WEBVTT 00:00:00.017 --> 00:00:08.315 Hallo und herzlich willkommen zum Chaosradio 277 wo wir uns mit etwas beschäftigen, wo ich ähm. 00:00:08.348 --> 00:00:17.848 Als Radiomensch fasst ein Herzkasper bekommen habe, aber da hat sich letztlich herausgestellt, es ist doch nur eine digitale Infrastruktur, die kaputt ist 00:00:17.800 --> 00:00:22.367 Und damit beschäftigen wir uns heute und haben uns äh apropos kaputt machen, dazu. 00:00:22.463 --> 00:00:28.624 Vor allen Dingen Leute ausladen, die das wirklich als Namen auch mitbringen, nämlich vom Team Zerforschung. 00:00:29.080 --> 00:00:38.166 Carlo Litt. Hallo und guten Tag. Hallo. Hey, danke für die Einladung. Und äh vom NDR ha, nein, falsch. 00:00:38.478 --> 00:00:52.831 Und eine freie Journalistin, die für den NDR arbeitet und an dem Kaputtmacht-Ding, das was wir heute sprechen, auch beteiligt ist, nämlich Svea. Hallo und guten Tag. Hi, danke für die Einladung. So und wir sprechen heute über Dicas. 00:00:53.701 --> 00:00:59.492 Und warum habe ich so einen Herzinfarkt bekommen als Radio Mensch? Weil Digaz ist ein fürchterlich altes Schnittprogramm. 00:00:59.417 --> 00:01:12.870 Ähm was an die früheren Zeiten des beginnenden Computerzeitalters was ist denn jetzt los, wenn so ein altes Schnittprogramm eine so fürchterliche Reaktion und ein Tagesschauartikel auslöst, aber dann war's doch nur eine 00:01:12.813 --> 00:01:22.097 Eine oder mehrere digitale Gesundheitsanwendungen und was das ist, wie man das macht und was daran kaputt war. 00:01:22.247 --> 00:01:23.781 Das klären wir heute. 00:01:23.778 --> 00:01:33.476 Und dann fange ich sozusagen in meiner Eigenschaft als Moderator mit der einfachsten Frage an, die mir dazu einfällt, nämlich wer was oder wie ist eigentlich ein. 00:01:33.644 --> 00:01:40.579 Genau, also Dickers, das sind digitale Gesundheitsanwendungen. Das sind also meistens Apps, manchmal auch Webanwendungen. 00:01:40.441 --> 00:01:49.131 Von einer Ärztin oder der Krankenversicherung verschrieben werden können. Also man kann man kann man quasi zum Arzt gehen und kann sagen, ich habe irgendwie Depressionen 00:01:48.993 --> 00:02:03.850 und dann sagt der Arzt ja also Therapie dauert jetzt schon ganz schön lange bis sie da einen Platz bekommen aber wir haben da jetzt was Digitales. Das können wir Ihnen auch verschreiben und dann kann man eben online eine Form von Therapie machen bei der jetzt nicht unbedingt ein Arzt beteiligt ist. 00:02:03.721 --> 00:02:08.270 Sondern äh wo man sich zum Beispiel Videos online anschaut. Und das gibt es momentan für. 00:02:08.330 --> 00:02:13.941 Ganz verschiedene Krankheiten. Es gibt davon insgesamt, ich glaube, 33 verschiedene Apps, Stand heute. 00:02:14.037 --> 00:02:21.521 Und ja die helfen einem irgendwie ohne einen Arzt aber als Medizinprodukt bei Problemen oder Erkrankungen. 00:02:22.211 --> 00:02:36.672 Das kann wirklich auch sowas sein wie Adipositas, also äh so was kann's sein, es gibt auch eine App ähm ja gegen äh wo man so ein Krebstagebuch führen kann oder wie man Medikamente bei, also Krebsmedikamente 00:02:36.552 --> 00:02:40.309 verträgt, also wirklich so eine ganz große Bandbreite. 00:02:41.143 --> 00:02:51.355 Also aber apropos ganz große Bandbreite, weil jetzt kann ich mir sozusagen vorstellen, okay, das sind Dinge, wo ich was eintrage, also wo etwas abgefragt wird, was ich mache und das sind Dinge, wo eine. 00:02:51.667 --> 00:03:01.104 Ich sag's mal, plump eine Person ersetzt wird durch den Video oder durch, keine Ahnung, interaktives Textsystem oder so was, aber das sind sozusagen die beiden Anwendungsfälle oder. 00:03:01.623 --> 00:03:05.740 Da noch mehr oder was ist diese das das Breite, von dem du grade sprachst? 00:03:06.466 --> 00:03:15.760 Genau, nee, das trifft das eigentlich schon ganz gut. Ähm ja. Ich meine, es gibt also in der Regel ist die grundsätzliche Regel, dass eine Digga 00:03:15.658 --> 00:03:25.896 nicht äh unbedingt eine ärztliche Behandlung ergänzt, sondern tatsächlich ersetzt, dass es tatsächlich nur in einzelnen Fällen so, dass da irgendwie so eine Tagebuch-App, die man auch mit seinem Arzt teilt. 00:03:25.938 --> 00:03:34.917 Bei der Krebsbehandlung, aber die grundsätzliche Regel ist eigentlich, dass das quasi eine Alternative ist zu ja, was Anderem. Es gibt 00:03:34.743 --> 00:03:47.691 sehr viele Digas zum Beispiel gegen Angst und Panikstörung, also dass wenn du äh einen konkreten ähm ja Aufkommen von der Panik hast, dass du halt eine App hast, wo du sagst okay, die kann ich jetzt 00:03:47.463 --> 00:03:58.115 aufmachen und da sind jetzt Regeln und die helfen mir oder da sind zum Beispiel regelmäßige Übungen drin, die ich machen kann, um mich zum Beispiel zu entspannen, also so Meditationsübungen. 00:03:58.212 --> 00:04:07.289 Hm. Also jetzt jetzt bin ich so hin und her gerissen. Ähm weil die erste Assoziation, die ich bei ähm. 00:04:07.637 --> 00:04:19.649 Erklärung hatte von wegen der Arztsachen, der Therapieplatz ist schwer, aber ich hätte was Digitales ist so, aha, das Gesundheitssystem ist kaputt, deswegen ersetzen wir das durch was anderes und dann weißt du, Markus sei nicht so zynisch 00:04:19.520 --> 00:04:29.209 vielleicht ist es ja total super und dann frage ich mich aber, weiß man denn in dem Fall, wo es wirklich sozusagen einen Arzt oder nur eine Fachperson ersetzen soll? 00:04:29.125 --> 00:04:32.450 Ähm ob das überhaupt wirkt. 00:04:33.581 --> 00:04:45.170 Ja, das ist natürlich eine eine ganz berechtigte und auch gar nicht so ähm oder auch da kommst du eigentlich zu einem ganz zentralen Thema bei diesen Apps, nämlich das Thema der Evidenz, ne, also 00:04:44.987 --> 00:04:51.346 sozusagen der Gewissheit, also der faktischen Gewissheit, dass diese App dann auch was bringt 00:04:51.298 --> 00:05:00.564 ne und das wäre ja eigentlich der Fall, wenn du das austauschen könntest, also wenn du sagen könntest, okay ähm so eine App ist genauso gut wie ein Therapeut. 00:05:00.426 --> 00:05:13.104 Ja. Was sie natürlich ist halt eine App, ne und kein Therapeut, aber so so wäre ja, so müsste man ja eigentlich ja ich äh ich würde ich würde auch ich wäre auch noch zufrieden mit es ist was anderes als ein Therapeut, aber es hat auf jeden Fall eindeutig belegbar. 00:05:13.137 --> 00:05:14.986 Positive Heilungseffekte. 00:05:15.226 --> 00:05:26.428 Ja und das ist genau eigentlich das, was man ähm bei diesen auch wollte, also als der Jens Spahn sich die ausgedacht hat ähm das war schon zweitausendneunzehn. 00:05:26.524 --> 00:05:39.463 Da wollte der das, also sozusagen, dass dass es dann ähm eine Prüfung gibt und es gesagt wird, okay, das ist irgendwie die funktioniert und ähm dann kann die auch gegen Geld und zwar auch gegen dich unerheblich viel Geld, also 00:05:39.361 --> 00:05:50.266 ordentliche Summe. Auch von der Krankenkasse verschrieben werden diese App vom Arzt. Und da äh genau das ist man so ein bisschen aber in so ein bestimmtes äh Fahrwasser gekommen, weil 00:05:50.110 --> 00:06:01.086 man natürlich das Ganze auch schnell haben wollte und nicht jetzt eine epische, lange Prüfung Evidenz heißt ja oft lange Studien, ne? Muss man viele Leute lange befragen, viele Fragebögen 00:06:00.921 --> 00:06:07.964 ich habe das Gefühl, jetzt machen wir so den zweiten Schritt vor dem erst, weil die die Frage wirkt dann, deshalb meinte ich erst mal viel globaler 00:06:07.763 --> 00:06:23.439 Hier sind wir sozusagen schon im Konkreten, ne? Also ein neues Heilmittel so auf dem Markt, dann muss das konkrete Heilmittel natürlich, also denkt man jetzt in seiner Leinensicht irgendwie auch nachgewiesen haben, dass es hilft. Aber ich meine so äh wirklich ganz global gesehen äh natürlich kommt irgendwie jemand auf die Idee, könnte man da nicht was Digitales machen 00:06:23.337 --> 00:06:25.230 Das Konzept überhaupt 00:06:25.129 --> 00:06:34.206 Gibt es da irgendeine ein äh ein konkretes Fallbeispiel von Nachweisbarkeit oder wie ist man auf die Idee gekommen, das überhaupt zu machen ähm also. 00:06:34.212 --> 00:06:39.481 War das besser, weil Wissenschaftler ihnen festgestellt haben, man kann auch digital 00:06:39.433 --> 00:06:45.630 Heilungszwecke verfolgen oder war das, weil ein Start-up eine Idee hatte, hey, lass uns doch mal eine App machen, da kann man bestimmt fett Kohle machen. 00:06:45.699 --> 00:06:56.981 Nee, also es gibt schon Apps, ähm die ähm grade zum Beispiel im Bereich Abnehmen ähm ganz gute und auch äh durch Studien belegbare Erfolge haben, ne, also dass 00:06:56.790 --> 00:07:00.789 du eine bestimmte Anzahl von Kilo abnimmst, wenn du mit einer App 00:07:00.706 --> 00:07:17.336 deiner Ernährung trackst und wenn du ähm ja wenn die dich dazu motiviert, also das gibt es schon, also es ist natürlich mit dem Geld verdienen und den Startups, das kommt natürlich irgendwo auch dazu, aber es so Apps können wirklich helfen, auch grade Rückenschmerzen zum Beispiel 00:07:17.126 --> 00:07:25.087 ähm indem man halt regelmäßig Übungen macht. Klar, die Übung muss man auch immer noch selber machen. Dann äh dann können die schon was bringen, diese Apps. 00:07:26.128 --> 00:07:27.508 Okay, also. 00:07:27.676 --> 00:07:39.247 Im Prinzip ist es ein Konzept, das ist erstmal nicht schlecht und dann äh jetzt hast du schon angedeutet oder sagen schon erzählt, das ist im Konkreten, wie's in Deutschland grade gehandhabt wird so ein bisschen ein Ding, weil. 00:07:39.370 --> 00:07:51.607 Man sich gedacht hat, das dauert so lange bis zur Zulassung. Das heißt, welche, also wenn so was in Deutschland passiert, wie kommen die denn aufn Markt? Wie kommen die eine Zulassung? Sagen einfach, schaut her, wir sind toll. 00:07:51.910 --> 00:08:06.254 Ja im Prinzip, dass also die das Verfahren ist so angelegt, dass die ähm Hersteller eine sehr, sehr lange Liste ähm also zum größten Teil sind das tatsächlich Checklisten ausfüllen müssen, wo sie dann auf einer Haufen Fragen einfach nur. 00:08:06.593 --> 00:08:13.861 Äh antworten müssen, zutreffen, zutreffend, zutreffend und dann geht das an die äh ans B-Farm, also das Bundes äh. 00:08:14.002 --> 00:08:19.127 Bundesamt für Arzneimittel und Medizinprodukte oder so ähm. 00:08:19.511 --> 00:08:26.212 Und also da muss noch ein bisschen mehr rein, da muss irgendwie beschrieben werden, wie die Evidenz äh. 00:08:26.236 --> 00:08:36.204 Erfasst werden soll, dass es auch tatsächlich hilft. Das müssen Sie nämlich zum Staat auch noch nicht nachweisen können und so ein bisschen allgemeine Sachen gegen was es jetzt helfen soll und so weiter und was es natürlich auch kostet. 00:08:36.778 --> 00:08:43.631 Aber das BFAM prüft ähm laut eigener Aussage nur in Einzelfällen diese Sachen nochmal genauer nach 00:08:43.628 --> 00:08:52.940 und zum größten Teil vertrauen die tatsächlich darauf, was die Hersteller sagen. So war es zumindest zum Start der Digas. Inzwischen haben sich da ein paar kleinere Schritte geändert. 00:08:53.882 --> 00:08:59.718 Okay, also hast du mir gerade sozusagen erklärt, dass die 00:08:59.652 --> 00:09:06.875 Zulassung einer App als digitale Gesundheitsapp Grunde genommen auf der Selbstauskunft der Hersteller basiert? 00:09:07.917 --> 00:09:10.836 Gut, für das erste Jahr. 00:09:11.553 --> 00:09:19.469 Für das erste Jahr und dann? Äh nach dem ersten Jahr muss man eigentlich eine Studie vorlegen, die beweist, dass die App 00:09:19.439 --> 00:09:22.053 positive Versorgungswirkung hat. 00:09:22.095 --> 00:09:34.431 Nicht so auf dem Level von dieser App heilt. Mhm. Aber mit der App ist irgendwie was besser man das gut genug nachweisen kann, dann bekommt man nach einem Jahr im sogenannten Fast-Track-Verfahren 00:09:34.275 --> 00:09:45.693 eine endgültige Zulassung als digitale Gesundheitsapps, aber die allermeisten Apps, Stand heute sind noch in diesem Fasttrack-Verfahren und noch nicht endgültig zugelassen, weil eben noch diese Studien fehlen. 00:09:46.275 --> 00:10:00.565 Da an der Stelle würde ich schon sagen, da liegt auch ein bisschen der Hase im Pfeffer. Wir haben für die Recherche auch ähm mit den Krankenkassen gesprochen und die ähm regen sich da ziemlich drüber auf, also nämlich genau dieser Punkt, ab wann. 00:10:00.571 --> 00:10:09.432 Ähm ab wann bringt eine App was, mit was vergleichst du das eigentlich? Und die haben uns gesagt, die Apps müssen nachweisen, dass sie besser sind als nix. 00:10:09.852 --> 00:10:21.576 Mhm. Aber die müssen nicht nachweisen, sie sind besser entweder als ein real Therapeut in real life, ja? Oder, das wäre ja eigentlich jetzt kommt das, was ich eigentlich am besten oder interessantesten finde 00:10:21.384 --> 00:10:28.472 sie nachweisen müssen, dass sie besser oder genauso gut funktionieren wie eine vergleichbare App, die es auf dem Markt schon gibt 00:10:28.271 --> 00:10:33.873 also das könnte man ja machen, dass man sagt, es gibt schon drei Abnehm-Apps, ähm die haben das und das nachgewiesen. 00:10:33.690 --> 00:10:41.912 Bist du dran, ne? Kannst du das auch schaffen. Nein, die müssen nur nachweisen, sie sind besser als nichts und das ist halt was, wo die Krankenkassen sagen. 00:10:42.026 --> 00:10:51.761 Ja hm also hm ja so. Das klingt so ein bisschen als könnte man auch Homöopathie da pfui Markus. Entschuldigung. Ähm. 00:10:52.253 --> 00:11:05.174 Okay, also es gibt Apps, die sind digitale Gesundheitsapps, da weiß man nichts zu, also man weiß, dass das theoretische Konzept funktionieren kann. Man weiß aber im konkreten Fall immer nicht, ob's wirklich funktioniert, weil die Hersteller sagen, es funktioniert, aber sonst prüft das niemand so richtig nach. 00:11:05.036 --> 00:11:12.907 Ähm jetzt sind wir schon auf den Schritt gegangen äh digitale Gesundheitsapps vielleicht gehen wir nochmal eins zurück, sagen was unterscheidet die denn von 00:11:12.760 --> 00:11:26.851 von normalen Apps. Also ich meine, wenn ich jetzt einen App Store aufmache, dann gibt's ja da irgendwie 1000 Fitness-Apps zum Beispiel, die versprechen bestimmt auch alle, ähm dass mein Rücken davon besser wird. Aber gibt's da einen Unterschied oder ist der Unterschied nur dass die. 00:11:27.209 --> 00:11:30.902 Vom System in der Art und Weise begutachtet wurden, wie wir's gerade erklärt haben. 00:11:31.683 --> 00:11:43.713 Also zum einen das und zum anderen der größte Unterschied ist, dass du nicht dafür zahlen musst, sondern deine Krankenkasse, also deine Ärztinnen oder wenn du eine Diagnose hast, sogar die Krankenkassen direkt, ähm. 00:11:44.034 --> 00:11:49.060 Entscheiden, dass die App jetzt was Gutes für dich wäre und dann zahlt das halt komplett die Krankenkasse. 00:11:50.308 --> 00:11:55.434 Das ist aber sozusagen keine andere Klasse von Apps, sondern du könntest die Sepp genauso gut auch frei im App Store verkaufen. 00:11:55.539 --> 00:12:09.630 Bei Medikamenten ist es ja so, du kriegst sie nur, wenn sie der Arzt verschreibt, weil sie eben sozusagen was ganz Besonderes sind und du kannst also jetzt in der Regel, es gibt natürlich Ausnahmen und so weiter und so fort und äh Medikamente, wo das doch geht, aber in der Regel ist ja so, Medikamente kriegst du nicht einfach. 00:12:09.555 --> 00:12:21.315 Dass wir also hier analog sozusagen sind Gesundheitsapps, digitale Gesundheitsapps sind die was Besonderes, was es nur auf Verschreibungen gibt oder oder ist der Unterschied eben nur das sind Apps, aber die werden von der Krankenkasse bezahlt. 00:12:21.744 --> 00:12:34.540 Der Unterschied ist, das sind Apps, die werden von der Krankenkasse bezahlt. Also ähm bei vielen dieser Apps ist es so, dass sie bereits bevor sie in der wurden irgendwie existierten, im App Store waren ähm oder sonst wie zu bekommen 00:12:34.456 --> 00:12:43.992 Vieles sind ja auch nur Webseiten ähm und man sich dies schon so kaufen konnte und auch immer noch kaufen kann. Aber wenn's halt eine ist, dann kann die Krankenkasse das bezahlen. 00:12:44.043 --> 00:12:47.206 Dann müssen eben nicht die ähm Patientinnen 00:12:47.149 --> 00:12:56.019 nochmal selber nochmal selber dafür blechen, was ja eigentlich auch eine gute Idee ist. Du hast irgendwie eine Krankheit, es gibt eine funktionierende App. Warum übernimmt das nicht die Krankenkasse? 00:12:56.025 --> 00:13:05.228 Mhm. Ich habe zum Beispiel selber äh jetzt während Corona, da war so viel Homeoffice, was auch nicht super viel rumgesessen. Dann hatte ich so eine Rückenschmerz-App 00:13:05.027 --> 00:13:10.954 die fand ich richtig gut, habe die total gerne benutzt, aber ich weiß gar nicht, nach drei Monaten oder wann war's Probe-Abo 00:13:10.735 --> 00:13:22.543 gelaufen und die wollten klar die die war halt richtig teuer oder für meine für ich dachte mir so nee das würde ich eigentlich nicht bezahlen habe ich bei der Krankenkasse angerufen und gesagt hey das ist so eine App die hilft mir, die ist echt gut, aber Krankenkasse. 00:13:22.597 --> 00:13:37.033 Das geht nicht, ähm weil das ist eben keine zugelassene App, also die können wir ihnen eben nicht erstatten, auch wenn wenn sie jetzt sagen, die hilft ihnen was, das nutzt halt nichts, ne? Und ähm dementsprechend ist es wirklich so, die, die dieses Verfahren durchlaufen haben, die 00:13:36.823 --> 00:13:42.831 können dann von der Krankenkasse erstattet werden und das Interessante ist halt, dass die Preise von diesen Apps 00:13:42.738 --> 00:13:52.427 Dann ähm teilweise, also es ist halt irre Preissteigerung ähm gab, also wir haben einen Fall hieraus ähm recherchiert. Das war so eine Migräne-App. 00:13:52.379 --> 00:14:02.168 Die hat äh so 65 Euro im Jahr gekostet, wurde dann eine kostete dann 880 Euro im Jahr, also von 65 auf 880 Euro. 00:14:02.399 --> 00:14:11.008 Preissteigerung. Also im Sinne von wenn die wenn die jemand selber bezahlt hat, also als App im App Store dann so viel, aber wenn's über die Krankenkasse abgerechnet wird dann so viel. 00:14:11.419 --> 00:14:23.845 Genau ja und die anderen, also durchschnittlich ähm so äh viele, die Gas kosten im Quartal, also drei über drei Monate kosten die so um die fünfhundert, vierhundertfünfzig, 500 Euro. 00:14:23.680 --> 00:14:28.247 Also muss man sich echt mal vorstellen, für drei Monate, wenn wir so eine Abnehm-App 00:14:28.019 --> 00:14:41.796 äh wie sage ich mal in drei Monaten reicht ja oft nicht, wenn man jetzt wirklich Übergewicht hat und man braucht das vielleicht ein Jahr, dann reden wir über Kosten von 2000 Euro im Jahr. Ne, im Vergleich jetzt zu anderen Apps, äh die beim Abnehmen auch helfen. 00:14:41.568 --> 00:14:46.045 Die weiß ich nicht, vielleicht 80 oder 90 Euro kosten bei unbegrenzter Nutzung. 00:14:46.672 --> 00:14:55.641 Ich möchte mal so tun, als wüsste ich die Antwort noch nicht. Ähm wenn man das so hört, dann ist das erstmal viel Geld, aber dann könnte man ja überlegen, na ja gut, das ist schon so. 00:14:55.827 --> 00:15:11.260 Aber der Unterschied zwischen App und App Store, die eine Privatperson verkauft wird, ist halt, dass kauft die Privatperson, dann kann die halt damit machen, was sie will. Wenn das äh von einem Arzt verschrieben wird und dann sozusagen über die Krankenhaus abgerechnet wird, sind ja vielleicht sozusagen manche Ansprüche höher, also 00:15:11.050 --> 00:15:16.877 eben die der Wirksamkeit, haben wir ja schon gerade geklärt, wie hervorragend das auch alles nachgewiesen wird 00:15:16.685 --> 00:15:24.511 aber vielleicht auch einfach keine Ahnung, gibt's dann andere Anforderungen an die Infrastruktur, die dahinter steht 00:15:24.328 --> 00:15:35.845 oder an Pflichten, Dinge zu dokumentieren oder besondere Datenschutzbedingungen oder irgendwas. Also habt ihr da eine Recherche irgendwas entdeckt, was ähm. 00:15:36.346 --> 00:15:43.866 Naheliegt, dass vielleicht der Betrieb einer App teurer wird, wenn sie eben im offiziellen Gesundheitssystem drin ist. 00:15:44.836 --> 00:15:56.694 Also nee, eigentlich leider nicht wirklich. Ähm also ich meine, man muss sich halt in die deutschen Datenschutzbedingungen halten, aber das muss man ja eigentlich immer in Deutschland eine App verkauft. Ja. Und es gibt natürlich so ein paar 00:15:56.674 --> 00:16:13.007 Ankreuztests, die man machen muss mit, ja, erfüllt man irgendwie bestimmte Regelungen im Datenschutz, die irgendwie primär dem deutschen Recht entsprechen ähm und diese Arbeit muss man sich machen und man muss sich die Arbeit machen, halt einmal diese Zulassung zu bekommen und ich verstehe, dass es irgendwie schon für die Unternehmen ein anstrengender Prozess ist 00:16:12.815 --> 00:16:15.869 dabei ja schon nachweisen müssen, dass ihre App 00:16:15.839 --> 00:16:23.548 irgendwie, irgendwie sinnvoll ist, so ein bisschen zumindest in diesem Fragebogen. Ähm wenn man aber sich anschaut, welche Apps das dann auf sich nehmen. 00:16:23.572 --> 00:16:27.725 Sind das halt häufig nicht die international bereits guten Apps für 00:16:27.596 --> 00:16:40.472 bestimmte Bereiche, sondern das sind halt Apps, vor allem von deutschen Herstellern, die eine relativ äh kleine Zielgruppe haben und von denen man häufig den Eindruck hat, dass sie relativ günstig auch produziert wurden, weil natürlich, wenn man nur auf den kleinen deutschen Markt mit seiner App. 00:16:40.497 --> 00:16:55.344 Uns spezifisch für diese Zulassung arbeitet, dann ähm kann man da nicht so viel Geld rein investieren während ein Unternehmen, das irgendwie global eine richtig gute Sport-App machen möchte, eine viel größere Zielgruppe hat, mehr Leuten diese App anbieten kann 00:16:55.206 --> 00:16:59.323 und dann dafür die App nicht spezifisch auf digitale Gesundheitsapps zugeschnitten. 00:16:59.338 --> 00:17:05.562 Hat. Also deswegen ein Qualitätsmerkmal ist, dass äh siegel oder das Label Diga für mich auf keinen Fall. 00:17:05.856 --> 00:17:13.736 Aber wir reden ja gerade also das das klang schon durch. Wir reden ja gerade über das Geld. Ähm das heißt ist da dein ein. 00:17:14.165 --> 00:17:24.782 Vorwurf, viel werden die Krankenkassen, die gesetzlichen Klammer auf, das Solidarsystem, das dafür sorgen soll, dass man's sich als Privatmensch nicht dumm und dämlich bezahlt, wenn man krank ist, kann man zu äh geschröpft wird. 00:17:25.427 --> 00:17:34.216 Das ist ja, also das ist zumindest auch das, was was der ähm was die Krankenkassen sagen, also die sagen halt ähm 00:17:34.051 --> 00:17:46.873 An sich eigentlich Digas coole Idee, vor allem für so ich sage mal niederschwellige oder Krankheiten, die so in die Breite gehen, also Beispiel Rückenschmerzen, wie viele Deutsche haben Rückenschmerzen oder Übergewicht oder 00:17:46.663 --> 00:17:50.600 auch sowas wie Angststörung oder Depression, wo man eigentlich sagt 00:17:50.408 --> 00:17:57.064 macht eine günstige App, die viele Leute möglichst einfach benutzen können und möglichst in einem frühen Stadium schon. Und. 00:17:57.106 --> 00:18:11.584 Beißt sich da aber irgendwie die Katze in den Schwanz, wenn so eine App äh in drei Monaten 4 500 Euro kostet, ähm wird die auch von den Ärzten zurückhaltend verschrieben, weil die dann auch lieber sagen, okay ähm Rückenschmerzen, nee, ähm da verschreibe ich. 00:18:12.059 --> 00:18:25.124 Verschreibe ich lieber ähm eine manuelle Therapie, das das bringt im Zweifel mehr, ne und so und so so kommt da eigentlich das, was man wollte, ähm ja, so so kommen da diese zwei Sachen am Ende nicht zusammen. 00:18:25.652 --> 00:18:28.815 Man sieht das auch so ein bisschen. Also das ist 00:18:28.623 --> 00:18:47.872 Das ist auch in dem System so angelegt, also das erste Jahr eben in diesem Fast-Track-Schnellzulassungsverfahren dürfen sich die Hersteller einfach aussuchen, wie viel sie für ihre Apps verlangen. Also es gibt so einen ganz grober Rahmen ähm in dem das sich bewegen muss, aber die sind unglaublich groß und da dürfen sich's die Hersteller einfach aussuchen und es gibt einige Apps, die eben dieses 00:18:47.816 --> 00:18:53.148 Einjährige Schnellzulassungsverfahren schon hinter sich haben und jetzt in der Dauerzulassung sind 00:18:52.929 --> 00:19:01.178 Da sieht man dann teilweise, dass die Preise einfach in dem Moment, wo die Krankenkassen mit am Tisch sind und mit verhandeln, einfach mal um 50 Prozent äh 00:19:01.040 --> 00:19:08.524 sinken und es plötzlich halt nur noch die Hälfte kostet, nachdem da auch mal drüber verhandelt wurde und nicht die Hersteller sich das alles selber überlegt haben. 00:19:08.647 --> 00:19:14.825 Also ich muss das nochmal fragen, ob ich's richtig verstanden habe. Es gibt einen Markt. 00:19:15.048 --> 00:19:23.288 In diesem Markt sind Dinge zugelassen, deren Qualitätsaussage ist die Aussage dessen, der sie herstellt 00:19:23.267 --> 00:19:28.806 der sagt ja, das funktioniert und der darf dann auch selber den Preis festlegen. 00:19:29.145 --> 00:19:41.850 Und kriegt das Geld dafür aber nicht von einzelnen Menschen, die sie dazu bereit erklären zu sagen, ja das ist mir das wert, das kaufe ich, sondern von unserem gemeinschaftlich finanzierten Solidarsystem und es gibt da keine Instanz, die sind nicht irgendwie. 00:19:41.964 --> 00:19:54.327 Rechenschaftspflichtig, dass sie sagen müssen, dass der Betrieb kostet uns so und so viel und dann sagt man, okay, dann könnt ihr noch so und sonder das ist wirklich, der Hersteller sagt, ich habe ein Produkt, das Produkt funktioniert und dafür will ich jetzt tausend Euro. 00:19:54.612 --> 00:20:02.690 Absolut. Also das ist es ist wirklich komplett absurd. Das ist halt so, uns ging es bei der Recherche auch immer wieder so, dass wir uns sagten, ey, das ist so als 00:20:02.507 --> 00:20:21.820 würde man irgendwie sagen ja VW hat sich jetzt einen neuen Motor ausgedacht. Ja wir schauen da jetzt mal nicht so genau drauf. Wir messen jetzt die Abgase nicht. Wir vertrauen einfach mal dem, was der Hersteller sagt und dann lassen wir das mal ein Jahr fahren und nach einem Jahr sollen dann bitte mal Abgaswerte vorgelegt werden und dann muss auch gezeigt werden, dass dieser Motor in dem Jahr nicht 00:20:21.691 --> 00:20:26.546 jede zweite Ecke explodiert ist, aber bis dahin vertrauen wir den erst mal. 00:20:27.066 --> 00:20:35.756 Die Hand des Maklers. Ein unfassbar wirkungsvolles Instrument. Ich bin immer wieder total begeistert. Ähm okay. 00:20:36.545 --> 00:20:45.064 Jetzt habt ihr, jetzt gibt es, äh es gab es ja vor, je nachdem, wann ihr das hört, Wochen, Tagen, Monaten, ähm diese Recherche, die dann auch äh. 00:20:45.304 --> 00:20:51.420 Relativ gut rumgegangen ist, glaube ich zumindest. Hat sich denn in diesem Punkt da irgendwas geändert? 00:20:52.506 --> 00:21:03.933 Gab's irgendwelche Reaktionen von irgendwelchen offiziellen Behörden, Bundesgesundheitsministerium? Kassenärztliche Vertretungen oder wo sie gesagt haben, ja genau, das wollten wir auch schon mal sagen. Jetzt müssen wir mal wirklich draufhauen oder ist das eher so äh. 00:21:05.118 --> 00:21:11.333 Also es gab viele, die das Problem auch gesehen haben, auch von den äh Krankenkassen, die 00:21:11.186 --> 00:21:17.508 da auch nicht begeistert drüber sind und es gehabt, das fand ich sehr lustig, eine Pressemitteilung des ähm. 00:21:17.577 --> 00:21:26.916 Spitzenverbands, digitale Gesundheitsversorgung oder so. Mhm. Wo auch so ein bisschen der Tino war, ja, die Lücken waren schlecht, aber die wurden ja voll schnell behoben. 00:21:27.345 --> 00:21:28.806 Und ähm. 00:21:28.947 --> 00:21:40.428 Die Unternehmen sind auch so ein bisschen darauf angewiesen, ähm dass so ehrenamtliche Sicherheitsforscherinnen wie die Zerforschung vorbeikommt und solche Lücken aufzeigt. Moment, jetzt bist du schon beim zweiten Teil der Sendung. 00:21:40.533 --> 00:21:47.171 Aber ich entnehme dem zwischen den Zeilen äh die haben nichts dazu gesagt, dass sie Blutsauger sind. 00:21:47.510 --> 00:21:54.706 Nee, ausm BMG haben wir gar nichts gehört. Wir haben so unter der Hand, wie gesagt, ein bisschen was von den Krankenversicherungen mit 00:21:54.496 --> 00:22:10.811 bekommt, die sich sehr über diese Recherche gefreut haben die, die sich bei uns gemeldet haben, was natürlich immer so ein ist. Äh und äh wir haben vom Spitzenverband äh zumindest was gehört, äh wo die sich auch ein bisschen darüber gefreut haben, von den Krankenversicherungen. Aber es gab keinen 00:22:10.628 --> 00:22:19.534 also bei uns angekommen ist, keine offizielle Aussage mit wir wollen an diesem ganzen Verfahren jetzt was ändern. Wobei es es 00:22:19.378 --> 00:22:34.586 Es gibt ein, also das ist schon beschlossen, es soll, also es soll besser werden, also es gibt so ähm jetzt hier für zwanzig3undzwanzig ähm wurde, sollte die also die Datensicherheit sollte eben erhöht werden und ähm das 00:22:34.394 --> 00:22:41.544 da sollen die jetzt irgendwie ab Januar zwanzig dreiundzwanzig, so wenn man sich so ein Zertifikat vom BSI für Datensicherheit besorgen und 00:22:41.425 --> 00:22:44.704 dem ersten Vierten 3undzwanzig auch für Datenschutz 00:22:44.494 --> 00:22:58.451 Also da war so ein bisschen das, was so bei uns dort ankam, war okay, das ist jetzt Mist, aber ähm durch dieses Zertifikat vom BSI oder auch ähm dann das wird ja dann alles besser, wobei ich muss ehrlich sagen, bin ich jetzt nicht so von überzeugt 00:22:58.412 --> 00:23:13.025 ich muss aber grundlegenden und die grundlegenden Probleme dieses Zulassungsprozesses geht das ja auch alles nicht an. Also die Hersteller müssen dann zwei Zertifikate mehr vorlegen, aber sie dürfen sich immer noch die Preise selber ausdenken. Sie müssen immer noch bei der Anmeldung keine Evidenz haben. 00:23:13.013 --> 00:23:23.027 Ich wollte gerade sagen, ne. Ich habe ja ich spreche momentan immer noch über dieses Geldding, was mich ja sozusagen wirklich sehr vom Honker gehört. Ähm und jetzt der der Hörer oder die Hörerin, die vielleicht noch 00:23:22.862 --> 00:23:32.263 gar nichts mitbekommen hat vom ganzen Themapreis jetzt im Moment mal Datensicherheit, was ist denn hier los? Tja, liebe Freunde, herzlich willkommen beim Caos Radio. Hier gehen Dinge kaputt und werden angezündet. 00:23:32.107 --> 00:23:38.673 Ähm also nochmal von vorne. Es gibt also Apps. 00:23:39.192 --> 00:23:46.694 Die nach Aussage der Hersteller sozusagen total sicher sind und sehr teuer und dann werden die doch auch. 00:23:46.853 --> 00:23:49.953 Ich weiß gar nicht, ob wir an dieser Stelle wir müssen, glaube ich, nicht. 00:23:50.148 --> 00:23:57.776 Nicht nochmal besonders, also man kann's auch einmal sagen, Gesundheitsdaten sind persönliche Daten, persönliche Daten sind schützenswert, das klingt bei Gesundheitsdaten vielleicht doch mal 00:23:57.683 --> 00:24:07.633 ganz besonders, weil das ja höchstpersönlich, auch wenn man diese Unterscheidung machen will, Daten sind, die zu diskriminierung führen können, wenn sie äh an die Öffentlichkeit kommen 00:24:07.477 --> 00:24:16.473 oder schlicht und einfach auch niemanden etwas angehen, außer die behandelnden Parteien. So und dann würde man aber denken so, also wenn es jetzt also da schon Apps gibt. 00:24:16.795 --> 00:24:24.332 Und ähm Little hat das, glaube ich, vorhin schon gesagt, äh das deutsche Datenschutzgesetz gilt ja sowieso, dann werden doch diese Apps sehr sicher sein. 00:24:24.185 --> 00:24:35.873 Oder? Ja, okay. Sendung zu vorbei. Äh doch, nein, ich will es schon, ich würde schon gerne gerne genauer wissen. Ähm. 00:24:36.582 --> 00:24:45.974 Vielleicht du merkst ein bisschen zu dem ihr, warte mal, also wenn ich wenn ich's richtig im Kopf habe, es geht doch jetzt um 2 Apps, die sozusagen. 00:24:46.340 --> 00:24:51.699 Sagen wir mal suboptimal sicher sind und bevor wir da über diese beiden konkreten Fälle sprechen, vielleicht noch mal. 00:24:51.732 --> 00:24:58.406 Ist es ein generelles Problem oder anders fragt, habt ihr noch gegen mehr Sachen gegengetreten, die dann aber ganz geblieben sind? 00:24:58.709 --> 00:25:03.348 Oder war das so, das sind die beiden Ersten, die sind kaputt und alle anderen sind es wahrscheinlich auch. 00:25:04.408 --> 00:25:10.766 Also wir haben außerdem beiden Konkreten jetzt noch auf andere, mal so oberflächlich draufgeschaut, aber wie das ähm 00:25:10.673 --> 00:25:22.352 immer mal so ist, dann schaut man sich halt so eine ganze Reihe an und bei manchen hat man direkt ein schlechtes Bauchgefühl oder schaut drauf und denkt direkt, oh das sollte so nicht sein, bemerkt vielleicht sogar 00:25:22.295 --> 00:25:28.059 innerhalb von sehr kurzer Zeit, dass da was wirklich kaputt ist an der Lösung und dann schaut man nochmal genauer nach 00:25:27.948 --> 00:25:36.800 Schaut sich das nochmal genauer an und stellt dann halt die ganz großen Sicherheitslücken fest und die ganz schlimmen Dinge und dann ist das schon genug Arbeit 00:25:36.699 --> 00:25:44.380 das alles richtig zu melden eben zu veröffentlichen wie überhaupt auf die Idee gekommen 00:25:44.306 --> 00:25:48.782 sozusagen euch jetzt mit Digas zu beschäftigen, weil das so hm. 00:25:48.870 --> 00:25:58.703 Da ist ein neues Betätigungsfeld. Lasst doch mal gucken oder gab es einen Anlass sozusagen so einen Anfangsverdacht. Also ich meine, äh wer zur Forschung so ein bisschen verfolgt 00:25:58.619 --> 00:26:11.882 der weiß, dass wir uns äh immer mal wieder gerne mit dem Gesundheitsmarkt beschäftigen und insbesondere, wenn das da irgendwie schnell viel Geld zu verdienen gibt, wie während corona, haben wir uns ja irgendwie all die verschiedenen Testzentrumsanbieter 00:26:11.690 --> 00:26:17.608 alles rund um covid halt, was es so digital gab, mal genauer angeschaut und dabei eine ganze Menge Sicherheitslücken gefunden. 00:26:17.722 --> 00:26:26.385 Dann haben wir letztes Jahr eine größere Reihe zum Thema äh Schul-Apps gemacht, also sprich digitale Bildungs-Apps und haben da auch eine ganze Menge Sicherheitslücken gefunden. 00:26:26.841 --> 00:26:28.762 Irgendwie haben wir dieses Jahr so gesehen, ah. 00:26:29.065 --> 00:26:39.960 Digitale Gesundheitsapps, das ist ja eigentlich genau dasselbe Modell, wo man schnell Geld verdienen kann, wo Leute schnell Sachen bauen und da hatten wir natürlich kein so gutes Gefühl bei diesem Markt, sondern haben wir gedacht. 00:26:40.003 --> 00:26:42.877 Den schauen wir uns mal genauer an. 00:26:42.883 --> 00:26:52.447 Und dann haben wir einfach auf gut Glück uns welche von den 33 Apps rausgesucht und haben da halt mal eben so schnell draufgeschaut und bei zweien wurden wir dann wirklich schnell fündig. 00:26:52.309 --> 00:27:00.720 Was wie muss man sich das vorstellen? Weil ich könnte ja so an einem an einem Beispiel konkret machen. Also äh ich habe den Namen gerade nicht parat. Welche beiden Apps waren das? 00:27:01.419 --> 00:27:04.636 Wofür sind die da? 00:27:05.101 --> 00:27:18.931 Also ist als zugelassen für Brustkrebspatientinnen und Novego ist zugelassen für Depressionen in allen schwierig schwere Geraden. 00:27:19.270 --> 00:27:28.465 Lass uns äh lass uns über Depressionen sprechen. Ein ein Zustand, äh der kein schöner ist und 00:27:28.399 --> 00:27:36.144 wo man, glaube ich, besonders drauf angewiesen ist, dass das Umfeld, in das man sich begibt, um Hilfe zu suchen, vertrauenswürdig ist. 00:27:36.321 --> 00:27:42.985 Wie funktioniert diese App und an welcher Stelle habt ihr dann an einem Faden gezogen? 00:27:43.280 --> 00:27:53.815 Also das ist eine Web-App, also das heißt, man geht auf eine Webseite, man meldet sich da an und dann kann man so einen digitalen Gesundheitsappcode eingeben, damit es zur digitalen Gesundheitsapp. 00:27:53.839 --> 00:27:58.811 Man kann das aber auch ohne diesen Code so ein bisschen benutzen mhm. Und das haben wir gemacht, weil wir ja kein Geld für diese App. 00:27:58.853 --> 00:28:07.967 Natürlich ähm und dann loggt man sich da ein und dann äh bekommt man so online Videokurse dazu, wie man mit seiner Depression besser klarkommt. 00:28:08.243 --> 00:28:15.573 Und man bekommt regelmäßig so Fragebögen und so Informationen zu was sind Depressionen oder wie gut geht es einem gerade 00:28:15.490 --> 00:28:20.282 Das macht man dann über so ein Quartal und damit sollen quasi Depressionen besser werden. Mhm. 00:28:20.216 --> 00:28:25.530 Und na ja, wir haben uns da halt einfach mal angemeldet und haben uns so die Funktionen angeschaut, die das Tool so hat 00:28:25.428 --> 00:28:39.213 Und weil das ja der deutschen Datenschutzregelung äh irgendwie unterliegt, äh hat das auch so eine tolle Datenschutzgrundverordnungsexportfunktion. Das bedeutet, da kann man sich alle Daten runterladen, die die App über einen erfasst. 00:28:39.841 --> 00:28:49.305 Und na ja, diese Funktion haben wir uns mal genauer angeschaut und ähm diese Funktion, die sendet dann quasi einen Server. Ich bin diese Nutzer in ID. 00:28:49.518 --> 00:28:51.790 Laden wir mal alle Daten für mich runter. 00:28:51.913 --> 00:28:59.874 Und wenn man da diese ID hochgezählt oder runtergezählt hat, dann hat man die Daten von einer anderen Person bekommen. 00:29:00.609 --> 00:29:09.398 Und dann hatte man quasi wunderschön maschinenlesbar nach aktuellen Gesundheitsstandards, da gibt es wirklich ganz gute Standards zu. Äh die Daten aller Leute 00:29:09.314 --> 00:29:11.514 von knapp 1.000 Menschen 00:29:11.466 --> 00:29:22.910 Depressionstagebüchern, mit äh was der Grund war, also die äh Erkrankung, für die sie sich angemeldet haben, weil die haben das auch vor Angststörung, Verschlafstörung. Das ist aber nicht 00:29:22.800 --> 00:29:26.647 als Diga zugelassen, sondern ich glaube nur der Depressionspart ist wieder zugelassen. 00:29:26.653 --> 00:29:37.827 Und äh E-Mail Adresse, Name und so weiter und so fort, also halt so ein komplettes Profil über eine Person mit Depression oder einer anderen nicht so schönen Erkrankung. Also nur weil sie das technisch richtig verstehe. 00:29:38.563 --> 00:29:52.771 Man kann seine Daten herunterladen, seine eigene also ist die Idee hat eine ID und diese ID ist nicht eine zufällige Zeichenfolge, sondern anscheinend legen die ihre Kundinnen, wenn man das so will, an als fortlaufende Nummer. Das heißt, man kann das hoch oder runter zählen. 00:29:52.858 --> 00:30:00.108 Genau und das ist sozusagen, wenn man diese ID hat und diese Maske eingibt, kommen alle Daten. Das heißt, es wäre theoretisch denkbar gewesen. 00:30:00.024 --> 00:30:09.029 Ein automatisiertes Programm zu schreiben, das einfach die ID von eins an hoch zählt und dann einfach alle Daten runterlädt und so die komplette Datenbank? 00:30:08.954 --> 00:30:15.079 Des Anbieters er ausliest mit einem Account, den man sich einfach so jederzeit klicken kann. 00:30:15.148 --> 00:30:21.551 Ja, exakt das. Jesus, fuck. Entschuldigung. Ähm wow. 00:30:22.872 --> 00:30:31.976 Äh sitzt da jetzt jemand im Gefängnis eigentlich? Also Entschuldigung, weil wenn ich das so platt frage, aber äh mal andersrum gefragt. Ja. Das. 00:30:32.513 --> 00:30:34.055 Wenn man eine App baut. 00:30:34.188 --> 00:30:43.832 Ja. Wo es um vertrauliche Daten gibt, dann also ich ich weiß sozusagen im juristischen Bereich wird mittlerweile, wenn's um Technologie und Digitales geht sozusagen mit einem 00:30:43.676 --> 00:30:52.555 äh manchmal so argumentiert, dass dass gewisse Dinge einem technischen Standard ähm genügen müssen. 00:30:53.182 --> 00:31:00.441 Das ist doch sozusagen weit davon entfernt oder nicht? Also ich meine, das ist doch absolut das ist definitiv nicht der aktuelle Stand der Technik. Also das sind. 00:31:00.609 --> 00:31:09.362 Ganz, ganz einfache Fehler, die so grade bei solchen sensiblen Daten und eigentlich bei allen Daten nicht passieren dürfen. Also das 00:31:09.161 --> 00:31:26.539 Das stand dann auch in irgendeinem Artikel zu der Sache IDs hoch und runter zählen, das ist so der Lieblingstrick von Zerforschung und das stimmt halt leider, weil sehr sehr oft bei solchen Lösungen das schon reicht. Also das Sicherheitskonzept der Hersteller scheint darauf zu basieren, dass außer ihnen niemand zählen kann. 00:31:26.392 --> 00:31:33.110 Und wir können's. Also was mir so sehr irritiert ist ja ähm. 00:31:33.711 --> 00:31:42.221 Dass er dieses sozusagen die ID einer Person raten. Ja? Das ist sozusagen, das ist ja nur ein allereinfachster Angriff und 00:31:42.164 --> 00:31:52.429 Den gibt es dann sozusagen nochmal in der allerreinfachsten Variante, weil's einfach fortlaufende Nummern sind. Aber eigentlich müsste ja generell all die dürfte doch all dies raten, dass das dürfte doch eigentlich nicht klappen, oder? 00:31:52.975 --> 00:31:58.911 Ja, dürfte nicht, tut's leider halt doch immer wieder. 00:31:58.845 --> 00:32:09.533 Also eigentlich dürften diese Daten nicht mal zentralisiert auf einem Server liegen aus unserer Sicht, weil so sensible Daten, äh wenn's darum geht, irgendwie so ein Tagebuch zu haben, das man für sich selbst erstellt. 00:32:09.576 --> 00:32:13.981 Sollte nicht für zehn.000 Leute auf so einem Server bei so einem Anbieter liegen, sondern das sollte vielleicht. 00:32:14.140 --> 00:32:21.191 Lokal auf dem Telefon oder lokal auf dem Computer und maximal verschlüsselt bei dem Anbieter liegen, sodass der selbst keinen Zugriff auf hat. 00:32:21.459 --> 00:32:35.478 Also wir finden das schon super absurd, dass diese Daten so erhoben werden dürfen, geschweige denn, dass sie eben völlig unfähig sind, diese Daten zu sichern. Weil jetzt müssen wir aber trennen sozusagen, was du jetzt sagst, das ist sozusagen eure Vorstellung von Datensicherheit nicht, was die DSGVO vorschreibt. 00:32:36.150 --> 00:32:49.936 Das ist ein bisschen komplizierter, weil ich meine, es gibt ja schon das Prinzip der Datenminimierung bei besonders sensiblen Daten laut DSGVO, die bei Gesundheitsdaten vorliegen. Mhm. Ähm will man ja schon eine Datenminimierung haben 00:32:49.825 --> 00:32:55.418 Also deswegen ist das natürlich so eine Sache, da kann man mit vielen Juristinnen lange drüber diskutieren, aber das. 00:32:55.694 --> 00:33:01.684 Es gibt auf jeden Fall Menschen, die das auch so sehen wie wir, dass die DSGVO da schon eine Datenminimierung vorsieht. Okay. Ähm. 00:33:01.969 --> 00:33:09.615 Wie war's denn bei der anderen App? So sagen wir ihr habt auch IDs hochgezählt oder war's ein anderer eine andere Art von Angriff, eine kompliziertere vielleicht. 00:33:10.053 --> 00:33:13.738 Es war na ja, ich weiß nicht, ob es komplizierter war. Also wir haben uns. 00:33:14.230 --> 00:33:24.000 Auch da ähm die App so ein bisschen angeschaut und haben dann relativ schnell das Registrierungsformular für Ärztinnen gefunden. Mhm. Das ähm konnte man einfach äh googeln. 00:33:24.258 --> 00:33:33.543 Und dann ähm haben wir uns dort mal als Ärztin registriert, dass es eigentlich noch keine Sicherheitslücke, weil wenn die ein gutes, einen guten Schutz sonst haben, dann kann sich da. 00:33:33.657 --> 00:33:45.120 Jede Person als Ärztin registrieren und dann siehst du aber ja nichts, weil du hast ja kein Krankenhaus, du hast keine Patientinnen. Mhm. Kannst maximal, keine Ahnung, dir einen lustigen Namen geben, aber das ist ja das ist ja kein Data Bridge. 00:33:45.864 --> 00:33:56.679 Und dann haben wir uns angeschaut, wie kommuniziert die Website mit den Servern, die dahinter liegen und haben dann irgendwie die die Schnittstellen gefunden kurz weil ich noch Zeit habe, also das war ein Ding 00:33:56.568 --> 00:34:02.719 da äh von Brustkrebs betroffene Personen führen ein Tagebuch und darauf kann der Arzt oder die Ärztin dann zugreifen. 00:34:02.896 --> 00:34:15.250 Genau und da können äh da kann drin gespeichert werden, welche Medikamente genommen und verschrieben werden, wie es den Menschen an sich geht und ich glaube, das war der Teil, der auch als Tiger groß zugelassen wurde 00:34:15.193 --> 00:34:19.823 reine Arztpatientinnenkommunikation ist noch keine Digga. Ähm. 00:34:20.289 --> 00:34:25.819 War, dass die Patientinnen dort die Symptome, die sie haben, eintragen können und die App 00:34:25.762 --> 00:34:34.452 dann automatisch erkennt, ob dies jetzt ernste Symptome sind, wo man sofort mit einem Arzt drüber reden muss oder ob das noch ein bisschen mehr Zeit hat. Mhm. 00:34:34.890 --> 00:34:39.367 Und ähm genau, dann hatten wir uns als Ärztin registriert 00:34:39.247 --> 00:34:49.846 und haben so ein bisschen rumgeschaut, wie kommunizieren Server und Website miteinander, wie tauschen die Daten aus, wie wie kommen die Daten dahin, die wir sehen und haben dann die Schnittstellen gesehen und 00:34:49.726 --> 00:35:03.970 Da gab's irgendwie eine Schnittstelle über die ähm prinzipiell Patientinnen abrufbar waren, haben wir aber keine bekommen, weil wir ja keine Patientinnen hatten, eine andere über die Krankenhäuser abrufbar waren ähm jetzt muss ich sie kurz fragen. Das ist aber schon ein bisschen mehr 00:35:03.878 --> 00:35:12.180 Magic im Sinne von, ihr habt da Netzwerkverkehr beobachtet, also ist nicht so was eingetragen, sondern das ist schon ein Schritt mehr Technologie. 00:35:12.556 --> 00:35:31.463 Na ja, ja, aber es ist so Rechtsklick im Browser-Entwicklerinnen-Tools ähm und da stand dann alles. Hm und da haben wir einfach mal so ein bisschen äh durchgescrollt, was da so alles äh für für Anfragen drin waren und dann haben wir gesehen, es gibt für alles mögliche, was nur, für ein was haben wir, keine Anfragen gesehen, für Abteilungen in den 00:35:31.271 --> 00:35:38.665 in den Krankenhäusern, weil du willst ja auch nicht, keine Ahnung der Person aus der Onkologie auch Zugriff geben auf die 00:35:38.509 --> 00:35:46.713 Keine Ahnung, auf die Corona-Station. Das sind ja irgendwie getrennte Teile, die sollen, das dürfen's vielleicht sogar gar nicht sehen. Mhm. Und dann ähm. 00:35:46.746 --> 00:35:56.183 So ein bisschen geschaut, okay Patienten war Slash Krankenhaus oder irgendwas anderes. Okay, dann raten wir einfach mal vielleicht ist Slash Departments, ja da wo die Abteilungen. 00:35:56.208 --> 00:36:05.456 Äh Abbruch gerufen werden. Mhm. Und das war's auch tatsächlich, nur dass wir da nicht wie in den anderen Fällen genau das sehen, was wir sehen durften, sondern da sahen wir alle Abteilungen. 00:36:05.669 --> 00:36:09.786 Allen Krankenhäusern und dann hatten wir schon irgendwie. 00:36:09.918 --> 00:36:18.590 Eben das schlechte Bauchgefühl, was ich vorhin schon meinte und haben halt etwas weitergeschaut und an anderen allen anderen Stellen war's so, man konnte nur Daten auch bearbeiten. 00:36:18.614 --> 00:36:20.589 Auf die man auch selber Zugriff hatte. 00:36:20.730 --> 00:36:33.867 Bei den Abteilungen war's wieder nicht so. Wir konnten dort selber ähm die Abteilung bearbeiten. Also wir hätten sie irgendwie umbenennen können, was schon schlimm genug ist, aber wir konnten eben auch bearbeiten, welche Ärztinnen in dieser Abteilung arbeiten. 00:36:33.900 --> 00:36:36.793 Da konnten wir uns dann einfach selber reinschreiben und plötzlich. 00:36:36.907 --> 00:36:46.281 Hatten wir Zugriff auf die auf alle Daten, die halt die Ärzte in dieser Abteilung sehen konnten. Also welche Patientinnen sind dort, welche Daten haben die Patientinnen gespeichert und so weiter. 00:36:47.620 --> 00:36:57.246 Also auch hier man braucht technischen Grundsachverstand, aber. 00:36:57.459 --> 00:37:07.437 Das soll jetzt nicht diszipliniere ich euch gegenüber klingen, aber sozusagen, das ist doch im Prinzip was, das kann man rausfinden, wenn man einfach genug Zeit hat. Das ist so das ist auch, also 00:37:07.353 --> 00:37:20.112 viele von den Projekten, die wir machen, viele von den Recherchen, die wir haben, das sind Sicherheitslücken auf einem extrem niedrigen Level, wo wirklich keine großen Skills, keine spezialisierten Tools nötig sind, sondern eben ein bisschen mal. 00:37:20.352 --> 00:37:32.490 Um die Ecke gucken und vielleicht mal so dieses hm was passiert denn, wenn ich diesen Knopf drücke oder was passiert denn, wenn ich diesen Knopf von der Seite betätige? Oh dann dann explodiert irgendwas, dann geht irgendwas schief. Das sollte so nicht sein. 00:37:32.658 --> 00:37:36.370 Meine wir machen eigentlich immer was, was 00:37:36.277 --> 00:37:44.544 standardmäßig Softwareentwicklungsprozess passieren sollte. Wir denken mal fünf Minuten drüber nach, wie denn dieses System vermutlich gebaut wurde 00:37:44.406 --> 00:37:53.456 und wie man das denn ordentlich absichern würde und was man dabei vergessen haben könnte. Also was, was eigentlich gute Softwareentwicklerin auch jeden Tag machen sollten, äh. 00:37:53.471 --> 00:38:01.513 Und ja, wir machen's dann halt auch mal, aber von außen und häufig geht dabei was kaputt oder wir finden was kaputtes, sagen wir's besser so. 00:38:02.059 --> 00:38:05.591 Wie seid ihr denn also ich meine, da. 00:38:06.029 --> 00:38:18.158 Also mal abgesehen davon, dass ne, dass es dass es sozusagen der technische Ableger sagt, keine keine Zauberei ist und äh das dann möglicher, also und das das heißt ja eigentlich auch, das kann jeder schaffen, der so drauf ist wie ihr. 00:38:18.426 --> 00:38:24.352 Vielleicht aber eine andere Motivation hat. Also ich meine, dass irgendwie ähm das halt. 00:38:24.673 --> 00:38:29.555 Persönliche Daten von depressiven Patientinnen abgerufen werden können oder halt 00:38:29.426 --> 00:38:43.293 Krebstagebücher. Das ist ja eine mega krasse, ähm mega krasses Datenleck. Ähm wie das ist ja Dank Aue auch eine Verantwortung, die ihr dann habt, ne. Also ihr wisst dann, wie's geht und habt dann theoretisch Zugriff drauf. Wie was macht man dann damit. 00:38:44.208 --> 00:38:55.860 Genau, also sobald wir diese Lücken finden, setzen wir uns hin und schreiben einen Report, wie sind wir da hingekommen, wie funktioniert das, welche Lücken sehen wir, welche Gefahren sehen wir und so weiter und so fort. 00:38:55.821 --> 00:39:05.798 Und wenn wir diesen Report geschrieben haben, dann geht der ein paar mehr Stellen, dann geht er einerseits natürlich sofort an den Hersteller. Mhm. Der geht aber auch an die Landesdatenschutzbeauftragten. 00:39:05.805 --> 00:39:12.478 Und der ging in dem Fall auf jeden Fall auch an das BAM, als zuständige Stelle für die digitalen Gesundheitsapps. 00:39:12.484 --> 00:39:18.510 Und an die Landesdatenschutzbeauftragten, äh damit die ein Ermittlungsverfahren anstreben gegen die Unternehmen. 00:39:18.525 --> 00:39:32.409 Und dann versuchen wir, möglichst schnell den Hersteller dazu zu bringen, dass er uns zumindest schon mal sagt, ich habe eure E-Mail bekommen. Ich sehe diese Lücke und ich kümmere mich drum. Das versuchen wir in der Regel so, ja, innerhalb von zwei Tagen hinzubekommen äh und 00:39:32.271 --> 00:39:42.330 rufen die dann einfach so lange an und nerven die so lange, bis sie uns das irgendwie geben, weil das ist leider auch immer wieder nötig, weil dann sagen die ups, der Report ist leider im Spam gelandet oder so. 00:39:42.201 --> 00:39:49.387 Genau aber das ist erstmal der erste Schritt und dann versuchen wir die Hersteller halt dazu zu bekommen das möglichst schnell zu schließen. 00:39:49.403 --> 00:39:54.563 Danach diese gesellschaftliche Debatte zu führen, die wir heute auch so ein bisschen führen. Aber 00:39:54.480 --> 00:40:04.880 Ähm weil ihr gesagt habt, dass ihr die verschiedenen ähm offiziellen Institutionen auch ranschreibt, dann würde man sich ja wünschen, dass quasi das analoge ähm der Feuerwehr wird ein riesiger 00:40:04.805 --> 00:40:15.593 brandgemeldet. Sofort gehen die Türen auf mit Blaulicht, Rasen, Tanklastzüge zum Brandherd und ähm so würde man sich die Reaktion wünschen. Wie ist es in Wirklichkeit? Will ich das überhaupt wissen? 00:40:16.274 --> 00:40:17.285 Es ist 00:40:17.202 --> 00:40:26.522 gerade bei den Datenschutzbehörden haben wir ja jetzt mit einigen zu tun gehabt und sehr unterschiedliche Erfahrungen gemacht. Also es gibt Datenschutzbehörden, die. 00:40:26.546 --> 00:40:30.573 Sind so ein bisschen so, die rufen einen dann auch irgendwie abends ähm 00:40:30.408 --> 00:40:44.697 wo die eigentlich schon längst wahrscheinlich Feierabend haben sollten, nochmal äh nochmal an und lassen sich das nochmal erklären und versuchen das auch selber zu verstehen und dann halt möglichst schnell Schritte zu gehen, damit es geschlossen wird. Und dann gibt's andere ähm. 00:40:44.865 --> 00:40:47.848 Die machen so das Bär Minimum, die machen so. 00:40:47.917 --> 00:41:01.946 Die sagen vielleicht, die sagen teilweise nicht mal, okay danke, wir haben einen Report, sondern teilweise müssen wir dann auch dort nochmal anrufen und nachfragen, ob die's überhaupt bekommen haben oder auch da ist es, ähm dass es auch diesmal passiert im Spam gelandet und dann haben wir erstmal lange nichts mehr gehört von denen. 00:41:02.483 --> 00:41:10.174 Oder die gehen dann vielleicht mal eine Woche später vorsichtig auf das Unternehmen zu und bitten das um eine Stellungnahme zu dem Vorfall. 00:41:10.189 --> 00:41:21.769 Und in der Recherche jetzt war ich ein ganz besonders schockiert von dem Umgang von der B-Farben mit dem ganzen Thema, weil da haben wir das ja auch hingemeldet und dann habe ich auch mal mit denen telefoniert 00:41:21.640 --> 00:41:33.256 Und dann war das mehr so, dass er sich angefühlt hat, als hätten wir da über Tagesgeschäft geredet. Also die waren sehr, sehr, sehr entspannt. Ich meine ja, das haben wir halt öfter, dass Sicherheitsforschende das melden. Das ist ja auch gut so. 00:41:33.154 --> 00:41:42.204 Aber halt überhaupt nicht alarmiert oder ich hatte nicht den Eindruck, dass die jetzt so an ja wir ergreifen jetzt sofort Maßnahmen, um uns darum zu kümmern, sondern das war halt so, ja, ja, passiert halt. 00:41:42.507 --> 00:41:52.160 Bei denen auch mal eine IFG-Anfrage gestellt, wo die Antwort hoffentlich in ein paar Wochen kommt, wo ich sehr gespannt bin, wie viel Vorfälle es da wirklich gibt. Jetzt hast du IFG-Anfrage gesagt, jetzt musst du auch erklären, was es ist. 00:41:52.554 --> 00:42:05.600 Äh das IFG ist das Informationsfreiheitsgesetz ein sehr tolles Gesetz auf Bundesebene, das allen Menschen erlaubt, einfach bei einer Behörde nachzufragen und zu sagen, hey, gebt mir mal diese und jene Akte und darüber habe ich eben 00:42:05.544 --> 00:42:17.286 nachgefragt über die sehr gute Plattform fragt den Staat. Ähm hier gebt mir doch mal bitte alle Meldungen, die an euch gegangen sind zu solchen Sicherheitsvorfällen und dann müssen sie's mir eigentlich geben. Und da bin ich jetzt sehr gespannt auf die Antwort 00:42:17.211 --> 00:42:23.902 Wie haben die Hersteller reagiert? Also die beiden konkreten jetzt. 00:42:24.115 --> 00:42:36.379 Also ähm wir haben ja äh die haben relativ schnell und sehr freundlich reagiert in der Kommunikation, haben das auch innerhalb von einem Tag oder zwei gefixt, also die waren relativ zügig 00:42:36.305 --> 00:42:42.051 und ja haben dann gesagt, ja ist jetzt geschlossen und das haben wir dann noch nachgeprüft und das war auch so. 00:42:41.994 --> 00:42:52.259 Dann haben wir den Fall Cancado und der hat damit begonnen, dass wir erstmal keine Reaktion auf unseren Report bekommen haben, bis wir dort äh versucht haben, Leute immer wieder anzurufen. 00:42:52.113 --> 00:43:01.019 Haben wir irgendwann den Geschäftsführer erreicht, der uns dann gesagt hat, ja der ist leider im Spam gelandet, sorry ähm wir kümmern uns aber jetzt drum. 00:43:01.097 --> 00:43:10.525 Ähm dann, nachdem wir gesehen haben, der Report ist angekommen, hatten wir einen Tag später, würde ich sagen, eine Twitter DM 00:43:10.495 --> 00:43:20.095 von einem indischen Entwickler, äh der uns darum gebeten hat, ob wir ihm auf Englisch nochmal erklären können, was denn genau das Problem ist, weil er halt unseren Report bekommen und er versteht den nicht so ganz. 00:43:21.235 --> 00:43:31.050 Und äh ja dann haben wir gesagt, das ist irgendwie ein bisschen unprofessionell. Das ist jetzt vielleicht nicht, wie wir äh also was auch nicht unsere Dienstleistung ist, dass wir uns mit den Herstellern hinsetzen. 00:43:30.930 --> 00:43:38.018 Und äh unsere Reports noch mal ganz genau erklären. Also wenn's da irgendwie sehr konkrete Fragen gibt, dann machen wir das natürlich gerne. Mhm. Ähm aber halt vielleicht 00:43:37.898 --> 00:43:41.052 nicht auf dem Level so. Einfach 00:43:40.959 --> 00:43:51.611 4000 Euro im Quartal? Nein, okay, war nur so. Nein, das ist nicht wie es, genau, wir sind, genau, wir sind äh zivilgesellschaftlich und wir haben kein Interesse dran, damit Geld zu verdienen so. 00:43:51.500 --> 00:44:05.880 Äh genau und dann haben die das tatsächlich irgendwann auch repariert gehabt und äh haben uns unseren Zugang offen gelassen und so eine Nachricht geschickt, ja wenn ihr noch was findet, sagt doch gerne Bescheid. Ich habe hier weiter Zugang zu uns rein. Ähm 00:44:05.796 --> 00:44:09.373 und äh ja, dann haben wir nochmal so ein bisschen noch mal drauf geschaut und. 00:44:09.397 --> 00:44:22.822 Wieder eine Sicherheitslücke gefunden, die endlich trivial war, haben die wieder gemeldet und dann wollten die mit uns darüber anfangen zu diskutieren, ob das überhaupt eine Sicherheitslücke ist, aber wir hatten Zugriff auf die Patientinnendaten, damit war es für uns eine Sicherheitslücke 00:44:24.584 --> 00:44:33.859 und äh genau da endete dann die Story irgendwie so. Dann haben sie das irgendwie doch noch so geschlossen bekommen oder haben uns auch aus der App rausgeworfen, dass wir das nicht mehr so gut prüfen konnten. 00:44:33.775 --> 00:44:43.464 Und ja also das lief bei denen nicht so gut. Bei Noego lief es eigentlich relativ vorbildlich von der Kommunikation mit dem Unternehmen zumindest? 00:44:43.597 --> 00:44:53.502 Noch eine spannende Frage, dass die ähm vielleicht die kleine Anekdote noch da am wir haben ja die Hersteller dann auch noch mal konfrontiert. Also wir kamen ja erst viel 00:44:53.463 --> 00:44:59.128 so ein bisschen dann dazu das wollte ich später gleich fragen. 00:44:59.099 --> 00:45:05.394 Sagen wir das? Komme ich komme ich gleich dazu. Ähm ich wollte noch eine andere Frage stellen und zwar die ähm. 00:45:05.544 --> 00:45:14.144 Wenn ich richtig informiert bin, ist es doch in Deutschland mittlerweile so, wenn ein Datenleck passiert, müssen die Betroffenen informiert werden. Wisst ihr, ob das passiert ist? 00:45:15.996 --> 00:45:21.508 Also wir wissen's nicht. Wir gehen fast davon aus, dass es nicht passiert ist. Ähm. 00:45:21.955 --> 00:45:32.563 Weil das das ist auch so eine offene Diskussion, wo wir eine Meinung haben und leider sehr viele Leute eine andere, dass eben in solchen Fällen immer die Betroffenen informiert werden müssen, die 00:45:32.344 --> 00:45:41.061 manche Datenschutzbehörden und natürlich die Hersteller und deren Anwältinnen stellen sich immer auf den Stand, die sagen, nee, sie müssen nur informiert werden, wenn's einen 00:45:40.833 --> 00:45:45.409 er erhöhtes Risiko für die Rechte und Freiheiten der betroffenen Person gibt 00:45:45.379 --> 00:45:53.097 Und das ist in dem Fall nicht gegeben, weil die Daten hat ja nur Zerforschung und die kennen wir, die sind lieb. 00:45:53.265 --> 00:46:04.206 Also so war die Argumentation auch die Landesdatenschutzbehörde NRW war das, glaube ich, die dem Spiegel sagte, zur Forschung sei bei bei der Behörde als vertrauenswürdig 00:46:04.077 --> 00:46:12.758 bekannt und deshalb sehen Sie keine weiteren Schritte, die der Hersteller da gehen muss, wozu man halt auch sagen muss, also wir machen wahrscheinlich keinen Unfug mit den Daten. 00:46:12.746 --> 00:46:18.870 Aber das wissen die Hersteller nicht so richtig und einen Vertrag mit uns haben sie auf gar keinen Fall. Also. 00:46:18.994 --> 00:46:23.461 Die Vertrauen uns da einfach mal so blind, dass wir schon keinen Quatsch machen werden. 00:46:23.558 --> 00:46:35.371 Also also aber davon mal abgesehen, ich dachte, ich hätte das vorhin so verstanden, wenn ihr die Sicherheitslücke findet, dann kann die auch jemand anders finden mit demselben technischen Sachverstand und derselben Zeit und damit ist doch dann quasi. 00:46:35.432 --> 00:46:41.970 Also ich meine, ist nachweisbar, dass die Daten nicht abgeflossen sind? Also die Hersteller sagen ja 00:46:41.967 --> 00:46:50.684 Aha. Die sagen, wir haben nachgeschaut, wir haben ganz tolle Lockfiles und das ist da ist nichts passiert in die Richtung bis zur Forschung um die Ecke kam. 00:46:51.096 --> 00:46:59.426 Da haben wir aber halt auch keine Handhaber, als denen zu vertrauen, weil wir wissen zwar viel über ihre Patientinnen, aber wir wissen nicht genau, was in deren Lockfiles steht. 00:46:59.468 --> 00:47:05.511 Na gut, also liebe liebe Patientin, wenn ihr diese beiden Apps benutzt überlegt mal. 00:47:05.922 --> 00:47:11.272 Wie vertrauenswürdig es noch ist oder oder sagt uns Bescheid, ob ihr was davon gehört habt. Das wäre auch sehr interessant. 00:47:11.126 --> 00:47:24.263 So, genau Svea, jetzt sozusagen zu zu der zu der nächsten Schnittstelle, weil ihr habt jetzt äh gerade gesagt, also ne, erst erst der Vorgang die Sicherheitslücke zu stopfen und die Behörden zu informieren und dann die Gesellschaft für Diskussion und 00:47:24.260 --> 00:47:31.807 Da ist der Schritt dann sozusagen mit einem Medium zusammenzuarbeiten, in dem Fall NDR und WDR. Wie wie ist das passiert? Wie wie wie 00:47:31.606 --> 00:47:40.125 Macht ihr das? Habt ihr, habt ihr eh sozusagen eine Standleitung in die deutschen Redaktionen, weil ihr seid ja wirklich seit irgendwie ein, zwei Jahren äh unterwegs oder wie wie geht so was vonstatten. 00:47:41.076 --> 00:47:49.586 Na ja, so ein bisschen schon, also ähm wir hatten mit Svea und anderen Kolleginnen vom NDR schon mal eine Veröffentlichung gemacht 00:47:49.448 --> 00:47:56.590 und wir denken uns halt immer, okay, wenn wir jetzt so was gefunden haben, wir wollen die gesellschaftliche Debatte und es ist schön, wenn wir das auf unserem Blog veröffentlichen, aber. 00:47:56.353 --> 00:48:06.646 Das Lesen dann zwar relativ viele Leute, aber das ist halt doch irgendwie unsere Bubble und damit sich was ändert, muss es irgendwie in die Breite gehen und das kann halt so das können die klassischen Medien viel besser als wir 00:48:06.535 --> 00:48:14.370 Mhm. Und dann war's in dem Fall tatsächlich so, dass ich schwer eine Single Nachricht geschrieben habe mit hey, wir haben da was gefunden. 00:48:14.430 --> 00:48:17.430 Wir glauben, das ist interessant, wollt ihr euch das auch mal anschauen? 00:48:17.635 --> 00:48:26.630 Genau, ja. Was ist dann passiert? Genau, bei uns ist es dann so, dass ähm genau, die Zeas haben ja mit uns relativ 00:48:26.457 --> 00:48:38.531 breit, also auch dir vor allem den technischen Report geteilt. Was was immer ganz gut ist, weil dann können wir auch das selbst alles ein bisschen nachvollziehen und auch beurteilen und ähm ich jetzt in meinem Fall, ich 00:48:38.448 --> 00:48:44.554 bin ja vor allem IT und Security-Reporterin und ich habe mich dann wiederum zusammengetan mit einem Kollegen, mit 00:48:44.344 --> 00:48:50.324 Markus Grill. Das ist so unser einer unserer Gesundheitsspezialisten und ähm 00:48:50.142 --> 00:48:57.896 macht ganz viel diese Gesundheitsthemen und habt dann gesagt, komm Markus, kannst du dir das mit mir zusammen mal anschauen und vor allem mal rausfinden, 00:48:57.695 --> 00:49:03.108 wie relevant, wie wichtig ist das jetzt eigentlich, ne? Weil schon so vor diesem Hintergrundsicherheitslü 00:49:02.889 --> 00:49:22.796 gibt's ja ziemlich oft, also ist immer so eine Frage ähm ja wie viele Leute sind betroffen? Ähm wie relevant es in dem Fall war's halt sehr relevant, weil sehr sensible Daten und auch natürlich noch diese Kombi mit eben vom BVMZ von einem Bundes, ne, von einem Bundesbehörde noch zertifiziert. Das hat das Ganze eben noch mal ähm relevanter gemacht 00:49:22.694 --> 00:49:34.724 und ähm genau, dann haben wir uns das ähm zusammen angeschaut und haben dann auch nochmal ja eigene Recherchen angestrengt ähm halt einfach uns nochmal, sage ich mal, durch die Gegend telefoniert, Sachen, Reports gelesen 00:49:34.559 --> 00:49:45.968 um einfach diesen Sachverhalt einfach nochmal so auf eine breite Basis zu heben und sozusagen ausgehend von der Sicherheitslücke nochmal ein bisschen breiter genau zu diesen Dias dann zu recherchieren und zu berichten. 00:49:46.298 --> 00:49:59.525 Ist das? Ähm ich mache gleich mal auf jeden Fall weiter, aber besser sagen eine Gefahr, weil jetzt habt ihr gesagt, na okay, also das ist noch mal besonders, äh besonders empfindliche Daten, aber ich hab's ja am Anfang so ein bisschen diese zynische Geisteshaltung na ja gut Sicherheitslücken ähm. 00:49:59.891 --> 00:50:14.613 Besteht da irgendwann eine Ermüdungsgefahr? Also wenn jetzt jede Woche Gesundheitsapps mit höchstpersönlichen Daten auf aufgehen würde, ist es natürlich eigentlich immer dramatisch, aber Journalismus folgt ja manchmal sozusagen auch so einer Erregungsschleife oder eben Erregungsabnahme. 00:50:14.493 --> 00:50:23.399 Meinst du es es könnte sozusagen so einen Effekt geben, wenn nur genug Leute schlechte Software bauen, berichtet irgendwann niemand mehr drüber, weil's einfach so ist. 00:50:26.070 --> 00:50:36.254 Ich glaube schon, dass das ein bisschen so ist. Also ich erinnere mich zumindest an die Testzentren, also da äh das war ja was, wo wir am Anfang auch äh uns irgendwie wahnsinnig drüber aufgeregt haben, dass da 00:50:36.035 --> 00:50:48.650 diesen Testzentren äh Corona-Test ne, dass man da halt äh teilweise auch super einfach an diese persönlichen Daten rankam und nachdem zur Erforschung über ich weiß nicht, wie viele ihr am Ende aufgemacht, aber über sehr viele berichtet hatte. 00:50:48.432 --> 00:50:53.377 Genau, setzte auch schon eine so eine gewisse Ermüdung ein, deswegen ist es natürlich klar, immer 00:50:53.275 --> 00:51:03.090 auch wichtig zu gucken, okay wie relevant ist diese Lücke jetzt ähm wie wichtig ist das, dass wir hier berichten und das war jetzt in dem Fall würde ich sagen schon 00:51:02.916 --> 00:51:05.116 gerade halt durch diese politische 00:51:04.960 --> 00:51:15.540 und auch gesundheits ähm technische Kombinationen, was halt schon super relevant. Ja äh das also habe ich verstanden, aber ich meinte sagen im Sinne von wenn jetzt jede Woche so was rauskommen würde, würde die über die 40ste. Sicherheitslücke. 00:51:15.654 --> 00:51:22.166 Die dieselbe sozusagen also nur selbes Vorgehen, aber es ist halt einfach die vierzig dann sozusagen dann sinkt sozusagen auch die Chance, dass über so was berichtet wird. 00:51:22.829 --> 00:51:39.081 Vielleicht also es kommt echt drauf an ähm halt wie was vom Umfeld, also wie relevant ist das ne und wenn's jetzt nur eine Sicherheitslücke ist, ja klar, dann wird man irgendwann sagen okay, lass uns das mal nur regional berichten oder kommen da Recht irgendwie einen Artikel online, ein kleinerer Artikel. Das kommt halt einfach total, also wir 00:51:38.952 --> 00:51:47.408 gucken uns halt jede Lücke, die uns irgendwie zugetragen wird oder von der wir erfahren, die müssen wir uns einfach neu angucken und also ich meine, mir ist es jetzt recht wurscht. 00:51:48.081 --> 00:52:01.767 Ob jetzt Leute deinen Ermüdungseffekt haben, das ich gucke gucke ich mir jetzt nicht vorher an, bevor ich berichte, sondern ich gucke mir halt die Lücke an sich an und dann entscheide ich oder entscheide wir gemeinsam so immer so in so Redaktionskonferenzen ähm berichten wir oder nicht? 00:52:01.944 --> 00:52:12.687 Jetzt ist es so, also zur Forschung hat äh ist euch an euch rangetreten, hat gesagt, so hier Sicherheitslücken, dann habt ihr geguckt, das ist interessant. Und dann der der Teil mit dem dem also wir haben sozusagen chrologisch 00:52:12.540 --> 00:52:20.743 falsch rumgemacht. Ähm der Teil mit dem ganzen Geldkram ist, den habt ihr dann dazu recherchiert oder der lag eh schon auf eurem Tisch oder wie ist es dann dazu gekommen? 00:52:20.750 --> 00:52:23.957 Schon so ein bisschen beides, ne, also zur Erforschung. 00:52:23.982 --> 00:52:34.031 Hatte ja sich selber, ihr hattet ja euch ja auch schon einiges angeguckt, ne und dann äh und dann ist es so, dass eben die die Krankenkassen dazu schon recherchiert hatten 00:52:33.812 --> 00:52:52.477 also das ist schon andere Gruppen gab, gesellschaftliche Gruppen, die auch dazu schon recherchiert haben und wir haben die im Prinzip dann alle angesprochen eben mit Expertinnen, Experten gesprochen und dann diese ganzen Sachen sage ich mal auf einen Haufen getragen, ähm um halt so ein bisschen mehr als da gibt's zwei Sicherheitslücken zu berichten. 00:52:53.266 --> 00:53:06.628 Ähm trotzdem nochmal erstmal zu den Sicherheitslücken, weil das ist ja das, wo ich dich vorne unterbrochen hatte. Ähm jetzt ist ja die eine Sache, ne, das das kennt man ja zur Genüge irgendwie. Leute, die Ahnung von der Materie haben und sagst, Entschuldigung, da ist was kaputt. 00:53:06.553 --> 00:53:15.054 Und dann so müdes Ding. So und jetzt ist, wenn jemand kommt vom NDR oder WDR und sagt, ja entschuldigen Sie, wir haben ja mal eine Presseanfrage. Wir haben gehört, bei dem sind Dinge kaputt. 00:53:14.871 --> 00:53:23.327 Würde man sich ja wünschen, dass spätestens dann irgendwie äh die Leute wie aufgescheucht die Hühner umherrennen und endlich was tun, aber wie ist es wirklich? 00:53:23.361 --> 00:53:25.812 Also bei uns, also da wenn wenn ich jetzt mit 00:53:25.647 --> 00:53:38.145 mit ähm mit den zu tun habe, also jetzt mit Lillet oder mit Karl, dann ist eigentlich so, dass die sich immer erst bei mir melden, äh wenn die Sicherheitslücke schon geschlossen ist, ja. Also ähm das ist ethisch auch total korrekt 00:53:38.007 --> 00:53:52.549 und auch äh gut so, weil die wollen natürlich nicht, dass ich als erstes dann das mal ausprobiere äh aber manchmal ist natürlich für uns auch ein bisschen schade, weil wir die Sachen dann nur aufm Papier oder per anhand von zum Beispiel Screenmovies oder so was, fragen wir fragen schon auch so Screenshots und so ab 00:53:52.375 --> 00:54:00.246 weil wir es im Prinzip nochmal nachträglich rekonstruieren äh müssen und nicht selber jetzt irgendwelche ähm. 00:54:00.261 --> 00:54:08.015 Sozusagen ausnutzen können, hat's aber auch schon gegeben. Ähm es ist aber auf jeden Fall so, dass wir bevor wir berichten. 00:54:08.129 --> 00:54:17.323 Also davon ausgehen oder ob das sicher sein müssen, dass die Sicherheitslücke geschlossen ist, weil sonst wär's halt absolut ohne ethisch zu berichten. 00:54:17.311 --> 00:54:30.943 Gibt es nur mal in Ausnahmefällen, wenn der Hersteller sich irgendwie total taub oder tot stellt, dass Medien berichten, obwohl Lücken nicht geschlossen wurden. Also hat's auch schon gegeben in der Vergangenheit, aber wir ähm für uns ist halt das äh so Stichwort responsible this closer ne, ganz wichtig. 00:54:31.796 --> 00:54:39.630 Dazu, also Responsible ist Closer, um das sozusagen äh einzuordnen, aber auch abzukürzen, ist eine Vorgehensweise, wie man Sicherheitslücken 00:54:39.556 --> 00:54:47.355 an die Öffentlichkeit, aber auch an den Hersteller bringt. Das ist ein eigenes Thema. Da gibt's ein Chaosrado zu und ein Video. Verlinken wir auch sozusagen in den Shownotes. Ähm 00:54:47.271 --> 00:54:51.090 Aber wie wie war's denn jetzt hier? Also äh wenn wenn. 00:54:51.097 --> 00:55:04.855 Wahrscheinlich auf die Hersteller auch nochmal Stellungnahme, was was sagt denn ihr dazu? Es ist kann man dann so eine Art Schuldbewusstsein oder ist es einfach so ja nein das äh da ist nichts Schlimmes passiert und die Lieben 00:55:04.681 --> 00:55:10.256 Gehen Sie weiter, gehen Sie weiter. Ja, also klar, die sind natürlich überhaupt nicht erfreut. 00:55:10.298 --> 00:55:28.414 Ähm das das ist niemand, äh weil die hoffen natürlich, dass Zerforschung denen eine Sicherheitslücke meldet und dann alles im stillen Schweigen äh sich eine dicke Decke darüber legt und sie ist eben reparieren können, niemand informieren, alles ist gut, äh das hoffen natürlich die meisten Hersteller und sind dann natürlich 00:55:28.240 --> 00:55:38.947 besonders erfreut, wenn dann der NDR oder NDR WDR nochmal eine Mail schreiben. So, wir haben das und das erfahren und dann ist es in der Regel so, wir formulieren also einen Fragenkatalog 00:55:38.782 --> 00:55:48.813 mit ähm Fragen und bitten die darum dann zu einem bestimmten Zeitpunkt meistens kriegen die eine ordentliche Frist von von drei, 4 Tagen, ähm dass wir dann um Antwort 00:55:48.747 --> 00:55:55.601 und das jetzt in dem Fall ähm ich denke die waren waren da schon einfach auch so erlernt 00:55:55.445 --> 00:56:04.594 dadurch, dass ihm ja ähm Zerforschung diesen Prozess ja auch schon mit denen gemacht hat, dass die uns ziemlich ausführliche Stellungnahmen geschickt haben und einer 00:56:04.420 --> 00:56:12.381 Die Hersteller hat dann mit uns A Hintergrundgespräch geführt, also lange telefoniert und der hat uns dann auch nochmal an Video on tape, also. 00:56:12.387 --> 00:56:24.021 Interview on tape, also tatsächlich auch noch ein Videointerview gegeben, das war den ähm ja, das war denen halt schon ein Anliegen da, weil am Ende ist es ja so ähm 00:56:23.964 --> 00:56:24.723 die. 00:56:24.936 --> 00:56:38.938 Die wollen natürlich äh Leute mit ihren Apps irgendwie also was heißt sie wollen, aber die die Idee ist ja, mit den Apps Leuten zu helfen und nicht Leuten zu schaden und deswegen ist die natürlich so eine Sicherheitslücke total unangenehm. 00:56:38.953 --> 00:56:52.720 Ähm aber ja, so die Kommunikation darüber oder eben dann so Presseberichterstattung ist natürlich ihnen auch nicht recht. Äh ich fand äh ganz witzig kann man vielleicht hier am Rande erzählen, wenn man da also unsere Fragen äh schön aufgeschrieben 00:56:52.564 --> 00:56:58.806 Dann kam als Antwort von einem App-Hersteller ja also ähm sie hätten Lillet ja auch dafür bezahlt. 00:56:59.307 --> 00:57:07.106 Also für die ähm Sicherheitsstücke, für diese auch entlohnt und wir hatten so also wir haben ja auch mit 00:57:06.986 --> 00:57:20.528 äh Littlet und mit Zerforschung und machen da so längere Recherchegespräche auch dazu, hatten wir auch nochmal gefragt. Ja, habt ihr irgendwie Geld bekommen und so, ne, ne und dann auf einmal der Hersteller, ja wir haben sie ja auch entlohnt äh dafür und wir erstmal so hä. 00:57:20.534 --> 00:57:32.249 Na ja, könnt ihr jetzt mal erzählen, was dann raus kam am Ende. Genau, also ich war dann so, oh mein Gott, haben wir irgendwie Gelder als Erforschung überwiesen bekommen oder so und äh war sofort super alarmiert, weil der äh. 00:57:32.327 --> 00:57:33.509 Ja schon jeden Tag 00:57:33.317 --> 00:57:49.137 auf unsere Konten so, deswegen das hätte schon sein können und dann schauen wir uns so nach und dann war bei der Forschung irgendwie kein Geld da äh und also es passiert, dass Hersteller uns mal Geld überweisen. Wir fordern die nie dazu auf natürlich, sondern das machen Hersteller dann einfach, weil sie irgendwie sagen, denken, unsere Arbeit ist vielleicht wichtig 00:57:48.954 --> 00:57:57.546 ähm und dann kann man uns Geld spenden, aber das erwarten wir auf keinen Fall von den Unternehmen, sondern freuen uns eigentlich eher, wenn die uns kein Geld geben und dafür wir äh 00:57:57.489 --> 00:58:04.009 andere Sponsorinnen haben, denen das unsere Arbeit wichtig ist. Ähm und ich habe ja für meine. 00:58:04.105 --> 00:58:12.561 Andere aktivistische Arbeit noch einen Patreon-Account, also so ein ja so ein Angebot, wo Leute online äh monatlich irgendwie so 00:58:12.396 --> 00:58:20.240 fünf Euro geben oder so und damit unterstützen die halt einfach so Projekte, die ich so im Bereich Verwaltungsdigitalisierung zum Beispiel mache und da habe ich irgendwie. 00:58:20.336 --> 00:58:26.857 Knapp 300 Menschen, die mir jeden Monat so ein paar Euro geben und das läppert sich schon zusammen und das ist super super cool 00:58:26.746 --> 00:58:41.738 und äh ich sehe da aber natürlich nicht, wer mir irgendwie Geld gibt und ähm ich also ich kann das nachschauen, aber ich schaue da halt nicht nach, weil es ist halt mir nicht so wichtig und ich finde es irgendwie cool, dass man Leute das machen so, aber ich möchte ja nicht, dass mich das irgendwie beeinflusst so. 00:58:41.627 --> 00:58:46.221 Und dann habe ich tatsächlich in dem Fall mal nachgeschaut bei Patreon und dann habe ich gesehen 00:58:46.137 --> 00:58:57.284 Das äh ja der Geschäftsführer von dem einen Unternehmen hm angefangen hat mir 25 Euro im Monat äh auf Patreon zu bezahlen und das waren dann zu dem Zeitpunkt insgesamt 75 Euro. 00:58:57.291 --> 00:59:11.544 Und ähm ja wir haben dann ziemlich gelacht als äh uns erklärt wurde, dass wir uns ja entlohnen wollte, weil die man muss man muss vielleicht bisschen in Kontext setzen, damit die anderen auch möglicherweise mitlachen können. Es gibt ja sozusagen in der Security-Branche 00:59:11.388 --> 00:59:20.898 dieses Konzept von Backbauen dies, also dass man sagt, wenn er eine Sicherheitslücke findet, dann zahlen wir euch auch Geld. Sagt doch mal, ähm weil ich jetzt davon ausgehe, könnte ich den Bereich aus 00:59:20.814 --> 00:59:28.216 die Art und Weise von App verbunden mit der Art und Weise von Sicherheitslücke, verbunden mit dem möglichen politischen Fallout, den man es haben konnte, ist 00:59:28.159 --> 00:59:34.689 in welchen Größenordnung würden sich denn Backboarden dies in so einem Bereich normalerweise abspielen? Kann man das sagen? 00:59:34.641 --> 00:59:47.985 Also bei Backbounties weiß ich's nicht so ganz genau. Also ich glaube, das wäre schon häufig eher so mindestens eine Größenordnung mehr. Grade bei so sehr, sehr schwierigen Sicherheitslücken ist man Größenordnung und Nullen? 00:59:47.955 --> 00:59:57.159 Genau, also das ist dann glaube ich das also ich weiß es auch nicht so genau. Ich bin nicht so backbar und hier erfahren wir das meistens über andere Wege, weil wir auch schlechte Erfahrungen gemacht haben mit so Backbar und die Programmen. 00:59:56.976 --> 01:00:09.186 Wo dann Hersteller uns so ein also es war halt so ja wenn du an den Backbounty-Programm teilnimmst, dann unterliegst du automatisch einer Verschwiegenheitserklärung gegenüber uns. Okay. Und darfst nichts veröffentlichen, solange wir dir nicht das okay geben 01:00:09.048 --> 01:00:17.459 Das heißt dann bei dem Hersteller, dass wir äh den Namen nicht nennen dürfen, was Ganze ein bisschen absurd macht. Aber es gibt halt auch äh. 01:00:17.771 --> 01:00:26.956 Den Beruf des Pentesters, der Pentesterin, also halt Leute, die noch viel krasseren Stuff als wir machen, beruflich machen und die Unternehmen dann halt buchen können, damit halt mal jemand auf. 01:00:27.466 --> 01:00:37.191 Auf ihre Software draufschaut und dort die Sicherheitslücken findet und ich glaube, das ist also das kostet dann auch mindestens 10.000 Euro häufig. 01:00:37.252 --> 01:00:42.377 Wollte gerade sagen, wie viele Minuten arbeitet so jemand für 5undsiebzig Euro? Keine. 01:00:42.797 --> 01:00:56.727 Okay. Wenn man überlegt, äh ja, wie viele Stunden in der Regel bei uns schon reingeflossen sind, äh bis so ein Report überhaupt verschickt wird, äh weil ich meine, bei uns ist das ja so, ja, jemand findet diese Sicherheitslücke im äh bei der Forschung. 01:00:56.607 --> 01:01:05.720 Und dann schreiben wir die gemeinsam auf und dann lesen da noch mal mehrere Menschen drüber und dann checken wir das alles noch drei, vier mal gegen. Also wir reden da ja wahrscheinlich von 01:01:05.573 --> 01:01:13.165 40, 50 Stunden selbst für eine relativ einfache Lücke, die in Zeit da reinfließt bis wir überhaupt unseren Report rausschicken. 01:01:13.333 --> 01:01:22.896 Also zumindest, wenn man die zusammenrechnet von den mehreren Menschen, die daran arbeiten. Also es ist so die Dimension, die wir da, glaube ich, regelmäßig irgendwie erreichen äh. 01:01:22.920 --> 01:01:26.515 Plus die Zeit, die wir halt einfach auch nichts finden. Also deswegen äh. 01:01:26.647 --> 01:01:36.624 Das ist schon ein ziemlicher Aufwand, den wir so machen und äh wir fühlen uns dann halt schon so ein bisschen verarscht, wenn jemand sagt, ja, aber wir haben die doch irgendwie entlohnt und dann sehen wir so, ja, okay 01:01:36.451 --> 01:01:39.298 Ja, ich fand's 01:01:39.115 --> 01:01:58.122 also ich fand's nicht ganz transparent ne, geschrieben, weil weil unter Entlohnung irgendwie fünfundsiebzig Euro aufm Patreon-Account ähm lieber transparent halt schreiben. Ja. Ja, ich bin Fan geworden und habe gespendet. Ähm das das war ich fand das jetzt ein bisschen bemerkenswert an dieser sagen wir mal an dieser Antwort oder an der Stellungnahme, sonst 01:01:58.002 --> 01:02:02.605 waren aber die Hersteller schon so, dass sie eben geschrieben haben, ja wir haben das halt 01:02:02.395 --> 01:02:14.794 wir haben das schnell gelöst, wir haben schnell in den Griff gekriegt, aber ich würde sagen auch sehr typisch, ich sage mal PR-Strategie, ähm also rede nicht über das Problem im Sinne von welche Daten sind abgeflossen, 01:02:14.710 --> 01:02:23.328 Na ja, wer hat es schnell gelöst? Äh so und äh und so kann man sich dann so eine Antwort auch vorstellen. Ich habe dann wie gesagt noch ein längeres ähm Interview auch 01:02:23.173 --> 01:02:34.401 geführt und klar, wie die sich natürlich auch rechtfertigen und da kommen wir vielleicht noch einmal kurz zurück auf dieses Thema ähm Preise und Geld ist natürlich, dass die sagen, okay 01:02:34.299 --> 01:02:36.282 wir müssen halt. 01:02:36.217 --> 01:02:48.093 Diese diese Studien durchführen. Ähm wir wir haben halt da was, was die was diesen Teil angeht, hohe Entwicklungskosten und ich glaube, damit meinen die nicht dieses Programmieren der App, sondern tatsächlich halt 01:02:47.902 --> 01:02:58.167 äh um um halt für diese Zertifizierung zugelassen werden und wir forschen ja noch weiter. Also wir entwickeln die App ja weiter und dieses Entwickeln, das kostet ja Geld und deswegen 01:02:57.948 --> 01:03:06.233 ist es gerechtfertigt oder jetzt bei dieser ähm App war's so, die haben ungefähr ähm drei, also haben sie uns gesagt, die hätten dreihundert zahlende. 01:03:06.176 --> 01:03:08.880 Innen im Moment ähm 01:03:08.724 --> 01:03:18.431 so so haben eher gesagt, im Moment machen wir mit der App noch gar keinen ähm Gewinn äh keinen, weil weil eigentlich haben wir noch gar nicht so viele Leute, die die auch vom Arzt 01:03:18.311 --> 01:03:26.821 bekommen. Ich wollte es nur hier auch zu transparent transparent einmal sagen, um halt auch so die Stimme oder die Stellungnahme der Anbieter. 01:03:27.170 --> 01:03:28.316 Wiederzugeben. 01:03:28.718 --> 01:03:37.642 Wobei das, also da muss ich noch einmal hinterher ähm auch natürlich etwas schöngeredet ist, weil ja es stimmt, es sind 300 Kundinnen 01:03:37.567 --> 01:03:51.812 die das als haben aber die App existiert halt weiter und ist auch in oder existierte vorher schon und hat halt auch andere Betätigungsfelder, also der Hersteller vertreibt auch irgendwie eine App für medizinische Zulassungsstudien irgendwie. 01:03:51.629 --> 01:03:54.990 Wahrscheinlich der gleiche Datensatz war eben, auf den wir Zugriff hatten 01:03:54.960 --> 01:04:04.910 Das waren dann deutlich mehr als dreihundert. Das waren dann auch, glaube ich, wieder so einige tausende bis wenige zehntausend. Ja. Ja, ich glaube fünf- zwölftausend waren's glaube ich, ne oder? Ja. 01:04:05.240 --> 01:04:08.007 Das war so die Dimension auf jeden Fall, ja. 01:04:08.085 --> 01:04:16.937 Ich habe ich habe noch eine Detailfrage. Ähm an dieser Forschung und zwar weil jetzt, ne, weil ihr den Unterschied gemacht habt, wir machen die Sicherheitslücke zu 01:04:16.808 --> 01:04:30.116 Und äh weil das gesagt hat und dann gehen wir erst äh zu dem Journalistinnen, warum also und die Frage ist auch nicht, bin ja auch sozusagen Journalist in einem anderen Leben und dann ist natürlich sozusagen also technisch gesehen ist es so, ihr kommt an und sagt was? 01:04:30.104 --> 01:04:32.610 Und dann muss man euch das glauben. 01:04:33.039 --> 01:04:40.361 Ähm so warum macht ihr's nicht so eine Neugierfrage, kein aber warum macht ihr's nicht so? 01:04:40.457 --> 01:04:46.897 Im Sinne von ähm wenn ihr die äh Sicherheitslücke nicht hergeben wollt, dass ihr sagt, hier könnt vorbeikommen und wir zeigen euch das mal. 01:04:48.397 --> 01:05:03.091 Das ähm machen wir auch manchmal. Das hängt immer so also das hängt einfach an ganz vielen Faktoren, wie wir das machen. Natürlich einerseits ähm wie gut wir die Leute, mit denen wir zusammenarbeiten, auch kennen, also bei Svea ist das jetzt nicht so ein Problem, ähm aber auch ähm. 01:05:03.404 --> 01:05:16.586 Wie es bei uns einfach zeitlich ist, also wir machen das ja alles irgendwie im Ehrenamt und da ist manchmal auch halt nur Zeit für ein paar Screenshots machen als Beweise und dann schnell den Report schreiben und ähm. 01:05:16.673 --> 01:05:24.688 Auch einfach, ob wir zu dem Zeitpunkt, wo wir's finden, schon wissen, ob oder mit wem wir darüber berichten werden später. Also das hängt dann einfach an so Sachen. 01:05:25.423 --> 01:05:33.087 Das ist dann eher so, ihr macht sowieso immer irgendwie Screenshots und oder Videos zur Dokumentation und wenn sich dann was draus ergibt, dann ist das das Material, was hier weitergeht. 01:05:33.814 --> 01:05:38.713 Genau, ja. Noch nicht mal so, sondern was wir einsehen können, ne? 01:05:38.531 --> 01:05:54.611 Also das ist schon also ihr seid da ja schon ziemlich ja grade jetzt in dem Fall ähm war's auch so äh kann man sich nicht so vorstellen, dass ich dann da irgendwelche Datensätze geschickt bekomme oder so. Null Komma null ne, sondern ähm die hier war's jetzt so 01:05:54.483 --> 01:06:00.526 das ist auch in Ordnung, das reicht auch für so eine Berichterstattung, dass ich im Prinzip sehe, welche Art 01:06:00.298 --> 01:06:05.153 der Daten betroffen sind, also Beispiel Medikamententagebuch, da konnte ich dann sehen 01:06:04.925 --> 01:06:16.667 ein äh Patientin hat um acht Uhr zwei die erste Tablette genommen, um acht Uhr fünf die erste Tablette genommen, hatte dann abends keine Nebenwirkungen und hat mit dem Smiley, mir geht's gut angeklickt, ne? So was 01:06:16.610 --> 01:06:25.300 bekomme ich dann auch zu sehen, aber ich kriege halt nicht den Namen und die E-Mail-Adresse. Ich ich finde ähm dass das. 01:06:25.397 --> 01:06:34.942 Ganze sozusagen so eine interessante gesellschaftliche Mieterebene hat weil das so ein bisschen also ihr macht das als ehrenamtliche Arbeit. 01:06:34.975 --> 01:06:44.934 Und dann ist es aber eigentlich sozusagen, wenn man wenn man einen Effekt haben will, ne, gesellschaftliches Suchen, das habt ihr ja so genauso gesagt. Dann muss man eben zu den Medien gehen und das finde ich total. 01:06:45.120 --> 01:06:51.785 Also interessant Slash schlimm, weil eben die also man würde ja denken als Sicherheitsforscher. 01:06:52.142 --> 01:07:00.040 Macht man Sicherheitsforschung und wenn die Ergebnisse relevant genug sind, dann kommen Sie auch an die Öffentlichkeit. Aber nein, im Prinzip. 01:07:00.253 --> 01:07:13.499 Ist es ja schon sozusagen damit auch Teil der Aufgabe äh irgendwie zu finden, äh ist das eine Geschichte, eine Story sozusagen da da rauszudrehen und also nicht zu drehen im Sinne von, dass man das journalistische Zeugnis aufschreibt, aber überhaupt diese Arbeit noch mal zu haben. 01:07:13.325 --> 01:07:21.889 Und darum gibt's ja auch irgendwie, ne, gab's eine Diskussion, wie war denn das? Es gab eine Sicherheitslücke, die hieß Hartblee, kann das sein? 01:07:21.967 --> 01:07:32.925 Und da wurde dann darüber diskutiert, ne, also wie's wie wie wir als Gesellschaft so weit gekommen sind, dass wir Sicherheitslücken nur noch beachten, wenn sie auch eine geile Story im Hintergrund haben. Macht euch das 01:07:32.824 --> 01:07:42.711 macht euch das Sorgen, also auch im Hinblick von sozusagen für jede Sicherheitslücke, die auch eine geile Story hat, gibt es zehn, 40, hunderttausend, die das eben nicht haben und dann deswegen auch. 01:07:42.888 --> 01:07:45.340 Untergehen? 01:07:45.274 --> 01:07:56.106 Also ähm ich meine ganz so kritisch sehe ich das nicht. Also ich glaube, wir würden auch, wenn wir einfach nur einen Blogpost schreiben, damit Leute erreichen so. Also 01:07:56.022 --> 01:08:08.025 Ähm ich glaube, man braucht nicht zwangsläufig immer diese gute Post schreiben. Genau, also ich meine, wir müssen natürlich irgendwie darüber kommunizieren. Ich meine, das sehen wir halt auch als Teil unseres. 01:08:08.274 --> 01:08:11.968 In einer gewissen Form als zivilgesellschaftliches Sicherheitsforschen 01:08:11.839 --> 01:08:22.537 Äh so funktioniert leider heute unser System, das nämlich, wenn wir was machen, das erstmal nicht öffentlich ist und ich meine, das ist eigentlich auch ganz gut so, weil die Lücke natürlich 01:08:22.390 --> 01:08:27.065 Als Allerwichtigste ist, dass sie immer geschlossen wird. Ähm und so lange können wir nicht öffentlich drüber reden. 01:08:27.485 --> 01:08:41.055 Und ich meine, dann muss das irgendwie öffentlich werden. Und ähm wir haben natürlich als Erforschung da tatsächlich auch als eins unserer Kernziele dann immer ja diese gesellschaftliche Debatte zu bekommen und die bekommt man gut in der Zusammenarbeit mit Medien, weil man da die Story 01:08:40.998 --> 01:08:45.817 deutlich besser erzählen kann, als wenn äh ja wir das nur selbst machen. 01:08:45.742 --> 01:08:57.916 Ich glaube nichtsdestotrotz könnten wir auch einfach unsere Reports veröffentlichen und hätten damit auch eine mediale Reichweite. Ich glaube, die wäre nicht immer ganz so groß. Ich glaube äh das würden nicht ganz so viele Menschen mitbekommen 01:08:57.850 --> 01:09:06.099 weil uns halt irgendwie dieser Verbraucherschutz in einer gewissen Form so unglaublich wichtig ist und wir das eigentlich der Grund ist, warum wir all diese Arbeit takten 01:09:06.042 --> 01:09:14.273 vertagt Monat für Monat machen, äh der also eben genau das für Verbraucherinnen schützen können. Äh deswegen ist es uns so wichtig, dass wir auch immer mit 01:09:14.207 --> 01:09:20.548 tollen Medienpartnern zusammenarbeiten und das veröffentlichen und schauen, dass das möglichst viele Menschen erreicht. Ähm. 01:09:20.725 --> 01:09:28.964 Aber ich glaube, wir würden auch Leute erreichen, aber vielleicht nicht ganz so viele, wenn wir einfach nur unsere Reports veröffentlichen. Und die die Rolle der Medien ist ja in diesem 01:09:28.935 --> 01:09:42.846 in so einer Sache nicht nur quasi unser großes Sprachrohr zu sein, also das ist ein Teil davon, aber hat das vorhin schon umrissen, da ist natürlich dann auch viel mehr Expertise und auch Recherchekapazität drin. Also wir können uns irgendwie 01:09:42.825 --> 01:09:49.238 Die Sicherheitslücken genauer anschauen, wir können überlegen, warum ist das so. Wir können uns die öffentlichen Informationen dazu 01:09:49.235 --> 01:10:02.831 zusammensuchen, aber wir haben weder das Netzwerk, noch die Erfahrung, noch die Möglichkeiten, die halt ein gut ausgestattetes Medium ähm hat und die es einfach da auch auf so ein Thema setzen kann und eben auch genauer hinschauen kann, als wir das jetzt können. 01:10:03.603 --> 01:10:07.800 Ich muss sagen, mein kleines Herz lacht ein bisschen. Ich bin ja alt genug. 01:10:07.708 --> 01:10:21.556 Um sagen miterlebt zu haben, dass die Medien in Anführungszeichen immer sozusagen so belächelt wurden im Sinne von, die wissen einfach nicht, was das mit dem Internet ist und glauben, das geht weg ähm und wie sich das gewandelt hat, finde ich eigentlich auch ganz schön. 01:10:22.219 --> 01:10:26.885 Ähm so zum Abschluss. 01:10:27.009 --> 01:10:40.308 Was lernen wir daraus? Was was muss in Zukunft anders werden? Ähm wie wie soll's gehen? Da gibt's, glaube ich, so ein paar Säulen, die man Fragen hat. Das eine ist sozusagen ähm vielleicht noch mal 01:10:40.296 --> 01:10:48.248 Wir haben schon so konkret drüber gesprochen, aber globaler gefragt. Jetzt ist es ja so, ne? Also Sicherheitslücken, die so einfach sind. 01:10:48.641 --> 01:10:57.907 Sind natürlich sozusagen die die dürften eigentlich nicht passieren. Aber andererseits, es gibt keine sicheren technischen Systeme. Das heißt, es kann immer mal wieder passieren, dass irgendwas schief geht. 01:10:57.949 --> 01:11:10.933 Gibt es dafür in eurer Wahrnehmung sozusagen hat gibt's schon eine Kultur, also dass das dass das sozusagen mitgedacht wird. Wie wie geht man vor? Wo meldet man das hin? Wie reagieren die Hersteller oder muss man da immer noch Hausaufgaben machen? 01:11:12.200 --> 01:11:18.855 Ich glaube, da ist ein da ist an vielen Stellen noch Sachen, die man ändern kann und die man verbessern muss. Also es gibt. 01:11:19.339 --> 01:11:34.474 Es gibt irgendwie jetzt aus vielen Jahren Erfahrung irgendwie ein gewisses Set an Regeln wie Sicherheitsforschende, so was melden, wie sie mit so was umgehen. Da würden wir uns natürlich wünschen, dass die Hersteller da auch mehr Möglichkeiten geben. Also es gibt irgendwie Standards wie Security Teaks die 01:11:34.309 --> 01:11:41.532 die halt ähm offene Möglichkeiten geben, damit, wenn so was gefunden wird, die Sicherheitsforschung direkt wissen, an wen sie sich 01:11:41.448 --> 01:11:53.487 wenden müssen. Ähm zum anderen braucht es aber halt auch immer dieses Mindset, was wir viel zu selten sehen. Fehler können passieren. Es gibt kein hundertprozentiges 00prozent sicheres System. Ähm 01:11:53.412 --> 01:12:01.796 Deshalb treffen wir gleich Vorkehrungen, damit wenn es schief geht, eben doch nichts schief geht, also dass wenn so eine Sicherheitslücke gefunden wird. 01:12:02.018 --> 01:12:14.769 Wie du gerade schon sagtest, so was, was wir gefunden haben, sollte gar nicht passieren. Sowas ganz triviales, aber wenn vielleicht was komplexeres gefunden würde, dann haben wir noch mal eine Sicherheitsebene drunter, dann speichern wir eben gar keine Daten erst, weil Daten, die niemand hat 01:12:14.631 --> 01:12:23.798 jetzt auch nicht wegkommen oder dann verschlüsseln wir alles so, dass es die Patientin sieht und die Ärztin, aber wir als äh Hersteller jetzt zum Beispiel 01:12:23.660 --> 01:12:29.928 überhaupt keine Ahnung haben, was da in diesen Daten jetzt drinne steht und dann kann auch, wenn jetzt ähm. 01:12:30.097 --> 01:12:35.870 Kriminelle zum Beispiel in diese Systeme eindringen würden, dann würden die halt vorfinden, okay hier ist ein Haufen Datenmüll. 01:12:35.993 --> 01:12:41.532 Machen und so was immer mitzudenken, das sehen wir noch nicht oft genug. 01:12:41.916 --> 01:12:51.821 Mhm. Und was würdet ihr euch sozusagen von den Großfaktoren, Gesetzgeber, Krankenkasse, Ärzte vielleicht erwarten in dem Bereich? 01:12:52.395 --> 01:13:03.039 Also ich meine, von den Gesetzgebern würden wir auf jeden Fall irgendwie erwarten, dass diese Security bei dieser eins Security bei Default äh tatsächlich durchgesetzt und nicht nur in Regelungen geschrieben wird. 01:13:02.973 --> 01:13:12.527 Äh also ich meine gehört haben die Regelungen werden ab 2023 ein bisschen schärfer und aus der DSGVO könnte man auch schon einiges rausholen. 01:13:12.443 --> 01:13:19.341 Das scheitert dann häufig in der exekutiven, also in der Verwaltung und in der Vollstreckung der äh also. 01:13:19.501 --> 01:13:32.449 Der Problemfälle am Ende des Tages. Wir würden uns natürlich eine Produkthaftung wünschen, also dass ein Hersteller auch äh tatsächlich Ärger bekommt, äh wenn was passiert und der dann dafür haftet, wenn so Daten mal wegkommen. Das haben wir auch noch nicht ausreichend. 01:13:32.293 --> 01:13:40.074 Und natürlich haben wir auch noch 'ne gewissen gewisses Regulierungsproblem also endet dass es heute nicht standardmäßig immer vorgeschrieben ist 01:13:39.900 --> 01:13:56.089 eine Ende zu Ende Verschlüsselung, wie wir sie bei WhatsApp und Signal standardmäßig haben für eine Arztkommunikation. Das ist die einfach geben muss äh und dass unsere Familienchats besser geschützt sind als irgendwie die Kommunikation zwischen Ärztinnen und Patienten. Das geht natürlich auch nicht. Ähm aber das ist eigentlich äh 01:13:55.951 --> 01:14:06.199 gar nicht so der richtig große Part, sondern eine richtig große Part ist, dass wir eigentlich endlich mal so eine Vollstreckung der bestehenden Regeln und der Ausnutzung der Spielräume, die die DSGVO bei der Vollstreckung auch bietet, äh 01:14:06.088 --> 01:14:13.635 brauchen. Also das also ja die Datenschutzbehörden und auch die BFA und so, die müssten halt eigentlich mal tatsächlich was machen. 01:14:13.452 --> 01:14:26.040 Und natürlich haben wir jetzt das Problem mit den Apps, die schon auf dem Markt sind und die nicht entsprechend geprüft wurden und die nicht entsprechend sicher sind, äh daher würden wir erwarten, dass eigentlich dieses Fasttrack Programm erstmal gestoppt wird, man erstmal all die Apps 01:14:25.893 --> 01:14:28.839 mit Fasttrack gerade aufm Markt sind, vom Markt nimmt 01:14:28.710 --> 01:14:36.491 alle nochmal zertifiziert prüft, sind die wirklich sicher, funktionieren die ordentlich, ähm wirken die vielleicht auch und dann die wieder. 01:14:36.758 --> 01:14:39.263 Auf Patienten loslässt in gewissermaßen. 01:14:39.756 --> 01:14:52.803 Ich finde irgendwie unsere Familienchats sind besser geschützt als unsere persönlichen ärztlichen Daten, eine sehr schöne Social Media Kacheltext. Ähm Svea, hast du sozusagen in dem Bereich Forderungen, Wünsche an die Zukunft, auch noch was? 01:14:54.079 --> 01:15:09.917 Also ich glaube, dieses Thema, was Littlet eben angesprochen hat, ähm ja ich sage immer, wir haben ein Vollzugsdefizit. Das gibt es ja auch in anderen Bereichen. Das würde ich total wichtig, also nicht unbedingt, dass man immer neue Regeln schafft, sondern dass man halt die Regeln, die bestehen, dass die halt 01:15:09.707 --> 01:15:17.244 konkret umgesetzt und angewendet werden und halt zum Beispiel auch so was wie genau diese Informationspflichten, ne, also dass die App 01:15:17.017 --> 01:15:26.787 Anbieter, die App Hersteller dann eben auch ihre Kundinnen und Kunden oder Patienten, Patienten in dem Fall jetzt halt auch informieren, ey da gab's so Sicherheitslücke, da wollte ich auch 01:15:26.631 --> 01:15:29.326 ganz kurz sagen, bei dem einen, bei der einen App. 01:15:29.332 --> 01:15:39.678 Der sagte uns, Sie hätten das dann, ich glaube, so nachdem klar war, dass wir jetzt auch berichten, hätten Sie wohl auch die Patientinnen und Patienten informiert, ähm hieß es zumindest äh von der Seite. Also ich glaube, das. 01:15:39.963 --> 01:15:41.091 Das finde ich ist. 01:15:41.440 --> 01:15:58.925 Ist der Hauptpunkt ähm das andere, wo ich denke, ähm da ist gibt's auch sicherlich noch noch Recherchebedarf ist so dieses ganze äh Thema Transparenz, ne und so Stichwort Preisgestaltung auch, ne, also kann das wirklich sein, dass App Anbieter jetzt wie in diesem Fall, in diesem ersten Jahr 01:15:58.760 --> 01:16:13.391 ähm wirklich jeden Preis quasi nennen können äh ihn irgendwie in Sinn kommt. Das kann eigentlich nicht sein und das muss in eine bessere ja einen besseren Kontrollmechanismus geben und es muss mehr Transparenzpflichten geben, damit eben klar ist 01:16:13.164 --> 01:16:20.107 warum soll diese App jetzt so viel kosten? Ähm oder eben Kontrollmechanismus über die Krankenkassen. 01:16:20.348 --> 01:16:34.384 Dass wir halt da nicht in solche utopischen Summen reinkommen, wo was ja eigentlich wiederum dem ganzen Prinzip entgegenwirkt, nämlich dass es nämlich viel verschrieben werden kann und möglichst viele Leute eine App gegen Rückenschmerzen auch benutzen können. 01:16:34.364 --> 01:16:41.901 Dann äh letzte letzte Frage auch nicht alle Abschlussrunde. Ich hätte von jedem einzelnen gerne eine Antwort, also jetzt nicht nur per Institution. 01:16:41.719 --> 01:16:50.760 Und zwar ob er der grundlegenden Idee dieser digitalen Gesundheitsapp, ob er sagt, das ist schon was Gutes, da kann auch was Gutes draus werden oder eher so hm. 01:16:50.928 --> 01:16:52.461 Das äh also 01:16:52.270 --> 01:17:07.153 lieber nicht oder zumindest sozusagen so weit vermeiden, wie es geht. Wie wie seht ihr das? Ist das ist das, was also wirklich nicht jetzt irgendwie heute und morgen, sondern in die Zukunftsgerichte ist das ist das was, was ihr vielleicht wo ihr oder wo ihr dran glauben könnt, dass daraus mal 01:17:07.078 --> 01:17:13.004 was Gutes erwächst. Na ja, es ähm heißt ja irgendwie in der Hecke in einen Ethik immer 01:17:12.921 --> 01:17:25.193 Computer können dein Leben zum besseren verändern und ich glaube, das können Sie und solche Apps können das, eben die Rückenschmerzen, App, die einem die richtigen Übungen zeigt und einen dran erinnert oder so, das kann das kann viel bewirken, aber halt. 01:17:25.299 --> 01:17:32.602 Nicht, wenn man's so macht, wie man's jetzt macht, nämlich mit mangelnder Kontrolle, sodass das ganze Vertrauen daran verloren geht. 01:17:32.672 --> 01:17:41.839 Deswegen in der aktuellen Form nicht, in der Zukunft hoffentlich schon. Okay. Lillit? Genau, also ich meine, heute kann ich digitale Gesundheit selbst auch niemandem empfehlen. 01:17:41.755 --> 01:17:48.482 Ähm erstmal davon, wie sie heute alle funktionieren und wie schlecht sie leider reguliert sind. Äh grundsätzlich finde ich. 01:17:48.714 --> 01:17:53.901 Apps, damit es Menschen besser geht eine total coole Sache erstmal. Ähm 01:17:53.809 --> 01:18:00.375 Und ich glaube, dass es da insbesondere irgendwie krasse Chancen gibt, wenn man irgendwie diese Apps tatsächlich auch mit 01:18:00.372 --> 01:18:09.728 Arztbehandlungen zusammenbringt, also genau das, was heute nicht machen oder was bei Diggas nicht vorgesehen ist, nämlich dass äh so eine Therapie mit einer App 01:18:09.644 --> 01:18:17.938 äh koordiniert wird und man dann teilweise Hilfe von seiner Ärztin bekommt und teilweise Hilfe durch die App bekommt. Das würde ich mir wünschen, dass das irgendwie 01:18:17.791 --> 01:18:25.680 besser reguliert wird und dass da mehr möglich ist und äh ja grundsätzlich die Idee davon, dass Technologie uns helfen kann, gesund zu sein 01:18:25.641 --> 01:18:31.900 finde ich großartig, ähm genau, brauchen halt ordentliche Qualitätskontrollen und so und dann könnte das auch was werden. 01:18:32.420 --> 01:18:46.115 Und schwer? Ich denke, das ist auch ganz unvermeidbar, also sozusagen die Augen zuzumachen und zu sagen, nee, äh das alles betrifft mich, schmeiß mein Handy ausm Fenster oder ähm ich ich das ist einfach 01:18:46.031 --> 01:18:53.047 das funktioniert so nicht, ne? Sondern ich denke immer ähm die die die Technologie entwickelt sich 01:18:52.864 --> 01:19:08.044 und ob wir das gut finden oder nicht gut finden, die wird sich einfach weiterentwickeln. Im Zweifel fährt sie halt über uns drüber und das Einzige, was wir machen kann, ist halt Technologie, Prozesse und Technologie gestalten und das ist halt bei den so, wie es im Moment ist, einfach nicht gut. 01:19:07.934 --> 01:19:13.121 Und daran können wir arbeiten und und dann können wir's auch äh empfehlen und benutzen. 01:19:13.506 --> 01:19:25.095 Na gut, dann wollen wir mal schauen, was die Zukunft so bringt. Für mich ist auf jeden Fall ein weiteres Thema, wo ich so denke, im Prinzip halte ich das für eine total gute Idee, aber oh mein Gott, der derzeitige Zustand, das ist nicht schön. 01:19:25.110 --> 01:19:26.796 Na ja, vielen Dank 01:19:26.622 --> 01:19:41.884 heute hier wart und äh so geduldig Rede und Antwort gestanden habt. Das war sehr aufschlussreich. Danke dafür und ihr liebe Hörerinnen, vielen Dank fürs Zuhören. Lasst uns wissen, wie euch's gefallen hat und mir bleibt heute nur noch eine Sache zu sagen. Lasst euch nicht überwachen und verschlüsselt immer schön 01:19:41.737 --> 01:19:43.748 eure Backups. Tschüss. 01:19:43.600 --> 01:23:13.378 Music.