[sage-ka] Um den Vortragsinhalt etwas näher zu erläutern ... (Was: SAGE-KA Nachrichtensammlung, Band 3, Eintrag 2)
Thomas Maus
thomas.maus at alumni.uni-karlsruhe.de
Fre Jan 12 00:09:29 CET 2007
Hallo miteinander!
Zuerst allen ein gutes Neues, dann an Kristian herzlichen Dank für die gute Zusammenfassung des 21C3 bzw. Frühjahr 2005
CCCS-Vortrags und die beruhigende Gewissheit, daß mindestens ein Mensch meinen damaligen Vortrag vollständig
verstanden hat ;-)
Es wird keine Wiederholung dieses Vortrags werden, sondern sich eher entlang den Linien der Vorträge beim 22C3, Datenspuren 2006
oder FFG 2006 bewegen -- für die, die diese Vorträge kennen.
Den anderen zur Orientierung:
Im Gefolge des 21C3-Vortrags wollte ich mich schlußendlich beruhigen und mir beweisen, daß ich da nur auf eine ganz
entsetzliche und isolierte Fehlleistung gestossen war und die eigentliche Gesundheitskarte bestimmt VIEL sicherer und besser sei ...
Zu diesem Zwecke habe ich dann die Sicherheitsanforderungen der Rahmenarchitektur analysiert -- ein schwerer Fehler.
Das hat sich dann zu einem, sich permanent weiter entwickelnden Vortrag
"Risiken + Nebenwirkungen der Gesundheitstelematik" ausgewachsen, sozusagen der
"Beipackzettel zur Gesundheitstelematik".
Ich erlaube mir den Luxus mich ausschließlich auf die Risiken + Nebenwirkungen zu konzentrieren -- die andere Perspektive ist ohne mein
Zutun und dank eines offiziell 20 Millionen Euro umfassenden Akzeptanz-Marketing-Budgets ohnehin laut und vernehmlich genug, eine Technologiefolgenabschätzung dagegen kaum wahrnehmbar.
"Polarisierung" ist übrigens der aktuelle abwertende Standard-Vorwurf gegen meine Person, nachdem andere zuvor -- beispielsweise
"Maschinenstürmer" und "Technologiegegner" -- sich angesichts meines Lebenslaufs als schlicht unhaltbar erwiesen ...
Ich dagegen halte es für Bürgerrecht und Bürgerpflicht eines jeden Bürgers über Risiken für die Bevölkerung seines Landes, die aus
seiner persönlichen Expertise heraus erkennbar sind, öffentlich zu reden sowie in und an der Sache mit Leidenschaft zu diskutieren.
Über eine solche Diskussion würde ich mich freuen -- ad-hominem-Attacken möge man sich sparen: Das versuchen seit dem
ersten Vortrag diejenigen, die die Auseinandersetzung in der Sache scheuen -- eine solche hat es nämlich bisher noch nicht
gegeben, auf allen möglichen und vor allem unmöglichen Ebenen ohnehin schon ausdauernd ...
In diesem Sinne: vielleicht bis Dienstag!
Thomas Maus
> -----Ursprüngliche Nachricht-----
> Von: sage-ka at guug.de
> Gesendet: 11.01.07 12:24:31
> An: sage-ka at guug.de
> Betreff: SAGE-KA Nachrichtensammlung, Band 3, Eintrag 2
> Um e-Mails an die Liste SAGE-KA zu schicken, nutzen Sie bitte die
> Adresse
>
> sage-ka at guug.de
>
> Um sich via Web von der Liste zu entfernen oder draufzusetzen:
>
> http://lists.guug.de/mailman/listinfo/sage-ka
>
> oder, via Email, schicken Sie eine Email mit dem Wort 'help' in
> Subject/Betreff oder im Text an
>
> sage-ka-request at guug.de
>
> Sie koennen den Listenverwalter dieser Lister unter der Adresse
>
> sage-ka-owner at guug.de
>
> erreichen
>
> Wenn Sie antworten, bitte editieren Sie die Subject/Betreff auf einen
> sinnvollen Inhalt der spezifischer ist als "Re: Contents of SAGE-KA
> digest..."
>
>
> Meldungen des Tages:
>
> 1. Re: Gesundheitskartenvortrag (Michael M. Roth)
> 2. Re: Gesundheitskartenvortrag (Kristian Köhntopp)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Wed, 10 Jan 2007 21:19:02 +0100
> From: "Michael M. Roth" <info at michael-roth.de>
> Subject: Re: [sage-ka] Gesundheitskartenvortrag
> To: Felix Pfefferkorn <fpf at web.de>
> Cc: sage-ka at remote.org
> Message-ID: <45A54A36.5040303 at michael-roth.de>
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
> Hallole,
>
> bei einer solchen Art von Ankündigung mache ich mir
> Sorgen über Zielsetzung und Inhalt des Vortrages.
> Wird es an diesem Abend (in der Hauptsache) darum gehen,
> den Betreibern des Projektes, allen voran den (zufällig
> komplementären) Regierungsparteien ihre Unfähigkeit zu
> demonstrieren, sinnvoll mit Steuergeldern umzugehen?
> Oder wird man technische und soziale Probleme erörtern,
> die sich z. B. aus der Ambivalenz von synergistischer
> Wissensverknüpfung und Datenschutz, Selbstbestimmungsrecht
> ergeben (Stichwort Patientenakte)?
>
> Ich selbst verbinde Hoffnungen mit der Einführung
> der Gesundheitskarte, gleichzeitig machen mir Bedenken,
> wie vom Referenten zum Ausdruck gebracht
> ( http://www.dradio.de/dlf/sendungen/hiwi/534396/ ),
> Angst.
>
> Eine Ankündigung im Sinne von Chancen und Risiken
> oder Pro & Contra, Wunsch & Wirklichkeit der
> neuen Karte hätte IMHO den Schleier der vorweggenommenen
> Polarisierung vermieden.
>
> Herzliche Grüße
> Michael
>
>
> Felix Pfefferkorn schrieb:
> > Hallo zusammen,
> >
> > die FDP Durlach veranstaltet am kommenden Dienstag, 16.1. ab
> > 20h in der Durlacher Festhalle (Nebenzimmer) einen Vortrag
> > zur elektronischen Gesundheitskarte.
> >
> > Wir freuen uns, als Referenten den hier bei der SAGE ja
> > nicht unbekannten Dipl.-Inform. Thomas Maus gewonnen zu
> > haben, der uns in gewohnt anschaulicher und überzeugender
> > Weise aufzeigen wird, wie hier aus vielerlei Gründen gerade
> > ein Milliardengrab geschaufelt wird. Wer also seinen Vortrag
> > bei den FFG 2006 verpasst hat, kann das nächste Woche
> > wenigstens ein bißchen wettmachen... :-)
> >
> > Gruß,
> > Felix
> >
> > _______________________________________________
> > SAGE-KA mailing list
> > SAGE-KA at guug.de
> > http://lists.guug.de/mailman/listinfo/sage-ka
> >
>
> --
> Michael M. Roth - PennFan - Public PGP Key: http://michael-roth.de/pgp
>
>
>
> ------------------------------
>
> Message: 2
> Date: Wed, 10 Jan 2007 22:57:46 +0100
> From: Kristian Köhntopp <kris at xn--khntopp-90a.de>
> Subject: Re: [sage-ka] Gesundheitskartenvortrag
> To: sage-ka at guug.de
> Message-ID: <200701102257.46539.kris at xn--khntopp-90a.de>
> Content-Type: text/plain; charset="iso-8859-1"
>
>
> On Wednesday, 10. January 2007 21:19, Michael M. Roth wrote:
> > Ich selbst verbinde Hoffnungen mit der Einführung
> > der Gesundheitskarte, gleichzeitig machen mir Bedenken,
> > wie vom Referenten zum Ausdruck gebracht
> > ( http://www.dradio.de/dlf/sendungen/hiwi/534396/ ),
> > Angst.
>
> http://blog.koehntopp.de/archives/789-Autopsie-einer-Anwendung-im-Gesundheitswesen.html
> Donnerstag, 12. Mai 2005
>
> "Der CCC Stuttgart hat eine sehr schöne Vortragsreihe, die am zweiten
> Donnerstag jedes Monats in der Wagenhalle stattfinden. Für den Vortrag
> gestern hat Princess Thomas Maus organisiert, der seinen Vortrag "Autopsie
> einer Anwendung im Gesundheitswesen" vom letzten Chaos Kongress in einer
> aktualisierten Version noch einmal gehalten hat.
>
> http://blog.koehntopp.de/uploads/Sicherheitsanalyse-Appl-im-Gesundheitswesen_v1.1.sxi
> http://blog.koehntopp.de/uploads/Sicherheitsanalyse-Appl-im-Gesundheitswesen_v1.1.pdf
>
> Thomas Maus hatte die Gelegenheit im Rahmen eines Auftrages ein Setup aus zwei
> Clients und einem Server für die Gesundheitskarte Stand 2003 (Modellversuch)
> untersuchen zu können und dabei eine Security-Untersuchung eines
> Systems "nach Lehrbuch" durchziehen zu können.
>
> Seine Erkenntnisse sind erstaunlich und demonstrieren sehr schön, wie man ein
> System aus sicheren Bauteilen und mit einem vernünftigen Ausgangskonzept von
> Grund auf falscher Anwendung kryptographischer Techniken trivial brechbar
> konstruieren kann. So gelang es Maus, zu zeigen, daß die E4hoch zertifizierte
> Chipkarte im Client nicht die identitätsstiftende Komponente im digitalen
> Signatursystem für Rezepte und Patientendaten ist und daß daher die
> rechtliche Grundlage für diese beiden Funktionen des Praxissystems fehlt, daß
> die 128-Bit Schlüssel im Kryptosystems nicht zufällig gewählt werden und
> daher vorhersagbar und somit knackbar sind (in 3-6 Versuchen!) und daß die
> Kommunikation im Systemnetz der Gesundheitskarte - verschlüsselt oder nicht -
> grundlegend unsicher ist.
>
> Besonders gut gefallen hat mir an dem Vortrag, daß er dabei nicht nur gezeigt
> hat, was an dem untersuchten System alles falsch ist (und es ist quasi aus
> dem Lehrbuch kaputt designed), sondern auch, was die Methodik einer
> Sicherheitsuntersuchung ist, und welche Ziele dabei verfolgt werden und wie
> die Argumentationssträge aufgebaut werden.
>
> Kris
> --
> Kristian =?iso-8859-15?q?K=F6hntopp?= <kris at xn--khntopp-90a.de>
>
>
>
> ------------------------------
>
> _______________________________________________
> SAGE-KA mailing list
> SAGE-KA at guug.de
> http://lists.guug.de/mailman/listinfo/sage-ka
>
>
> Ende SAGE-KA Nachrichtensammlung, Band 3, Eintrag 2
> ***************************************************
>
--
Viele Grüße,
Thomas Maus
Security, Performance + Management für IT-Systeme
Neuenbürger Straße 13
D-76228 Karlsruhe
Telefon +49-721-9416169
--
_
_______________________________________________________________________
Viren-Scan für Ihren PC! Jetzt für jeden. Sofort, online und kostenlos.
Gleich testen! http://www.pc-sicherheit.web.de/freescan/?mc=022222