Verkauftes Vertrauen

scales-of-justiceHeute berichtet der Spiegel über einen erneuten Datenskandal im Gesundheitswesen. Leider werden dabei die Begriffe „verschlüsselt“, „pseudonymisiert“ und „anonymisiert“ durcheinander geworfen. Aus dem Material, das bisher an die Öffentlichkeit gekommen ist, ergibt sich mir folgendes Bild.

Geschäftsmodell Datenhandel

Deutsche Rechenzentren, die mit hochsensiblen Patientendaten arbeiten, verkaufen diese an Privatunternehmen weltweit um damit nebenher noch etwas zu verdienen. Dieses Vorgehen ist legal, wenn dabei keine personenbezogenen Daten weitergegeben werden, um statistische Untersuchungen (welches Medikament wird wann wie häufig in welcher Region verschrieben) zu ermöglichen. Bereits das finde ich problematisch, weil – so mein Eindruck aus der Berichterstattung – der verschreibende Arzt erkennbar bleibt. So können Pharmaunternehmen erkennen, ob ein Arzt auch „genug Medikamente der eigenen Firma“ verkauft um in Genuss eines „Bonusprogramms“ zu kommen. Hier ist der Übergang von Lobbyismus zu Korruption fließend.

Je sensibler desto wertvoller

Grundsätzlich dürfen solche Datensätze nur anonymisiert herausgegeben werden. Das bedeutet, dass niemand mehr die personenbezogenen Daten erkennen kann, und ist dem Schwärzen von Akten vergleichbar. Solcherart anonymisierte Daten sind aber für Datenkraken nicht sehr hilfreich, weil man bei zwei Rezepten nicht mehr erkennen kann, ob diese beide für eine Person oder für unterschiedliche Personen ausgestellt wurden.

Pseudonym ist nicht anonym

Um noch etwas mehr Geld zu verdienen, werden Patientendaten daher auch pseudonym verkauft, was nicht mehr legal ist. Anstatt die personenbezogenen Daten zu schwärzen, werden diese mit einer Nummer überklebt. Nun kann der Käufer zwar nicht feststellen, für wen ein Rezept ausgestellt wurde, aber er kann nachvollziehen, welche Rezepte zur gleichen Person gehören.

Unfähigkeit ist nicht pseudonym

Im vorliegenden Fall wird es noch schlimmer, weil anscheinend zur Pseudonymisierung eine ungeeignete mathematische Funktion verwendet wurde. Normalerweise werden für diese Zwecke kryptografisch sichere Hash-Funktionen verwendet (ich vermute der Begriff kryptografische Hash-Funktion hat beim Spiegel zur Verwendung des Begriffs „verschlüsselt“ geführt). In solch eine Funktion gibt man einen Datensatz ein und erhält eine Zahl. Jedes Mal, wenn man den gleichen Datensatz eingibt, erhält man auch die gleiche Zahl, aber aus der Zahl kann man nicht den Datensatz zurückrechnen.

Obwohl eine große Anzahl solcher sicherer Funktionen bekannt ist, wurde hier eine vollkommen ungeeignete Funktion gewählt, die es dem Käufer erlaubt, zumindest die Versicherungsnummer des Patienten, wenn nicht noch mehr Daten, herauszurechnen. Wenn dieser Käufer dann noch auf anderem Wege an die harmlos wirkende Zuordnung Patientenstammdaten (Name, Geburtsdatum, Anschrift) zu Versicherungsnummer kommt, beispielsweise aus Abrechnungsdaten eines Krankenhauses, kann er genau nachvollziehen, welche Medikamente Max Mustermann wann von welchem Arzt verschrieben bekommen hat.

Fazit

Um ein paar Euro nebenbei zu verdienen, werden das Bundesdatenschutzgesetz und die Verschwiegenheitspflicht im Gesundheitswesen umgangen. Die Daten landen im dem Land, dass passend niedrige Datenschutzvorschriften hat, und werden dort genutzt, um Dienstleistungen zu generieren. Wie das aussieht?

Sie haben einen Blutdrucksenker oder Blutverdünner verschrieben bekommen? Das lässt auf schlechten Zustand des Herz-Kreislauf-Systems schließen. Da wird das Creditrating besser mal ein paar Punkte nach unten korrigiert und die Kreditzinsen ein paar Zehntel nach oben. Ihr Vater und ihre Mutter bekommen beide Insulin, aber Sie sind gesund? Egal, Diabetes streichen wir mal direkt aus der Berufsunfähigkeitsversicherung raus. Sie haben sich Selbständig gemacht und brauchen jetzt eine private Krankenversicherung? Uiuiuiuiui. Antidepressiva. Nein, wir haben keine Versicherung für sie.

Aber, wer nichts zu verbergen hat, hat ja auch nichts zu befürchten…

Bingo!

Bingo Schild

Ich muss mal meckern. Zumindest benutzt Peter Tauber dieses Wort, um meine erste Stufe der Kritik zu beschreiben, denn bereits die Ankündigung seines Blogposts, über den ich hier schreibe, provozierte mich schon zu einer Reaktion.

Mehr Schlagwörter, weniger Inhalt

Ich liebe Sprache. Sie ermöglicht es uns komplexe Gedanken wunderschön zu verpacken und anderen Menschen mitzuteilen. Daher finde es unschön, wenn sie benutzt wird um nahezu Nichts genauso zu verpacken und damit seine Mitmenschen zu täuschen.

Auf Twitter ist das eigentlich OK. Tweets sind eine Kunstform. Twitter lebt von Schlagworten und meine erste Reaktion kann man getrost als überzogen bezeichnen. Hätte Sascha Lobo den exakt selben Tweet abgesetzt, ich hätte ihn wohl gemocht. Aber ich habe mich von meinen Vorurteilen leiten lassen und ein voreiliges Urteil über diesen „CDUler-Text“ ins Internet gekippt. Mea culpa.

Also doch Inhalt?

Inzwischen habe ich die Zeit gefunden, den verlinkten Artikel selbst zu lesen und muss feststellen, dass sich meine Meinung kein Stück ändert. Der Blogpost ist so eigentlich nur für Buzzword-Bingo zu gebrauchen. Dabei hat er viel Potential.

Die Einleitung ist nicht ganz einfach, weil sie ohne Not vom Thema ablenkt, aber ich selber schreibe ja auch nicht die prägnantesten Texte. Geschenkt. Dann folgen zwei Forderungen, die mir gefallen, aber mit mehr Leben gefüllt werden könnten. Es geht darum, den gesellschaftlichen Einfluss, den das Internet hat, endlich zu realisieren und die politischen Strukturen entsprechend anzupassen; es sollen ein Bundestagsausschuss und ein Staatsminister für Netzpolitik im Kanzleramt her. Ich wünsche mir, dass ein MdB mit so viel politischer Alltagserfahrung, wie sie Peter Tauber hat, einmal etwas detaillierter Beschreibt, was das bedeuten könnte und welche Aufgaben an diesen Stellen erfüllt werden könnten; einen eigenen Blogpost wäre das auf jeden Fall wert.

Beim Scrollen kommt schon das Kommentarfeld ins Bild und ich bekomme Angst das Ende vor dem Inhalt zu erreichen. Und dann kommt es. Das wunderbar verpackte Nichts.

„Digitale Agenda für Deutschland“

„Digitales Weißbuch“

„Multi-Stakeholder-Ansatz“

„Digitalisierung Deutschlands“

„Zielaufgaben“

„Digitalisierung von Bildungsprozessen“

„Cyber White Paper“

Bingo! We have a winner!

Da steht tatsächlich nichts anderes, als dass Peter Tauber gerne ins Wahlkampfprogramm der CDU schreiben möchte, dass die CDU sich mit anderen Interessensvertretern zusammensetzen möchte, um aufzuschreiben, was diese Leute gerne so mit dem Internet machen möchten. Und das soll es ernsthaft gewesen sein? Mehr ist da nicht drin? Ein White Paper ist nur eine Stellungnahme, ein Mittel der Öffentlichkeitsarbeit. Ist das die Netzpolitk der CDU? Ein paar überfällige strukturelle Veränderungen in Regierung und Parlament und eine gemeinsame Stellungnahme? Mir reicht das nicht.

Warum nicht etwas mehr Inhalt?

Wir brauchen keine weiteren 10 bis 20 Seiten1 Papier, auf denen steht, dass der Breitbandausbau außerhalb der urbanen Gebiete den Verantwortlichen eigentlich die Schamesröte ins Gesicht treiben müsste. Wir müssen auch nicht ein weiteres Mal niederschreiben, dass wir Fortbildungen für Lehrer brauchen, damit diese überhaupt eine Chance haben unseren Kindern Medienkompetenz zu vermitteln.

Was wir brauchen sind testbare Anforderungen, welche solch eine „gesellschaftlich relevante Gruppe“ erarbeitet. Solch ein Dokument muss natürlich den wahrgenommenen Status Quo beschreiben, aber das reicht noch nicht. Es muss darüber hinaus festlegen, was man an diesem Zustand ändern will. Dazu gehört immer ein Test mit dem man in der Zukunft feststellen kann, ob das Ziel erreicht wurde oder nicht. Beispielsweise könnte man fordern, dass bis Ende 2014 bundeseinheitliche Fragebögen fertiggestellt werden, mit denen man die Medienkompetenz von Schülern verschiedener Altersstufen ermitteln kann. Oder man könnte fordern, dass bis Ende Juni 2014 ein Gesetzesentwurf vorgelegt wird, in dem Maßnahmen festgelegt werden, für den Fall, dass der flächendeckende Breitbandausbau nicht wie versprochen funktioniert. Oder man könnte fordern, dass bis Ende 2016 ein Gesetzesentwurf vorgelegt wird, der festlegt, unter welchen Bedingungen welche Eingriffe in die Netzneutralität erlaubt sind. Solch ein Dokument könnte klare Zielvorgaben der Gesellschaft an die Politik bündeln. Optimal wäre es, wenn dieses Dokument regelmäßig und medienwirksam in einer Konferenz besprochen und aktualisiert würde.

Das Problem, welches solch ein Dokument mit sich bringen würde, ist, dass die Verantwortlichen lernen müssten, Fehler öffentlich einzugestehen. Wenn ein Gesetzesentwurf nicht fertig wurde, muss man dann auf der Bühne stehen und sagen: „Der ist noch nicht fertig“. Verständlicherweise haben davor viele Betroffene Angst, aber ich persönlich würde sehr gerne in einer Welt leben, in der Politiker ehrlich sagen können: „Unser Plan hat nicht funktioniert. Wir haben das Ziel nicht erreicht. Wir müssen uns jetzt etwas Neues ausdenken / wir brauchen mehr Zeit.“ In solch einem Fall würde man ein neues Ziel mit einem neuen Test erstellen. In der freien Wirtschaft funktionieren solche Zielvorgaben, wenn die Ziele realistisch und die Überprüfungen ehrlich sind. Als Konsequenz müssten wir als Gesellschaft dann aber auch lernen, dass es unrealistisch ist, von der Politik zu erwarten alle Ziele immer im ersten Anlauf zu erreichen.

Als letztes möchte in anmerken, dass wir eigentlich gar kein Dokument brauchen. Wir brauchen keine gebundene Sequenz von bedruckten Blättern und keine PDF-Dateien. Wir brauchen viel mehr etwas wie eine Webseite, das man einfach durchsuchen kann. Etwas auf dem man einfach nachvollziehen kann, auf welchen vergangenen Zielvorgaben eine aktuelle Zielvorgabe basiert. Etwas auf dem sich jeder Bürger ansehen kann, welche Zielvorgaben erfüllt wurden und welche nicht, und zwar mit einfach zu bedienenden Filtern und Sortiermöglichkeiten. Welche von der Telekom unterstützen Ziele wurden erfüllt? Welche vom CCC unterstützen Ziele wurden erfüllt? Wie viele Bürger unterstützen ein Ziel? Für diejenigen, die lieber ein richtiges Buch haben, kann man daraus problemlos eine gedruckte Sammlung der aktuell laufenden Zielvorgaben erstellen. Eine Beschränkung darauf macht jedoch keinen Sinn.

 

1 länger sollte ein White Paper eigentlich nicht sein, aber ich habe eher Angst, dass ein 350 Seiten Trümmer voller Verbandsstellungnahmen dabei herauskommt.

Foto by Chitrapa (Own work) [CC-BY-SA-3.0], via Wikimedia Commons

PA030 – Ein verbesserungswürdiger Antrag

Es ist jetzt schon ein paar Wochen her, dass ich in Bongs gegen den Antrag auf „Freie, rechtskräftige digitale Signaturen und E-Mail-Verschlüsselung für alle“ geredet und gestimmt habe. Ich habe damals einigen Leuten versprochen, meine Position genauer darzulegen. Ursprünglich wollte ich das Thema nur ein paar Tage sacken lassen, dann jedoch kam ein winzig wenig Arbeitsstress hinzu, was die bis heute andauernde Verzögerung begründet. Entschuldigung.

Was passiert war

Am zweiten Tag des BPT12.2 wurde als letzter Antrag PA030 behandelt. Die Antragssteller waren zur Vorstellung schon nicht mehr verfügbar, so dass es überhaupt nur zur Vorstellung kam, weil ein mutiger Pirat ohne Rücksprache den Antrag übernahm und – sehr knapp – vorstellte. Es folgte laut Protokoll:

„Anmerkung: GO-Antrag auf Meinungsbild, wer dem Antrag zustimmen würde.“

„Versammlungsleiter: Kartenszeichen. Ich teile mit, es geht stark positiv aus.“

Ich stehe am Mikrofon – ich glaube es stehen noch zwei Leute hinter mir – und sage sinngemäß, dass ich zwar kein Kryptographieexperte sei aber doch zumindest Diplom Informatiker und erhebliche Zweifel daran hätte, dass der Antrag technisch Sinn mache, und ich die große Gefahr sähe, dass wir uns zum Obst machen würden. Ich bitte um Aufklärung. Anschließend setzt eine kleine Völkerwanderung ein, die Versammlung schließt reflexmäßig die Rednerliste. Von den folgenden Beiträgen bekomme ich nur wenig mit, da mir von rechts und links (teils gleichzeitig) erklärt wird, wie das funktionieren soll, oder aber, dass ich einfach zu doof bin. Viele Gesichter sind gezeichnet von Verzweiflung ob meines ungeschickten Vorgehens, das einen tollen Antrag zu fällen droht, oder Feindschaft, weil ich es gewagt habe einen sichergeglaubten Sieg infrage zu stellen. Soweit zumindest meine ganz subjektive, egozentrische Erinnerung.

„Versammlungsleiter: Dann Abstimmung zu diesem Antrag. Wer dafür ist: Gelb. Wer gegen den Antrag ist, die blaue Karte. Die 2/3 Mehrheit wurde nicht erreicht, der ist abgelehnt.“

Warum ich nach wie vor gegen PA030 in seiner damaligen Form bin

Ich halte PA030 für verbesserungswürdig – im doppelten Wortsinn. Er ist handwerklich nicht gut genug, aber seine Ziele sind unterstützenswert und verdienen es im Grundsatzprogramm Erwähnung zu finden. Ich gehe im Folgenden auf die drei Absätze ein, die laut Antrag ins Grundsatzprogramm aufgenommen werden sollten, und zeige auf, warum diese noch nicht gut genug sind. Dabei sind einige Einwände etwas kleinkariert, aber ich spiele hier bewusst den Advocatus Diaboli, denn jede Schwäche unseres Grundsatzprogramms wird uns um die Ohren gehauen werden. Wollen wir wirklich, dass uns der netzpolitische Sprecher einer anderen Partei in einer Talkshow ein technisches Gutachten vorhält, in dem steht, dass das, was wir im Grundsatzprogramm stehen haben, Blödsinn ist? Klar kann man solch ein Gutachten anschließend entkräften, aber der Imageschaden wäre irreversibel: „Das Pannen-Programm der Piraten“ (fiktive BILD-Schlagzeile).

„Die Piratenpartei setzt sich dafür ein, ein staatlich finanziertes Trustcenter einzurichten, das jedem Bürger unabhängig vom Einkommen die Möglichkeit gibt, Dokumente und E-Mails für eine abhörsichere Korrespondenz zu verschlüsseln und rechtskräftig digital zu signieren.“

Der Kritik, dass solch ein Trustcenter nicht nur staatlich finanziert sein sollte, sondern zudem unter staatlicher – idealerweise parlamentarischer – Kontrolle stehen sollte, schließe ich mich nicht an. Zwar würde ich dies begrüßen und selber auch in den Antrag schreiben, aber solche Details braucht es im Grundsatzprogramm nicht zwingend. Viel mehr stört mich die Formulierung, dass das Trustcenter die Verschlüsselung ermöglichen soll; dies impliziert eine Schlüsselgenerierung durch das Trustcenter statt einer Signierung eigenerstellter Schlüssel. Selbst die Autoren des Antrags scheinen sich dieser Schwäche bewusst zu sein, denn in der Begründung schreiben sie:

„Wichtig zu wissen ist, dass ein vollständiges Zertifikat einen privaten Schlüssel enthält, der jedoch vom Zertifikatinhaber selbst und nicht vom Trustcenter erstellt wird. Das Trustcenter, ob nun staatlich oder nicht, kennt diesen also NICHT und hat deshalb aus technischen Gründen KEINE Möglichkeit verschlüsselte Daten zu entschlüsseln bzw. sogar digitale Signaturen zu fälschen.“

Soweit so schlecht. Die Tatsache, dass die Überschrift „Begründung“ und nicht „Erklärung“ lautet, hätte die Autoren vielleicht stutzig machen sollen. Diese Begründung kommt eben nicht ins Grundsatzprogramm und diese Begründung wird nicht mit 2/3-Mehrheit vom BPT verabschiedet. Diese Begründung kann inhaltliche Schwächen eben nicht ausbügeln, auch wenn sich die Autoren dies scheinbar wünschen.

„Die dafür notwendigen Zertifikate sollen deshalb für Privatpersonen (nicht juristische Personen) kostenlos zu erwerben und zu verwenden sein und dazu dienen, jedermann abhörsichere Kommunikation und rechtssichere Geschäfte bzw. Vertragsabschlüsse über das Internet zu ermöglichen.“

Dieser Absatz ist nicht sonderlich hilfreich, denn die Formulierung „unabhängig vom Einkommen“ aus dem ersten Absatz macht doch schon klar, dass hier keine horrenden Gebühren anfallen sollen. Wir präsentieren uns hier unnötig als Kostenlospartei und Wünschdirwaspartei. Dazu wirft dieser Absatz Fragen auf, die man nur in einem Wahlprogramm oder Positionspapier detailliert erklären kann; die Autoren flüchten sich erneut in die Begründungserklärung. Was ist mit gemeinnützigen Vereinen? Wer zahlt die Hardware, die man definitiv braucht, wenn man nicht will, dass ein 0815-Trojaner die elektronische Unterschrift fälschen kann? Wichtig ist die Forderung nach rechtssicheren Vertragsabschlüssen, die im Folgenden leider nicht genug Beachtung durch die Autoren findet.

„Die Erstellung der Zertifikate hat so zu erfolgen, dass der Staat technisch nicht in der Lage ist, mit diesen Zertifikaten verschlüsselte Inhalte zu entschlüsseln (d.h. er darf keine Kenntnis der geheimen Schlüssel besitzen).“

Dieser Absatz macht Sinn, wenn man die Begründungserklärung kennt, aber nur mit der Implikation aus dem ersten Absatz ergibt sich das Bild, dass die Piraten wollen, dass das Trustcenter dem Bürger ein Schüsselpaar ausstellt ohne den geheimen Schlüssel zu kennen. Das ist technisch natürlich Blödsinn und von den Autoren so sicherlich nicht gemeint, aber meiner Meinung nach durchaus eine naheliegende Interpretation, die uns als technisches Vollversagen vorgeworfen werden wird, sollten wir so etwas ins Grundsatzprogramm hineinschreiben.

Viel schlimmer ist aber, dass die Autoren übersehen, dass es einem Bürger möglich sein muss, zu beweisen, dass seine digitale Unterschrift gefälscht wurde. Im Gegensatz zu den ad-hoc Erklärungen auf dem BPT ist dies eben nicht dadurch möglich, jedem Bürger nur ein Schlüsselpaar zu signieren, denn jeder geheime Schlüssel kann verloren gehen oder öffentlich werden, was eine Sperrung und Neuausstellung notwendig macht. Zudem muss sich ein Vertragspartner darauf verlassen können, dass eine digitale Unterschrift nur so anfechtbar ist, wie eine normale Unterschrift, sonst wird das gewünschte Ziel der flächendeckenden Akzeptanz nicht erreicht werden. Wie solch ein Beweis anzutreten ist (z.B. durch Abdruck des Schlüssel-Fingerprints auf dem Personalausweis) muss nicht im Grundsatzprogramm stehen.

Wenn alle von einem Trustcenter signierten Schlüssel zum Vertragsschluss taugen, muss der Bürger diesem Trustcenter entweder vertrauen, dass es keine zusätzlichen Schlüsselpaare als die meinigen signiert oder beweisen können, welches Schlüsselpaar das einzig gültige ist, um Missbrauch aufklären zu können. Ich würde kein System einsetzen, das darauf aufsetzt, dass der Administrator des Trustcenters nicht hingeht und mich online bei den Piraten ab- und bei der NPD anmeldet, um anschließend entsprechende Devotionalien auf meinen Namen online einzukaufen.

Man kann all diese Probleme lösen und ich hoffe mich bis Marktbings in die Erstellung eines weiteren Antrages einbringen zu können; die Idee hat viel Potential und sollte weiter verfolgt werden.

Eine letzte Anmerkung

Die meisten Leute, die sich im Anschluss an meine Wortmeldung mit mir unterhalten wollten, haben das sehr höflich und konstruktiv gemacht, wenn auch ob der Situation leicht gehetzt. Dieses Feedback war super und ich habe mich darüber gefreut. Was ich bedauerlich fand waren die wenigen verletzend gemeinten Äußerungen, die jemandem mit weniger dickem Fell wahrscheinlich ordentlich zugesetzt hätten. Feige wurde ich aus der Menge als „Idiot“ und „zu doof die Technik zu verstehen“ beschimpft, auf Twitter fanden sich ähnlich unfeine Formulierungen, die zum Teil anschließend wieder gelöscht wurden. Ich kann die Enttäuschung verstehen, wenn ein Antrag auf dem BPT kippt, aber man sollte doch in einer demokratischen Partei ein Mindestmaß an Impulskontrolle an den Tag legen. Solche Pöbeleien brauchen wir nicht! Sie verursachen ein Klima, das dialogfeindlich ist und berechtigte Kritik mundtot machen soll.

Tweet it! Plus it! Like it!

Aus Protest gegen den Unsinn des ULD habe ich die üblichen Verdächtigen der Social Network Buttons hier integriert. Herr Weichert kann ja gerne Facebook verteufeln, aber die Bürger des eigenen Landes zu bedrohen, weil man auf Grund der eigenen beschränkten Kompetenz an Facebook nicht rankommt, ist einfach hochgradig asozial und undemokratisch.

Herr Weichert gehört entlassen.

Allein die Menge macht das Gift

Bereits Paracelsus (1493–1541) wusste „Allein die Menge macht das Gift“. Was so anschaulich für viele chemische Verbindung gilt, gilt genauso für Netzneutralität (eine schöne Einführung in das Thema liefert der Elektrische Reporter).

In seinem aktuellen Blogbeitrag schreibt Thomas Stadler über die Problematik der Netzneutralität. Darin bezweifelt er, dass „eine gesetzliche Regelung so trennscharf formuliert werden kann, dass eine Beeinträchtigung der legitimen wirtschaftlichen Interessen der Provider verhindert werden kann“. Er führt als Beleg an, dass ein gesetzlicher Zwang zur Netzneutralität die unterschiedlichen Preise für verschiedene Bandbreiten verbieten würde. Weiterlesen