann unterbunden werden, ohne dabei Inhalte der Verschreibung an einen zentralen Dienst zu übertragen. Missbräuliches Verhalten der Patientin kann leicht im Nachhinein detektiert und sanktioniert werden.
Das BSI und der BfDI sollten künftig die Spezifikationen kritischer begutachten und sich nicht von Formulierungen wie „durchgängig verschlüsselt“ täuschen lassen.
Strukturell sollte sich die gematik dahingehend wandeln, Patientinneninteressen besser bereits während der Entscheidungsfindung zu repräsentieren. Denn das E‑Rezept ist nur eins von vielen Beispielen, bei denen die gematik vermeintlich kryptographisch sichere Verfahren durch schlechte bis bösartige Spezifikationen aufgeweicht hat.
Links und weiterführende Informationen
CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk
Der Chaos Computer Club erklärt die Elektronische Gesundheitskarte
CCC: Geplantes Patientendaten-Schutz-Gesetz schützt Patientendaten nicht
Klage gegen die Sammlung von Gesundheitsdaten aller 73 Millionen gesetzlich Versicherter
https://www.ccc.de/updates/2022/erezept-mangelhaft
Wer ist schon so blöd und lässt sich die Elektronische Patientenakte überhelfen?
Die C‑Impfungen waren lediglich ein vorher stattfindender Intelligenztest um die Massentauglichkeit und unkritische Umsetzungsbereitschaft der Bevölkerung gegenüber schwachsinnigen bis schädlichen Empfehlungen zu erproben.
Für die finanziellen Profiteure ein großer Erfolg…
Flüpke seziert TI-Architektur
E‑Rezept: Testurteil „Nicht so geil“
APOTHEKE ADHOC, 08.09.2022 12:30 Uhr
Flüpke vom Chaos Computer Club (CCC) hat sich kritisch zum E‑Rezept geäußert.
Berlin -
Neben der Architektur des Fachdienstes kritisiert er Sicherheitslücken beim Zugriff der Apotheken.
Testurteil „Nicht so geil“, so sein Fazit bei der Zukunftskonferenz VISION.A powered by APOTHEKE ADHOC.
…
Flüpke: „Das ist ein Sicherheitsniveau wie bei Kreditkarten vor zehn Jahren, das wir mittlerweile verboten haben.“
Er skizzierte mehrere Lösungswege:
E‑Rezept nicht hochladen
Ende-zu-Ende-Verschlüsselung
E‑Rezept auf der Karte speichern
Allerdings sei ihm durchaus klar, dass der wichtigste Vorteil der Abruf von E‑Rezepten ohne Praxisbesuch sei.
[Anmerkung zum "Vorteil":
ausgehend von i.d.R. unsicheren Nutzersystemen (Smartphone, PC o.ä.)
https://www.apotheke-adhoc.de/nachrichten/detail/e‑rezept/e‑rezept-testurteil-nicht-so-geil/
henning rosenbusch
@rosenbusch_
Japan: Neu gemeldete Todesfälle sind um 1.447 % gestiegen:
ein neuer Rekord, seit u.a. Bloomberg schrieb, dass das brave Tragen von Masken und hohe Impfraten sie zu einem „Modell für die Welt“ bei der Bekämpfung von COVID gemacht haben…
http://t.me/Rosenbusch
Image
5:20 AM · Sep 9, 2022
·
Quelle nicht gefunden.
Udo Vetter
Strafverteidiger
Auto-Poser freuen sich aufs Wochenende
Die Stadt Düsseldorf und die örtliche Polizei gehen seit längerem gegen Auto-Poser vor.
Gerade im Zentrum rund um die Königsallee finden regelmäßig Schaulaufen PS-starker Fahrzeuge statt.
Allerdings schoss das Ordnungsamt offenbar teilweise über das Ziel hinaus.
Das Verwaltungsgericht erklärte jetzt ein angedrohtes Zwangsgeld für den Fahrer eines Mercedes AMG C63 für unwirksam.
Der 27-jährige Besitzer des Wagens soll im März 2021 mit heulendem Motor an der Heinrich-Heine-Allee losgefahren sein, um Passanten anerkennende Blicke abzugewinnen.
Dafür erhielt er ein Posing-Verbot, verbunden mit der Androhung eines Zwangsgelds von 5.000 Euro.
Vom Gericht musste sich die Stadt allerdings darüber belehren lassen, dass auch sie an geltendes Recht gebunden ist.
Nämlich die Straßenverkehrsordnung.
Diese untersagt in § 30 StVO, Fahrzeugmotoren unnötig laufen zu lassen und Fahrzeugtüren übermäßig laut zu schließen.
Das vorgesehene Bußgeld beträgt 80,00 bis 100,00 € – und eben nicht die von der Behörde in Aussicht gestellten 5.000,00 €.
Auch Punkte in Flensburg sind für Auto-Poser nicht vorgesehen.
Der Straßenverkehr ist in Deutschland durch Bundesrecht geregelt, so das Verwaltungsgericht.
Deshalb könne eine Stadt keine eigenen Verkehrsverbote nach Landesrecht erlassen, auch nicht unter Berufung auf ordnungsrechtliche Generalklauseln.
Das Gericht hat allerdings Berufung oder Sprungrevision zugelassen.
Am Wochenende ist in Düsseldorf schönes Wetter angesagt. Es könnte also lustig werden… (Aktenzeichen 6 K 472/21).
https://www.lawblog.de/archives/2022/09/02/auto-poser-freuen-sich-aufs-wochenende/
aus
https://www.lawblog.de/
aus
https://twitter.com/udovetter
[Anmerkung:
5.000 Euro ist auch m.W. bei vielen "Corona-Strafen" quasi Standard?]
Udo Vetter
Strafverteidiger
Zwei Drittel der Bürger halten den Staat für überfordert
2.9.2022
Das Vertrauen der Bürger in den Staat nähert sich einem historischen Tiefststand.
Dies ist das Ergebnis einer repräsentativen Umfrage, die der Deutsche Beamtenbund in Auftrag gegeben hat.
Zwei Drittel der Menschen halten den Staat derzeit für überfordert, im Vorjahr war es ziemlich genau die Hälfte. 2019, also vor Corona, lag der Wert bei lediglich 34 Prozent.
..
Die Studie lässt sich hier
[Link eingefügt:
https://www.dbb.de/fileadmin/user_upload/globale_elemente/pdfs/2022/forsa_2022.pdf ]
abrufen.
https://www.lawblog.de/archives/2022/09/02/zwei-drittel-der-buerger-halten-den-staat-fuer-ueberfordert/
Udo Vetter
Strafverteidiger
Bierchen im Park bleiben erlaubt
5.9.2022
In städtischen Parks darf Alkohol getrunken werden – auch nachts.
Mit dieser Begründung hob
das Verwaltungsgericht Berlin jetzt ein bis zum 11. September angeordnetes nächtliches Alkoholverbot
im Monbijoupark und dem James-Simon-Park durch einen Eilbeschluss vorzeitig auf.
Laut der städtischen Anordnung durfte zwischen 22 Uhr und 6 Uhr kein Alkohol in den Parks mehr konsumiert werden.
Selbst das Mitführen alkoholischer Getränke war untersagt.
Als Begründung nannten die Behörden „wilde Feiern“, diese hätten zu Schäden an den Grünanlagen geführt.
Laut dem Gericht enthält das Berliner Grünanlagengesetz aber keine Vorschriften, wie Besucher in den Parks Erholung suchen dürfen.
Alkoholgenuss sei nicht grundsätzlich verwerflich – solange die Menschen gegenseitig Rücksicht nähmen.
Lärm, Vermüllung, wildes Urinieren und rücksichtsloses Verhalten seien bereits jetzt verboten.
Allerdings, so das Gericht, würden diese bereits bestehenden Verbote nicht konsequent durchgesetzt.
Jedenfalls gegenüber Parkbesuchern, die nur Bierchen trinken und dabei andere nicht stören, sei das umfassende Verbot unverhältnismäßig (Aktenzeichen 24 L 163/22).
https://www.lawblog.de/archives/2022/09/05/bierchen-im-park-bleiben-erlaubt/
Udo Vetter
@udovetter
Vielleicht sollte man bei den staatlichen Maßnahmen der Soforthilfe ("nicht hungern, nicht frieren") als flankierende Maßnahme auch über ein Moratorium für die absehbare Sperrung der beliebtesten Pornoportale nachdenken.
spiegel.de
Pornhub, YouPorn und Mydirtyhobby:
Verbot gegen Pornoportale bestätigt
Ohne ein Jugendschutzsystem nach deutschen Standards dürfen Porno-Anbieter hierzulande nicht tätig sein.
Ein aktuelles Urteil stützt eine Entscheidung von Jugendschützern. Neue Netzsperren werden…
2:41 PM · Sep 8, 2022
https://twitter.com/udovetter/status/1567885811000950786?cxt=HHwWhICy0dH1n8IrAAAA
Er halt ein Herz für die Industrie, – nicht nur die Pharma, auch die Digitalbrache wird von ihm bedacht.
Mit Nacharbeiten, meint er wahrscheinlich eine bußgeldbewehrte Pflicht. Vielleicht klappts ja diesmal mit dem Zwang. Als Sozialdemokrat kennt er sich damit ja aus, der Herr Gesundheits-"Ökonom". Was beim Impfen nicht geklappt hat, kann mit der EP-Akte ja noch werden.
Weiterer Dämpfer für das E‑Rezept:
Letzte Testregion steigt aus Testphase aus Update
Stand: 03.11.2022 07:49 Uhr
https://www.heise.de/news/Weiterer-Daempfer-fuer-das-E-Rezept-Letzte-Testregion-steigt-aus-Testphase-aus-7328305.html