Titel: Corona-Infektionen werden aus Datenschutzgründen per Fax übermittelt
Beitrag von: Andreas am 05. Oktober 2020, 07:00:36
Was ich da gerade gelesen habe verschlägt mir die Sprache.
Am Wochenende gehen die Infektionszahlen stets runter und steigen in der Woche wieder an. Einer von vielen Gründen ist die Tatsache, dass die Gesundheitsämter ihre Meldungen aus Datenschutzgründen per Fax abgeben. Beim RKI müssen sich dann Mitarbeiter hinsetzen und die Ergebnisse wieder manuell in computerlesbare Informationen verwandeln. Es gäbe "keine sichere Technologie" mit der eine Übertragung der Ergebnisse datenschutzkonform per Email möglich wäre.
Liebes RKI, liebe "IT-Spezialisten" des Bundes, hier ist meine Empfehlung:- Das RKI und alle meldenden Gesundheitsämter erstellen sich ein GPG Schlüsselpaar. Wenn man paranoid ist auch gerne mit 8192 Bit. Das kann und muss jeder selbst machen - die Software dazu ist standardmässig in jedem Linux-System vorhanden. Eine Schlüsselerzeugung dauert nur wenige Minuten.
- Dann überträgt jeder seinen öffentlichen Schlüssel an einen Schlüsselserver
- Ab sofort können alle Mails mit dem seit 30 Jahren unter Linux standardmäßig vorhandenen Mechanismus gpg Ende-zu-Ende-verschlüsselt werden. Nur der Empfänger kann solch eine Mail entschlüsseln, und auch ohne oder mit wechselnder Absende-Emailadresse kann mit 100% Sicherheit identifiziert werden, wer die Mail gesendet hat (nämlich am verwendeten Schlüssel des Absenders).
Das ist bombensicher,die gesamte Technologie ist millionenfach erprobt, leicht zu bedienen und definitiv nicht mit einem vertretbaren Aufwand (selbst für die NSA nicht) "zu knacken".
Wo bitte schön liegt das Problem?- Unfähigkeit der IT-ler?
- Ignoranz der IT-ler?
- man hat sich durch eine Priorisierung von Software aus dem Hause Microsoft abhängig gemacht und kommt aus dem selbst gebauten Gefängnis nicht mehr raus? Oooooooch - das konnte man vorher natürlich nicht wissen dass man irgendwann in solche Fallen läuft. Und jetzt, wo wir schon mal drin sind, muss man eben damit leben ??!!??
Sorry - NULL Verständnis von meiner Seite für so etwas.
LG Andreas
|
Titel: Re:Corona-Infektionen werden aus Datenschutzgründen per Fax übermittelt
Beitrag von: DL8EBD am 05. Oktober 2020, 07:13:10
;D ;D
obwohl traurig, muss ich gerade lachen |
Titel: Re:Corona-Infektionen werden aus Datenschutzgründen per Fax übermittelt
Beitrag von: daggi am 05. Oktober 2020, 17:13:09
Was für ein Narrenspiel .... ;D und :'( unfassbar fällt mir noch dazu ein - habe vielleicht von dem " großen Ganzen " nur die leiseste Ahnung, die zwischen Daumen und Zeigefinger passt - aber von Ende-zu Ende Verschlüsselung hab sogar ich schon gehört |
Titel: Re:Corona-Infektionen werden aus Datenschutzgründen per Fax übermittelt
Beitrag von: Andreas am 06. Oktober 2020, 06:18:12
Ich befürchte die Kausalkette sieht so aus:- Alle setzen Windows ein und kennen sich NULL mit Computern aus.
- Windows verweigert es schon seit Anbeginn, dass freie Verfahren "gpg-Signierung / gpg-Verschlüsselung" zu unterstützen
- Es ist den Mitarbeitern der Gesundheitsämter und dem RKI weder "zuzumuten", für die Übertragung einen Linux-PC hinzustellen, noch ist es ihnen zuzumuten, auf ihrem Windows-PC ein freies Programm zu installieren, das den gpg-Standard unterstützt (wie z.B. Thunderbird). Es kann auch daran liegen, dass Thunderbird die "Qualitätszertifizierung" fehlt, die jedes eingesetzte Programm benötigt, das auf PCs öffentlicher Stellen eingesetzt wird (mehr dazu unten)
- Anstatt den Knoten einmal an irgendeiner Stelle aufzubrechen (Fachleute zu allen Gesundheitsämtern schicken, die die Softwareinstallationen vornehmen, Thunderbird eben mal die Zertifizierung zu erteilen, denn es kann ja kein Schadcode drin sein - ist alles Open Source) bleiben wir da wo wir stehen
Nachsatz: Jedes Programm (incl. Betriebssystem), das auf Rechnern öffentlicher Stellen (auch Schulen) läuft, muss einen sauteuren Zertifizierungsprozess durchlaufen haben. Dort wird von Spezialisten untersucht, ob sich das Programm wirklich DSGVO konform-verhält. Nur Programme, die so ein Zertifikat haben, dürfen verwendet werden. Ich hatte da mal eine sehr interessante (und äußerst fruchtlose) Diskussion mit einem IT-Angestellten des Landkreises. Hier in etwa der Verlauf: Ich: "Wie kann an einem Programm oder Betriebssystem, das "Closed Source" ist, jemals mit Sicherheit gesagt werden, dass es "nichts schädliches" tut? Der Schadcode ist doch nicht erkennbar, und die Schadfunktion muss doch nicht dauerhaft eingeschaltet sein. Sie kann von Außen aktiviert werden "bei Bedarf". IT-Spezialist: "Das wird alles untersucht. Weil das sehr aufwändig ist, ist ja so ein Zertifikat sehr teuer". Ich: "Wie untersuchen Sie das denn ohne den Quellcode? Durchsuchen Sie den Maschinencode? Das ist doch 1) ein Verstoß gegen die EULAs und 2) bei einem mehrere hundert Megabyte bis Gigabyte Code gar nicht machbar!" IT-Spezialist: "Glauben Sie mir, das wird schon irgendwie gemacht. Sie brauchen nicht zu wissen wie." Ich: "Ein Zertifikat ohne transparenten Zertifizierungsprozess? Was ist das denn? Warum nimmt man nicht gleich Open Source? Da kann dann wirklich jeder nachprüfen, ob alles in Ordnung ist?" IT-Spezialist: "Wir vertrauen auf die Fähigkeiten großer Softwarehäuser mehr als auf einen Haufen von Laienprogrammierern." Ich: "Sie meinen Häuser wie Microsoft oder Apple? Denen vertrauen Sie? Mehr als der Möglichkeit, den Code selbst inspizieren zu können? Das verstehe ich nicht!" IT-Spezialist: "Und genau deswegen können Sie den ganzen Vorgang weder beurteilen noch sind Sie in der Lage, ihn zu kritisieren."
Alles klar? :o
LG Andreas
|
Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe | Powered by YaBB SE
© 2001-2003, YaBB SE Dev Team. All Rights Reserved.
|