Nach den Online-Events und meinem Aussetzen zum ersten physikalischen Congress nach Coronapause im letzten Jahr nun wieder bei normalen Menschen und wieder in Hamburg. Ich verlauf mich permanent. Ansonsten ist es hier sehr schön.
Fairydust in the stars
Aber vor dem privaten Befindlichkeitskram die beiden Knaller heute. Einmal VW, die sich die Standortsverläufe+X eines größeren Teils ihrer Fahrzeugflotte raustragen ließen. Ich war amüsiert, weil ich erst letztens über plausible Deniability bei der Locationerfassung durch Werbeplattformen redete, und das Smartphone jedes Wochenende im Swingerclub angepeilt werden kann. Jetzt machts eben mal der größte deutsche Autohersteller und er hätte es nicht mal gebraucht, weil mal im Ernst: was geht es drecks Volkswagen an, wo ich meinen Polo parke? Aber too big to fail, too big to care, wie es klügere Menschen wie ich gelegentlich anmerkten. Andere Leute schalten ihre Blogs ab, weil sie sich wegen Cookiebannern und Rechtssicherheit Sorgen machen. Man wird angepisst wegen Googlewebfonts, aber hey, VW verkackt großflächigst mit sechsstellig Betroffenen? Gibt nichts zu sehen, kannjamalpassieren, Hackers gonna hack, Softwareproblem, gehen sie weiter, irgendwann wird in Niedersachsen vielleicht ein Arbeitskreis beraten und feststellen, dass man die Beschäftigten Arbeitgeber Aktionäre nicht schlimm mit sowas wie Strafen belasten darf, weil ist ja alles systemrelevant. Hier die Aufzeichnung.
Dass die ePA so nachhaltig zerstört wird, hatte ich ehrlich gesagt nicht erwartet. Es ist klar, dass es in einem so riesigen System wie dem der ePA natürlich zahlreiche Angriffsvektoren gibt, und ich würd sogar soweit gehen zu sagen, dass es da Bereiche gibt, die schwer bis gar nicht narrensicher zu kriegen sind. Umso wichtiger ist in allen Bereichen daher Schadensbegrenzung, damit meinetwegen ein Szenario „Durchdrehender Arzt nutzt eigene Infrastruktur zum Recherchieren von Kompromat“ oder „Bad Actor übernimmt eine komplette Praxisinstallation“ halt nur begrenzt Schaden anrichten können.
Den Göttern wird angemessen gehuldigt
Vorsprung durch Technik
Nun stellt sich halt raus, dass man die Praxisinstallation gar nicht mit Shodan suchen, finden und übernehmen muss (geht auch), sondern das man die Hardwae incl. Zugangskarten einfach auf kleinanzeigen.de shoppen und in Betrieb nehmen kann. Oder dass es gar nicht den durchdrehenden Doc braucht für das „Bad Actor inhouse“-Szenario, sondern dass man sich nur als IT-Dienstleister auf einer der einschlägigen Plattformen platzieren muss, um nen Remotedesktop bei der naiven Arztpraxis der Wahl zu bekommen. Wenn dann auch noch die Kartenherausgeber-Institutionen hack- bzw. phishbar sind, und man sich im Zweifel halt auch dort einschlägige Credentials beschaffen kann, nun, problematisch. Und dass dann die Gematik sagt, das sei an den Haaren herbeigezogen, weil schließlich verboten… ich hatte in der letzten Zeit ein ganz okayes Bild von der Gematik, weil ich aus anderen Gründen da gelegentlich beim Specs checken war und sich vieles recht vernünftig las, aber ich für meinen Teil bin nachhaltig kuriert.
Nebel in Hamburg
Das schlimme ist, es tut mir wirklich Leid für alle betroffenen Akteure draußen in der Praxis, ich krieg viel aus zweiter bis teils erster Hand mit, wie da die aktuellen Digitalisierungsprozesse zeit-, kosten- und kompetenztechnisch da in den letzten Jahren für erhebliche Belastungen gesorgt haben. Wie die Teams trotz Covid, Stress und allgemein widrigen Umständen auch noch das Techzeug durchgezogen haben, um ein chronisch überlastetes System am Kacken zu halten. Shoutout an die Praxen! Nun kriegen sie den nächsten Schwung Digitalisierung, und man wünschts ihnen, dass das mal nicht erstml alles schlechter, teurer, unsicherer oder einfach gleich gar nichts wird… aber here we are.
Früher(tm) hätte ich sowas wie den ePA-Hack einfach hart gefeiert, heute ärgerts mich einfach nur noch, dass sowas in dem Ausmaß passiert und dann auch noch einer auf „Alles nicht so schlimm“ gemacht wird.
Für meinen Teil bin ich froh, dass ich vor längerer Zeit beschlossen hatte, dass mir datenschutz/privacytechnisch eh alles egal ist. Ich werd jedenfalls keinen Opt Out machen und interessiert beobachten, was (mir) passiert.
Treppen. Vorsicht bei Treppen, und nicht auf sie hören.
Zwei kurze, knackige Wikidata-Workshops: ich hab langsam begriffen, was SPARQL ist und wie es funktioniert und ahne Probleme bei der Anwendung, das scheint mir aber alles sehr trial/error-freundlich. Wahrscheinlich eine extrem coole Kiste für nicht ganz auf der Hand liegendem Datenjournalismus, mich springen meine persönlichen Usecases jetzt nicht ganz präzise an, aber die ebenfalls angesprochene Verzahnung mit Openstreetmap sind beispielsweise superspannend. Klar kann man sich einfach eine Karte mit allen Stolpersteinen ohne Bilddatei beim hinterlegten Wikidata-Objekt rauswerfen lassen und knipsen losziehen.
Was mir aber wirklich zu denken gab, war einmal mehr die Komplexität einer Ontologie, die mit einfachen Verknüpfungen Daten mit zugrundeliegenden Wahrheitskontexten erschließt (siehe nebenan und nebenan), und welche Anfälligkeiten sie hat. Konkreter Demoeffekt war auch ein „einfaches“ Abfragen der hundert höchsten Bauwerke Deutschlands sortiert nach Höhe plus Jahresangabe. Ist die Höhe die der Spitze des Bauwerkes? Die über Normalnull? Die der Spitze über Normalnull? Ist das Jahr die Grundsteinlegung oder die Fertigstellung, wann ist die Fertigstellung eines nie wirklich „fertigen“ Gebäudes wie dem Kölner Doms, wie alt ist so ein Gebäude „eigentlich“? Ich lernte, dass die Schweiz de facto, aber nicht de jure eine Hauptstadt hat und man sie deswegen nicht zuverlässig angezeigt bekommt, wenn man mit erhöhtem „Wahrheits“-Kriterium Hauptstädte auflisten lässt. Wir reden hier von zuverlässig angelegten und geprüften Entitäten und Attributen, und da gehts schon los. Wie sieht sowas bei den beliebten stochastischen Papageien aus? Wie geht sowas besser, und vor allem in anschlussfähig nutzbar und mit vertretbarem Aufwand pflegbar?
Leuchtende Deko
Anschließend wurde ich zur Teilnahme an Alvars Datenschutz-Quizshow animiert und verlor mit maximal negativem Impact: null Punkte und letzter Platz, nun ja, ich mag die Datenschützer ja auch nicht, aber peinlich wars mir schon. Einige mich auch wirklich überraschende Kisten wurden gefragt/beantwortet: dass in .de bereits ein einzelnes Bußgeld von über 1 Mrd. nach DSGVO verhängt wurde, war mir überhaut niht bekannt. „Häufigste Selbstmeldung“ wegen Datenschutzverstößen – ich tippte auf versehentlich falsch versendete Mail (und dachte, mit CC/BCC-Fehlern und schlicht falschen Empfängern zusammen müsste das ein klarer Fall sein). Falsch. Physikalische Datenverluste wurden genannt, aber es war… Phishing, Schwerpunkt Office365. Täglich mehrmals. Nun ja. Trotz allem: Urkunde, Glückwunsch, vierter Sieger. Wohoo!
Die FTP-Situation ist annehmbar. Katzenohrenpflicht wird gelegentlich recht nachdrücklich eingefordert. Die Menschen hier sind nett und ich fühle mich sehr wohl. 12/10, immer wieder gerne.