Hallo und herzlich willkommen zum Chaosradio 277 wo wir uns mit etwas beschäftigen, wo ich ähm. Als Radiomensch fasst ein Herzkasper bekommen habe, aber da hat sich letztlich herausgestellt, es ist doch nur eine digitale Infrastruktur, die kaputt ist Und damit beschäftigen wir uns heute und haben uns äh apropos kaputt machen, dazu. Vor allen Dingen Leute ausladen, die das wirklich als Namen auch mitbringen, nämlich vom Team Zerforschung.
Carlo Litt. Hallo und guten Tag. Hallo. Hey, danke für die Einladung. Und äh vom NDR ha, nein, falsch. Und eine freie Journalistin, die für den NDR arbeitet und an dem Kaputtmacht-Ding, das was wir heute sprechen, auch beteiligt ist, nämlich Svea. Hallo und guten Tag. Hi, danke für die Einladung. So und wir sprechen heute über Dicas. Und warum habe ich so einen Herzinfarkt bekommen als Radio Mensch? Weil Digaz ist ein fürchterlich altes Schnittprogramm.
Ähm was an die früheren Zeiten des beginnenden Computerzeitalters was ist denn jetzt los, wenn so ein altes Schnittprogramm eine so fürchterliche Reaktion und ein Tagesschauartikel auslöst, aber dann war's doch nur eine Eine oder mehrere digitale Gesundheitsanwendungen und was das ist, wie man das macht und was daran kaputt war. Das klären wir heute.
Und dann fange ich sozusagen in meiner Eigenschaft als Moderator mit der einfachsten Frage an, die mir dazu einfällt, nämlich wer was oder wie ist eigentlich ein. Genau, also Dickers, das sind digitale Gesundheitsanwendungen. Das sind also meistens Apps, manchmal auch Webanwendungen. Von einer Ärztin oder der Krankenversicherung verschrieben werden können. Also man kann man kann man quasi zum Arzt gehen und kann sagen, ich habe irgendwie Depressionen
und dann sagt der Arzt ja also Therapie dauert jetzt schon ganz schön lange bis sie da einen Platz bekommen aber wir haben da jetzt was Digitales. Das können wir Ihnen auch verschreiben und dann kann man eben online eine Form von Therapie machen bei der jetzt nicht unbedingt ein Arzt beteiligt ist. Sondern äh wo man sich zum Beispiel Videos online anschaut. Und das gibt es momentan für. Ganz verschiedene Krankheiten. Es gibt davon insgesamt, ich glaube, 33 verschiedene Apps, Stand heute.
Und ja die helfen einem irgendwie ohne einen Arzt aber als Medizinprodukt bei Problemen oder Erkrankungen. Das kann wirklich auch sowas sein wie Adipositas, also äh so was kann's sein, es gibt auch eine App ähm ja gegen äh wo man so ein Krebstagebuch führen kann oder wie man Medikamente bei, also Krebsmedikamente verträgt, also wirklich so eine ganz große Bandbreite.
Also aber apropos ganz große Bandbreite, weil jetzt kann ich mir sozusagen vorstellen, okay, das sind Dinge, wo ich was eintrage, also wo etwas abgefragt wird, was ich mache und das sind Dinge, wo eine. Ich sag's mal, plump eine Person ersetzt wird durch den Video oder durch, keine Ahnung, interaktives Textsystem oder so was, aber das sind sozusagen die beiden Anwendungsfälle oder. Da noch mehr oder was ist diese das das Breite, von dem du grade sprachst?
Genau, nee, das trifft das eigentlich schon ganz gut. Ähm ja. Ich meine, es gibt also in der Regel ist die grundsätzliche Regel, dass eine Digga nicht äh unbedingt eine ärztliche Behandlung ergänzt, sondern tatsächlich ersetzt, dass es tatsächlich nur in einzelnen Fällen so, dass da irgendwie so eine Tagebuch-App, die man auch mit seinem Arzt teilt.
Bei der Krebsbehandlung, aber die grundsätzliche Regel ist eigentlich, dass das quasi eine Alternative ist zu ja, was Anderem. Es gibt sehr viele Digas zum Beispiel gegen Angst und Panikstörung, also dass wenn du äh einen konkreten ähm ja Aufkommen von der Panik hast, dass du halt eine App hast, wo du sagst okay, die kann ich jetzt
aufmachen und da sind jetzt Regeln und die helfen mir oder da sind zum Beispiel regelmäßige Übungen drin, die ich machen kann, um mich zum Beispiel zu entspannen, also so Meditationsübungen. Hm. Also jetzt jetzt bin ich so hin und her gerissen. Ähm weil die erste Assoziation, die ich bei ähm.
Erklärung hatte von wegen der Arztsachen, der Therapieplatz ist schwer, aber ich hätte was Digitales ist so, aha, das Gesundheitssystem ist kaputt, deswegen ersetzen wir das durch was anderes und dann weißt du, Markus sei nicht so zynisch vielleicht ist es ja total super und dann frage ich mich aber, weiß man denn in dem Fall, wo es wirklich sozusagen einen Arzt oder nur eine Fachperson ersetzen soll? Ähm ob das überhaupt wirkt.
Ja, das ist natürlich eine eine ganz berechtigte und auch gar nicht so ähm oder auch da kommst du eigentlich zu einem ganz zentralen Thema bei diesen Apps, nämlich das Thema der Evidenz, ne, also sozusagen der Gewissheit, also der faktischen Gewissheit, dass diese App dann auch was bringt ne und das wäre ja eigentlich der Fall, wenn du das austauschen könntest, also wenn du sagen könntest, okay ähm so eine App ist genauso gut wie ein Therapeut.
Ja. Was sie natürlich ist halt eine App, ne und kein Therapeut, aber so so wäre ja, so müsste man ja eigentlich ja ich äh ich würde ich würde auch ich wäre auch noch zufrieden mit es ist was anderes als ein Therapeut, aber es hat auf jeden Fall eindeutig belegbar. Positive Heilungseffekte. Ja und das ist genau eigentlich das, was man ähm bei diesen auch wollte, also als der Jens Spahn sich die ausgedacht hat ähm das war schon zweitausendneunzehn.
Da wollte der das, also sozusagen, dass dass es dann ähm eine Prüfung gibt und es gesagt wird, okay, das ist irgendwie die funktioniert und ähm dann kann die auch gegen Geld und zwar auch gegen dich unerheblich viel Geld, also ordentliche Summe. Auch von der Krankenkasse verschrieben werden diese App vom Arzt. Und da äh genau das ist man so ein bisschen aber in so ein bestimmtes äh Fahrwasser gekommen, weil
man natürlich das Ganze auch schnell haben wollte und nicht jetzt eine epische, lange Prüfung Evidenz heißt ja oft lange Studien, ne? Muss man viele Leute lange befragen, viele Fragebögen ich habe das Gefühl, jetzt machen wir so den zweiten Schritt vor dem erst, weil die die Frage wirkt dann, deshalb meinte ich erst mal viel globaler
Hier sind wir sozusagen schon im Konkreten, ne? Also ein neues Heilmittel so auf dem Markt, dann muss das konkrete Heilmittel natürlich, also denkt man jetzt in seiner Leinensicht irgendwie auch nachgewiesen haben, dass es hilft. Aber ich meine so äh wirklich ganz global gesehen äh natürlich kommt irgendwie jemand auf die Idee, könnte man da nicht was Digitales machen Das Konzept überhaupt
Gibt es da irgendeine ein äh ein konkretes Fallbeispiel von Nachweisbarkeit oder wie ist man auf die Idee gekommen, das überhaupt zu machen ähm also. War das besser, weil Wissenschaftler ihnen festgestellt haben, man kann auch digital Heilungszwecke verfolgen oder war das, weil ein Start-up eine Idee hatte, hey, lass uns doch mal eine App machen, da kann man bestimmt fett Kohle machen.
Nee, also es gibt schon Apps, ähm die ähm grade zum Beispiel im Bereich Abnehmen ähm ganz gute und auch äh durch Studien belegbare Erfolge haben, ne, also dass du eine bestimmte Anzahl von Kilo abnimmst, wenn du mit einer App
deiner Ernährung trackst und wenn du ähm ja wenn die dich dazu motiviert, also das gibt es schon, also es ist natürlich mit dem Geld verdienen und den Startups, das kommt natürlich irgendwo auch dazu, aber es so Apps können wirklich helfen, auch grade Rückenschmerzen zum Beispiel ähm indem man halt regelmäßig Übungen macht. Klar, die Übung muss man auch immer noch selber machen. Dann äh dann können die schon was bringen, diese Apps. Okay, also.
Im Prinzip ist es ein Konzept, das ist erstmal nicht schlecht und dann äh jetzt hast du schon angedeutet oder sagen schon erzählt, das ist im Konkreten, wie's in Deutschland grade gehandhabt wird so ein bisschen ein Ding, weil. Man sich gedacht hat, das dauert so lange bis zur Zulassung. Das heißt, welche, also wenn so was in Deutschland passiert, wie kommen die denn aufn Markt? Wie kommen die eine Zulassung? Sagen einfach, schaut her, wir sind toll.
Ja im Prinzip, dass also die das Verfahren ist so angelegt, dass die ähm Hersteller eine sehr, sehr lange Liste ähm also zum größten Teil sind das tatsächlich Checklisten ausfüllen müssen, wo sie dann auf einer Haufen Fragen einfach nur. Äh antworten müssen, zutreffen, zutreffend, zutreffend und dann geht das an die äh ans B-Farm, also das Bundes äh. Bundesamt für Arzneimittel und Medizinprodukte oder so ähm.
Und also da muss noch ein bisschen mehr rein, da muss irgendwie beschrieben werden, wie die Evidenz äh. Erfasst werden soll, dass es auch tatsächlich hilft. Das müssen Sie nämlich zum Staat auch noch nicht nachweisen können und so ein bisschen allgemeine Sachen gegen was es jetzt helfen soll und so weiter und was es natürlich auch kostet. Aber das BFAM prüft ähm laut eigener Aussage nur in Einzelfällen diese Sachen nochmal genauer nach
und zum größten Teil vertrauen die tatsächlich darauf, was die Hersteller sagen. So war es zumindest zum Start der Digas. Inzwischen haben sich da ein paar kleinere Schritte geändert. Okay, also hast du mir gerade sozusagen erklärt, dass die Zulassung einer App als digitale Gesundheitsapp Grunde genommen auf der Selbstauskunft der Hersteller basiert? Gut, für das erste Jahr.
Für das erste Jahr und dann? Äh nach dem ersten Jahr muss man eigentlich eine Studie vorlegen, die beweist, dass die App positive Versorgungswirkung hat.
Nicht so auf dem Level von dieser App heilt. Mhm. Aber mit der App ist irgendwie was besser man das gut genug nachweisen kann, dann bekommt man nach einem Jahr im sogenannten Fast-Track-Verfahren eine endgültige Zulassung als digitale Gesundheitsapps, aber die allermeisten Apps, Stand heute sind noch in diesem Fasttrack-Verfahren und noch nicht endgültig zugelassen, weil eben noch diese Studien fehlen.
Da an der Stelle würde ich schon sagen, da liegt auch ein bisschen der Hase im Pfeffer. Wir haben für die Recherche auch ähm mit den Krankenkassen gesprochen und die ähm regen sich da ziemlich drüber auf, also nämlich genau dieser Punkt, ab wann. Ähm ab wann bringt eine App was, mit was vergleichst du das eigentlich? Und die haben uns gesagt, die Apps müssen nachweisen, dass sie besser sind als nix.
Mhm. Aber die müssen nicht nachweisen, sie sind besser entweder als ein real Therapeut in real life, ja? Oder, das wäre ja eigentlich jetzt kommt das, was ich eigentlich am besten oder interessantesten finde sie nachweisen müssen, dass sie besser oder genauso gut funktionieren wie eine vergleichbare App, die es auf dem Markt schon gibt also das könnte man ja machen, dass man sagt, es gibt schon drei Abnehm-Apps, ähm die haben das und das nachgewiesen.
Bist du dran, ne? Kannst du das auch schaffen. Nein, die müssen nur nachweisen, sie sind besser als nichts und das ist halt was, wo die Krankenkassen sagen. Ja hm also hm ja so. Das klingt so ein bisschen als könnte man auch Homöopathie da pfui Markus. Entschuldigung. Ähm.
Okay, also es gibt Apps, die sind digitale Gesundheitsapps, da weiß man nichts zu, also man weiß, dass das theoretische Konzept funktionieren kann. Man weiß aber im konkreten Fall immer nicht, ob's wirklich funktioniert, weil die Hersteller sagen, es funktioniert, aber sonst prüft das niemand so richtig nach. Ähm jetzt sind wir schon auf den Schritt gegangen äh digitale Gesundheitsapps vielleicht gehen wir nochmal eins zurück, sagen was unterscheidet die denn von
von normalen Apps. Also ich meine, wenn ich jetzt einen App Store aufmache, dann gibt's ja da irgendwie 1000 Fitness-Apps zum Beispiel, die versprechen bestimmt auch alle, ähm dass mein Rücken davon besser wird. Aber gibt's da einen Unterschied oder ist der Unterschied nur dass die. Vom System in der Art und Weise begutachtet wurden, wie wir's gerade erklärt haben.
Also zum einen das und zum anderen der größte Unterschied ist, dass du nicht dafür zahlen musst, sondern deine Krankenkasse, also deine Ärztinnen oder wenn du eine Diagnose hast, sogar die Krankenkassen direkt, ähm. Entscheiden, dass die App jetzt was Gutes für dich wäre und dann zahlt das halt komplett die Krankenkasse. Das ist aber sozusagen keine andere Klasse von Apps, sondern du könntest die Sepp genauso gut auch frei im App Store verkaufen.
Bei Medikamenten ist es ja so, du kriegst sie nur, wenn sie der Arzt verschreibt, weil sie eben sozusagen was ganz Besonderes sind und du kannst also jetzt in der Regel, es gibt natürlich Ausnahmen und so weiter und so fort und äh Medikamente, wo das doch geht, aber in der Regel ist ja so, Medikamente kriegst du nicht einfach.
Dass wir also hier analog sozusagen sind Gesundheitsapps, digitale Gesundheitsapps sind die was Besonderes, was es nur auf Verschreibungen gibt oder oder ist der Unterschied eben nur das sind Apps, aber die werden von der Krankenkasse bezahlt. Der Unterschied ist, das sind Apps, die werden von der Krankenkasse bezahlt. Also ähm bei vielen dieser Apps ist es so, dass sie bereits bevor sie in der wurden irgendwie existierten, im App Store waren ähm oder sonst wie zu bekommen
Vieles sind ja auch nur Webseiten ähm und man sich dies schon so kaufen konnte und auch immer noch kaufen kann. Aber wenn's halt eine ist, dann kann die Krankenkasse das bezahlen. Dann müssen eben nicht die ähm Patientinnen nochmal selber nochmal selber dafür blechen, was ja eigentlich auch eine gute Idee ist. Du hast irgendwie eine Krankheit, es gibt eine funktionierende App. Warum übernimmt das nicht die Krankenkasse?
Mhm. Ich habe zum Beispiel selber äh jetzt während Corona, da war so viel Homeoffice, was auch nicht super viel rumgesessen. Dann hatte ich so eine Rückenschmerz-App die fand ich richtig gut, habe die total gerne benutzt, aber ich weiß gar nicht, nach drei Monaten oder wann war's Probe-Abo
gelaufen und die wollten klar die die war halt richtig teuer oder für meine für ich dachte mir so nee das würde ich eigentlich nicht bezahlen habe ich bei der Krankenkasse angerufen und gesagt hey das ist so eine App die hilft mir, die ist echt gut, aber Krankenkasse.
Das geht nicht, ähm weil das ist eben keine zugelassene App, also die können wir ihnen eben nicht erstatten, auch wenn wenn sie jetzt sagen, die hilft ihnen was, das nutzt halt nichts, ne? Und ähm dementsprechend ist es wirklich so, die, die dieses Verfahren durchlaufen haben, die können dann von der Krankenkasse erstattet werden und das Interessante ist halt, dass die Preise von diesen Apps
Dann ähm teilweise, also es ist halt irre Preissteigerung ähm gab, also wir haben einen Fall hieraus ähm recherchiert. Das war so eine Migräne-App. Die hat äh so 65 Euro im Jahr gekostet, wurde dann eine kostete dann 880 Euro im Jahr, also von 65 auf 880 Euro. Preissteigerung. Also im Sinne von wenn die wenn die jemand selber bezahlt hat, also als App im App Store dann so viel, aber wenn's über die Krankenkasse abgerechnet wird dann so viel.
Genau ja und die anderen, also durchschnittlich ähm so äh viele, die Gas kosten im Quartal, also drei über drei Monate kosten die so um die fünfhundert, vierhundertfünfzig, 500 Euro. Also muss man sich echt mal vorstellen, für drei Monate, wenn wir so eine Abnehm-App
äh wie sage ich mal in drei Monaten reicht ja oft nicht, wenn man jetzt wirklich Übergewicht hat und man braucht das vielleicht ein Jahr, dann reden wir über Kosten von 2000 Euro im Jahr. Ne, im Vergleich jetzt zu anderen Apps, äh die beim Abnehmen auch helfen. Die weiß ich nicht, vielleicht 80 oder 90 Euro kosten bei unbegrenzter Nutzung.
Ich möchte mal so tun, als wüsste ich die Antwort noch nicht. Ähm wenn man das so hört, dann ist das erstmal viel Geld, aber dann könnte man ja überlegen, na ja gut, das ist schon so.
Aber der Unterschied zwischen App und App Store, die eine Privatperson verkauft wird, ist halt, dass kauft die Privatperson, dann kann die halt damit machen, was sie will. Wenn das äh von einem Arzt verschrieben wird und dann sozusagen über die Krankenhaus abgerechnet wird, sind ja vielleicht sozusagen manche Ansprüche höher, also eben die der Wirksamkeit, haben wir ja schon gerade geklärt, wie hervorragend das auch alles nachgewiesen wird
aber vielleicht auch einfach keine Ahnung, gibt's dann andere Anforderungen an die Infrastruktur, die dahinter steht oder an Pflichten, Dinge zu dokumentieren oder besondere Datenschutzbedingungen oder irgendwas. Also habt ihr da eine Recherche irgendwas entdeckt, was ähm. Naheliegt, dass vielleicht der Betrieb einer App teurer wird, wenn sie eben im offiziellen Gesundheitssystem drin ist.
Also nee, eigentlich leider nicht wirklich. Ähm also ich meine, man muss sich halt in die deutschen Datenschutzbedingungen halten, aber das muss man ja eigentlich immer in Deutschland eine App verkauft. Ja. Und es gibt natürlich so ein paar
Ankreuztests, die man machen muss mit, ja, erfüllt man irgendwie bestimmte Regelungen im Datenschutz, die irgendwie primär dem deutschen Recht entsprechen ähm und diese Arbeit muss man sich machen und man muss sich die Arbeit machen, halt einmal diese Zulassung zu bekommen und ich verstehe, dass es irgendwie schon für die Unternehmen ein anstrengender Prozess ist dabei ja schon nachweisen müssen, dass ihre App
irgendwie, irgendwie sinnvoll ist, so ein bisschen zumindest in diesem Fragebogen. Ähm wenn man aber sich anschaut, welche Apps das dann auf sich nehmen.
Sind das halt häufig nicht die international bereits guten Apps für bestimmte Bereiche, sondern das sind halt Apps, vor allem von deutschen Herstellern, die eine relativ äh kleine Zielgruppe haben und von denen man häufig den Eindruck hat, dass sie relativ günstig auch produziert wurden, weil natürlich, wenn man nur auf den kleinen deutschen Markt mit seiner App.
Uns spezifisch für diese Zulassung arbeitet, dann ähm kann man da nicht so viel Geld rein investieren während ein Unternehmen, das irgendwie global eine richtig gute Sport-App machen möchte, eine viel größere Zielgruppe hat, mehr Leuten diese App anbieten kann und dann dafür die App nicht spezifisch auf digitale Gesundheitsapps zugeschnitten. Hat. Also deswegen ein Qualitätsmerkmal ist, dass äh siegel oder das Label Diga für mich auf keinen Fall.
Aber wir reden ja gerade also das das klang schon durch. Wir reden ja gerade über das Geld. Ähm das heißt ist da dein ein. Vorwurf, viel werden die Krankenkassen, die gesetzlichen Klammer auf, das Solidarsystem, das dafür sorgen soll, dass man's sich als Privatmensch nicht dumm und dämlich bezahlt, wenn man krank ist, kann man zu äh geschröpft wird.
Das ist ja, also das ist zumindest auch das, was was der ähm was die Krankenkassen sagen, also die sagen halt ähm An sich eigentlich Digas coole Idee, vor allem für so ich sage mal niederschwellige oder Krankheiten, die so in die Breite gehen, also Beispiel Rückenschmerzen, wie viele Deutsche haben Rückenschmerzen oder Übergewicht oder auch sowas wie Angststörung oder Depression, wo man eigentlich sagt
macht eine günstige App, die viele Leute möglichst einfach benutzen können und möglichst in einem frühen Stadium schon. Und. Beißt sich da aber irgendwie die Katze in den Schwanz, wenn so eine App äh in drei Monaten 4 500 Euro kostet, ähm wird die auch von den Ärzten zurückhaltend verschrieben, weil die dann auch lieber sagen, okay ähm Rückenschmerzen, nee, ähm da verschreibe ich.
Verschreibe ich lieber ähm eine manuelle Therapie, das das bringt im Zweifel mehr, ne und so und so so kommt da eigentlich das, was man wollte, ähm ja, so so kommen da diese zwei Sachen am Ende nicht zusammen. Man sieht das auch so ein bisschen. Also das ist
Das ist auch in dem System so angelegt, also das erste Jahr eben in diesem Fast-Track-Schnellzulassungsverfahren dürfen sich die Hersteller einfach aussuchen, wie viel sie für ihre Apps verlangen. Also es gibt so einen ganz grober Rahmen ähm in dem das sich bewegen muss, aber die sind unglaublich groß und da dürfen sich's die Hersteller einfach aussuchen und es gibt einige Apps, die eben dieses Einjährige Schnellzulassungsverfahren schon hinter sich haben und jetzt in der Dauerzulassung sind
Da sieht man dann teilweise, dass die Preise einfach in dem Moment, wo die Krankenkassen mit am Tisch sind und mit verhandeln, einfach mal um 50 Prozent äh sinken und es plötzlich halt nur noch die Hälfte kostet, nachdem da auch mal drüber verhandelt wurde und nicht die Hersteller sich das alles selber überlegt haben. Also ich muss das nochmal fragen, ob ich's richtig verstanden habe. Es gibt einen Markt.
In diesem Markt sind Dinge zugelassen, deren Qualitätsaussage ist die Aussage dessen, der sie herstellt der sagt ja, das funktioniert und der darf dann auch selber den Preis festlegen. Und kriegt das Geld dafür aber nicht von einzelnen Menschen, die sie dazu bereit erklären zu sagen, ja das ist mir das wert, das kaufe ich, sondern von unserem gemeinschaftlich finanzierten Solidarsystem und es gibt da keine Instanz, die sind nicht irgendwie.
Rechenschaftspflichtig, dass sie sagen müssen, dass der Betrieb kostet uns so und so viel und dann sagt man, okay, dann könnt ihr noch so und sonder das ist wirklich, der Hersteller sagt, ich habe ein Produkt, das Produkt funktioniert und dafür will ich jetzt tausend Euro. Absolut. Also das ist es ist wirklich komplett absurd. Das ist halt so, uns ging es bei der Recherche auch immer wieder so, dass wir uns sagten, ey, das ist so als
würde man irgendwie sagen ja VW hat sich jetzt einen neuen Motor ausgedacht. Ja wir schauen da jetzt mal nicht so genau drauf. Wir messen jetzt die Abgase nicht. Wir vertrauen einfach mal dem, was der Hersteller sagt und dann lassen wir das mal ein Jahr fahren und nach einem Jahr sollen dann bitte mal Abgaswerte vorgelegt werden und dann muss auch gezeigt werden, dass dieser Motor in dem Jahr nicht jede zweite Ecke explodiert ist, aber bis dahin vertrauen wir den erst mal.
Die Hand des Maklers. Ein unfassbar wirkungsvolles Instrument. Ich bin immer wieder total begeistert. Ähm okay. Jetzt habt ihr, jetzt gibt es, äh es gab es ja vor, je nachdem, wann ihr das hört, Wochen, Tagen, Monaten, ähm diese Recherche, die dann auch äh. Relativ gut rumgegangen ist, glaube ich zumindest. Hat sich denn in diesem Punkt da irgendwas geändert?
Gab's irgendwelche Reaktionen von irgendwelchen offiziellen Behörden, Bundesgesundheitsministerium? Kassenärztliche Vertretungen oder wo sie gesagt haben, ja genau, das wollten wir auch schon mal sagen. Jetzt müssen wir mal wirklich draufhauen oder ist das eher so äh. Also es gab viele, die das Problem auch gesehen haben, auch von den äh Krankenkassen, die da auch nicht begeistert drüber sind und es gehabt, das fand ich sehr lustig, eine Pressemitteilung des ähm.
Spitzenverbands, digitale Gesundheitsversorgung oder so. Mhm. Wo auch so ein bisschen der Tino war, ja, die Lücken waren schlecht, aber die wurden ja voll schnell behoben. Und ähm. Die Unternehmen sind auch so ein bisschen darauf angewiesen, ähm dass so ehrenamtliche Sicherheitsforscherinnen wie die Zerforschung vorbeikommt und solche Lücken aufzeigt. Moment, jetzt bist du schon beim zweiten Teil der Sendung.
Aber ich entnehme dem zwischen den Zeilen äh die haben nichts dazu gesagt, dass sie Blutsauger sind. Nee, ausm BMG haben wir gar nichts gehört. Wir haben so unter der Hand, wie gesagt, ein bisschen was von den Krankenversicherungen mit
bekommt, die sich sehr über diese Recherche gefreut haben die, die sich bei uns gemeldet haben, was natürlich immer so ein ist. Äh und äh wir haben vom Spitzenverband äh zumindest was gehört, äh wo die sich auch ein bisschen darüber gefreut haben, von den Krankenversicherungen. Aber es gab keinen
also bei uns angekommen ist, keine offizielle Aussage mit wir wollen an diesem ganzen Verfahren jetzt was ändern. Wobei es es Es gibt ein, also das ist schon beschlossen, es soll, also es soll besser werden, also es gibt so ähm jetzt hier für zwanzig3undzwanzig ähm wurde, sollte die also die Datensicherheit sollte eben erhöht werden und ähm das da sollen die jetzt irgendwie ab Januar zwanzig dreiundzwanzig, so wenn man sich so ein Zertifikat vom BSI für Datensicherheit besorgen und
dem ersten Vierten 3undzwanzig auch für Datenschutz Also da war so ein bisschen das, was so bei uns dort ankam, war okay, das ist jetzt Mist, aber ähm durch dieses Zertifikat vom BSI oder auch ähm dann das wird ja dann alles besser, wobei ich muss ehrlich sagen, bin ich jetzt nicht so von überzeugt
ich muss aber grundlegenden und die grundlegenden Probleme dieses Zulassungsprozesses geht das ja auch alles nicht an. Also die Hersteller müssen dann zwei Zertifikate mehr vorlegen, aber sie dürfen sich immer noch die Preise selber ausdenken. Sie müssen immer noch bei der Anmeldung keine Evidenz haben.
Ich wollte gerade sagen, ne. Ich habe ja ich spreche momentan immer noch über dieses Geldding, was mich ja sozusagen wirklich sehr vom Honker gehört. Ähm und jetzt der der Hörer oder die Hörerin, die vielleicht noch gar nichts mitbekommen hat vom ganzen Themapreis jetzt im Moment mal Datensicherheit, was ist denn hier los? Tja, liebe Freunde, herzlich willkommen beim Caos Radio. Hier gehen Dinge kaputt und werden angezündet. Ähm also nochmal von vorne. Es gibt also Apps.
Die nach Aussage der Hersteller sozusagen total sicher sind und sehr teuer und dann werden die doch auch. Ich weiß gar nicht, ob wir an dieser Stelle wir müssen, glaube ich, nicht.
Nicht nochmal besonders, also man kann's auch einmal sagen, Gesundheitsdaten sind persönliche Daten, persönliche Daten sind schützenswert, das klingt bei Gesundheitsdaten vielleicht doch mal ganz besonders, weil das ja höchstpersönlich, auch wenn man diese Unterscheidung machen will, Daten sind, die zu diskriminierung führen können, wenn sie äh an die Öffentlichkeit kommen
oder schlicht und einfach auch niemanden etwas angehen, außer die behandelnden Parteien. So und dann würde man aber denken so, also wenn es jetzt also da schon Apps gibt. Und ähm Little hat das, glaube ich, vorhin schon gesagt, äh das deutsche Datenschutzgesetz gilt ja sowieso, dann werden doch diese Apps sehr sicher sein. Oder? Ja, okay. Sendung zu vorbei. Äh doch, nein, ich will es schon, ich würde schon gerne gerne genauer wissen. Ähm.
Vielleicht du merkst ein bisschen zu dem ihr, warte mal, also wenn ich wenn ich's richtig im Kopf habe, es geht doch jetzt um 2 Apps, die sozusagen. Sagen wir mal suboptimal sicher sind und bevor wir da über diese beiden konkreten Fälle sprechen, vielleicht noch mal. Ist es ein generelles Problem oder anders fragt, habt ihr noch gegen mehr Sachen gegengetreten, die dann aber ganz geblieben sind?
Oder war das so, das sind die beiden Ersten, die sind kaputt und alle anderen sind es wahrscheinlich auch.
Also wir haben außerdem beiden Konkreten jetzt noch auf andere, mal so oberflächlich draufgeschaut, aber wie das ähm immer mal so ist, dann schaut man sich halt so eine ganze Reihe an und bei manchen hat man direkt ein schlechtes Bauchgefühl oder schaut drauf und denkt direkt, oh das sollte so nicht sein, bemerkt vielleicht sogar innerhalb von sehr kurzer Zeit, dass da was wirklich kaputt ist an der Lösung und dann schaut man nochmal genauer nach
Schaut sich das nochmal genauer an und stellt dann halt die ganz großen Sicherheitslücken fest und die ganz schlimmen Dinge und dann ist das schon genug Arbeit das alles richtig zu melden eben zu veröffentlichen wie überhaupt auf die Idee gekommen sozusagen euch jetzt mit Digas zu beschäftigen, weil das so hm.
Da ist ein neues Betätigungsfeld. Lasst doch mal gucken oder gab es einen Anlass sozusagen so einen Anfangsverdacht. Also ich meine, äh wer zur Forschung so ein bisschen verfolgt der weiß, dass wir uns äh immer mal wieder gerne mit dem Gesundheitsmarkt beschäftigen und insbesondere, wenn das da irgendwie schnell viel Geld zu verdienen gibt, wie während corona, haben wir uns ja irgendwie all die verschiedenen Testzentrumsanbieter
alles rund um covid halt, was es so digital gab, mal genauer angeschaut und dabei eine ganze Menge Sicherheitslücken gefunden. Dann haben wir letztes Jahr eine größere Reihe zum Thema äh Schul-Apps gemacht, also sprich digitale Bildungs-Apps und haben da auch eine ganze Menge Sicherheitslücken gefunden. Irgendwie haben wir dieses Jahr so gesehen, ah.
Digitale Gesundheitsapps, das ist ja eigentlich genau dasselbe Modell, wo man schnell Geld verdienen kann, wo Leute schnell Sachen bauen und da hatten wir natürlich kein so gutes Gefühl bei diesem Markt, sondern haben wir gedacht. Den schauen wir uns mal genauer an. Und dann haben wir einfach auf gut Glück uns welche von den 33 Apps rausgesucht und haben da halt mal eben so schnell draufgeschaut und bei zweien wurden wir dann wirklich schnell fündig.
Was wie muss man sich das vorstellen? Weil ich könnte ja so an einem an einem Beispiel konkret machen. Also äh ich habe den Namen gerade nicht parat. Welche beiden Apps waren das? Wofür sind die da? Also ist als zugelassen für Brustkrebspatientinnen und Novego ist zugelassen für Depressionen in allen schwierig schwere Geraden.
Lass uns äh lass uns über Depressionen sprechen. Ein ein Zustand, äh der kein schöner ist und wo man, glaube ich, besonders drauf angewiesen ist, dass das Umfeld, in das man sich begibt, um Hilfe zu suchen, vertrauenswürdig ist. Wie funktioniert diese App und an welcher Stelle habt ihr dann an einem Faden gezogen?
Also das ist eine Web-App, also das heißt, man geht auf eine Webseite, man meldet sich da an und dann kann man so einen digitalen Gesundheitsappcode eingeben, damit es zur digitalen Gesundheitsapp. Man kann das aber auch ohne diesen Code so ein bisschen benutzen mhm. Und das haben wir gemacht, weil wir ja kein Geld für diese App. Natürlich ähm und dann loggt man sich da ein und dann äh bekommt man so online Videokurse dazu, wie man mit seiner Depression besser klarkommt.
Und man bekommt regelmäßig so Fragebögen und so Informationen zu was sind Depressionen oder wie gut geht es einem gerade Das macht man dann über so ein Quartal und damit sollen quasi Depressionen besser werden. Mhm. Und na ja, wir haben uns da halt einfach mal angemeldet und haben uns so die Funktionen angeschaut, die das Tool so hat
Und weil das ja der deutschen Datenschutzregelung äh irgendwie unterliegt, äh hat das auch so eine tolle Datenschutzgrundverordnungsexportfunktion. Das bedeutet, da kann man sich alle Daten runterladen, die die App über einen erfasst. Und na ja, diese Funktion haben wir uns mal genauer angeschaut und ähm diese Funktion, die sendet dann quasi einen Server. Ich bin diese Nutzer in ID. Laden wir mal alle Daten für mich runter.
Und wenn man da diese ID hochgezählt oder runtergezählt hat, dann hat man die Daten von einer anderen Person bekommen. Und dann hatte man quasi wunderschön maschinenlesbar nach aktuellen Gesundheitsstandards, da gibt es wirklich ganz gute Standards zu. Äh die Daten aller Leute von knapp 1.000 Menschen
Depressionstagebüchern, mit äh was der Grund war, also die äh Erkrankung, für die sie sich angemeldet haben, weil die haben das auch vor Angststörung, Verschlafstörung. Das ist aber nicht als Diga zugelassen, sondern ich glaube nur der Depressionspart ist wieder zugelassen. Und äh E-Mail Adresse, Name und so weiter und so fort, also halt so ein komplettes Profil über eine Person mit Depression oder einer anderen nicht so schönen Erkrankung. Also nur weil sie das technisch richtig verstehe.
Man kann seine Daten herunterladen, seine eigene also ist die Idee hat eine ID und diese ID ist nicht eine zufällige Zeichenfolge, sondern anscheinend legen die ihre Kundinnen, wenn man das so will, an als fortlaufende Nummer. Das heißt, man kann das hoch oder runter zählen. Genau und das ist sozusagen, wenn man diese ID hat und diese Maske eingibt, kommen alle Daten. Das heißt, es wäre theoretisch denkbar gewesen.
Ein automatisiertes Programm zu schreiben, das einfach die ID von eins an hoch zählt und dann einfach alle Daten runterlädt und so die komplette Datenbank? Des Anbieters er ausliest mit einem Account, den man sich einfach so jederzeit klicken kann. Ja, exakt das. Jesus, fuck. Entschuldigung. Ähm wow. Äh sitzt da jetzt jemand im Gefängnis eigentlich? Also Entschuldigung, weil wenn ich das so platt frage, aber äh mal andersrum gefragt. Ja. Das. Wenn man eine App baut.
Ja. Wo es um vertrauliche Daten gibt, dann also ich ich weiß sozusagen im juristischen Bereich wird mittlerweile, wenn's um Technologie und Digitales geht sozusagen mit einem äh manchmal so argumentiert, dass dass gewisse Dinge einem technischen Standard ähm genügen müssen. Das ist doch sozusagen weit davon entfernt oder nicht? Also ich meine, das ist doch absolut das ist definitiv nicht der aktuelle Stand der Technik. Also das sind.
Ganz, ganz einfache Fehler, die so grade bei solchen sensiblen Daten und eigentlich bei allen Daten nicht passieren dürfen. Also das Das stand dann auch in irgendeinem Artikel zu der Sache IDs hoch und runter zählen, das ist so der Lieblingstrick von Zerforschung und das stimmt halt leider, weil sehr sehr oft bei solchen Lösungen das schon reicht. Also das Sicherheitskonzept der Hersteller scheint darauf zu basieren, dass außer ihnen niemand zählen kann.
Und wir können's. Also was mir so sehr irritiert ist ja ähm. Dass er dieses sozusagen die ID einer Person raten. Ja? Das ist sozusagen, das ist ja nur ein allereinfachster Angriff und Den gibt es dann sozusagen nochmal in der allerreinfachsten Variante, weil's einfach fortlaufende Nummern sind. Aber eigentlich müsste ja generell all die dürfte doch all dies raten, dass das dürfte doch eigentlich nicht klappen, oder? Ja, dürfte nicht, tut's leider halt doch immer wieder.
Also eigentlich dürften diese Daten nicht mal zentralisiert auf einem Server liegen aus unserer Sicht, weil so sensible Daten, äh wenn's darum geht, irgendwie so ein Tagebuch zu haben, das man für sich selbst erstellt. Sollte nicht für zehn.000 Leute auf so einem Server bei so einem Anbieter liegen, sondern das sollte vielleicht. Lokal auf dem Telefon oder lokal auf dem Computer und maximal verschlüsselt bei dem Anbieter liegen, sodass der selbst keinen Zugriff auf hat.
Also wir finden das schon super absurd, dass diese Daten so erhoben werden dürfen, geschweige denn, dass sie eben völlig unfähig sind, diese Daten zu sichern. Weil jetzt müssen wir aber trennen sozusagen, was du jetzt sagst, das ist sozusagen eure Vorstellung von Datensicherheit nicht, was die DSGVO vorschreibt.
Das ist ein bisschen komplizierter, weil ich meine, es gibt ja schon das Prinzip der Datenminimierung bei besonders sensiblen Daten laut DSGVO, die bei Gesundheitsdaten vorliegen. Mhm. Ähm will man ja schon eine Datenminimierung haben Also deswegen ist das natürlich so eine Sache, da kann man mit vielen Juristinnen lange drüber diskutieren, aber das. Es gibt auf jeden Fall Menschen, die das auch so sehen wie wir, dass die DSGVO da schon eine Datenminimierung vorsieht. Okay. Ähm.
Wie war's denn bei der anderen App? So sagen wir ihr habt auch IDs hochgezählt oder war's ein anderer eine andere Art von Angriff, eine kompliziertere vielleicht. Es war na ja, ich weiß nicht, ob es komplizierter war. Also wir haben uns. Auch da ähm die App so ein bisschen angeschaut und haben dann relativ schnell das Registrierungsformular für Ärztinnen gefunden. Mhm. Das ähm konnte man einfach äh googeln.
Und dann ähm haben wir uns dort mal als Ärztin registriert, dass es eigentlich noch keine Sicherheitslücke, weil wenn die ein gutes, einen guten Schutz sonst haben, dann kann sich da. Jede Person als Ärztin registrieren und dann siehst du aber ja nichts, weil du hast ja kein Krankenhaus, du hast keine Patientinnen. Mhm. Kannst maximal, keine Ahnung, dir einen lustigen Namen geben, aber das ist ja das ist ja kein Data Bridge.
Und dann haben wir uns angeschaut, wie kommuniziert die Website mit den Servern, die dahinter liegen und haben dann irgendwie die die Schnittstellen gefunden kurz weil ich noch Zeit habe, also das war ein Ding da äh von Brustkrebs betroffene Personen führen ein Tagebuch und darauf kann der Arzt oder die Ärztin dann zugreifen.
Genau und da können äh da kann drin gespeichert werden, welche Medikamente genommen und verschrieben werden, wie es den Menschen an sich geht und ich glaube, das war der Teil, der auch als Tiger groß zugelassen wurde reine Arztpatientinnenkommunikation ist noch keine Digga. Ähm. War, dass die Patientinnen dort die Symptome, die sie haben, eintragen können und die App
dann automatisch erkennt, ob dies jetzt ernste Symptome sind, wo man sofort mit einem Arzt drüber reden muss oder ob das noch ein bisschen mehr Zeit hat. Mhm. Und ähm genau, dann hatten wir uns als Ärztin registriert und haben so ein bisschen rumgeschaut, wie kommunizieren Server und Website miteinander, wie tauschen die Daten aus, wie wie kommen die Daten dahin, die wir sehen und haben dann die Schnittstellen gesehen und
Da gab's irgendwie eine Schnittstelle über die ähm prinzipiell Patientinnen abrufbar waren, haben wir aber keine bekommen, weil wir ja keine Patientinnen hatten, eine andere über die Krankenhäuser abrufbar waren ähm jetzt muss ich sie kurz fragen. Das ist aber schon ein bisschen mehr Magic im Sinne von, ihr habt da Netzwerkverkehr beobachtet, also ist nicht so was eingetragen, sondern das ist schon ein Schritt mehr Technologie.
Na ja, ja, aber es ist so Rechtsklick im Browser-Entwicklerinnen-Tools ähm und da stand dann alles. Hm und da haben wir einfach mal so ein bisschen äh durchgescrollt, was da so alles äh für für Anfragen drin waren und dann haben wir gesehen, es gibt für alles mögliche, was nur, für ein was haben wir, keine Anfragen gesehen, für Abteilungen in den in den Krankenhäusern, weil du willst ja auch nicht, keine Ahnung der Person aus der Onkologie auch Zugriff geben auf die
Keine Ahnung, auf die Corona-Station. Das sind ja irgendwie getrennte Teile, die sollen, das dürfen's vielleicht sogar gar nicht sehen. Mhm. Und dann ähm. So ein bisschen geschaut, okay Patienten war Slash Krankenhaus oder irgendwas anderes. Okay, dann raten wir einfach mal vielleicht ist Slash Departments, ja da wo die Abteilungen.
Äh Abbruch gerufen werden. Mhm. Und das war's auch tatsächlich, nur dass wir da nicht wie in den anderen Fällen genau das sehen, was wir sehen durften, sondern da sahen wir alle Abteilungen. Allen Krankenhäusern und dann hatten wir schon irgendwie. Eben das schlechte Bauchgefühl, was ich vorhin schon meinte und haben halt etwas weitergeschaut und an anderen allen anderen Stellen war's so, man konnte nur Daten auch bearbeiten. Auf die man auch selber Zugriff hatte.
Bei den Abteilungen war's wieder nicht so. Wir konnten dort selber ähm die Abteilung bearbeiten. Also wir hätten sie irgendwie umbenennen können, was schon schlimm genug ist, aber wir konnten eben auch bearbeiten, welche Ärztinnen in dieser Abteilung arbeiten. Da konnten wir uns dann einfach selber reinschreiben und plötzlich.
Hatten wir Zugriff auf die auf alle Daten, die halt die Ärzte in dieser Abteilung sehen konnten. Also welche Patientinnen sind dort, welche Daten haben die Patientinnen gespeichert und so weiter. Also auch hier man braucht technischen Grundsachverstand, aber.
Das soll jetzt nicht diszipliniere ich euch gegenüber klingen, aber sozusagen, das ist doch im Prinzip was, das kann man rausfinden, wenn man einfach genug Zeit hat. Das ist so das ist auch, also viele von den Projekten, die wir machen, viele von den Recherchen, die wir haben, das sind Sicherheitslücken auf einem extrem niedrigen Level, wo wirklich keine großen Skills, keine spezialisierten Tools nötig sind, sondern eben ein bisschen mal.
Um die Ecke gucken und vielleicht mal so dieses hm was passiert denn, wenn ich diesen Knopf drücke oder was passiert denn, wenn ich diesen Knopf von der Seite betätige? Oh dann dann explodiert irgendwas, dann geht irgendwas schief. Das sollte so nicht sein. Meine wir machen eigentlich immer was, was standardmäßig Softwareentwicklungsprozess passieren sollte. Wir denken mal fünf Minuten drüber nach, wie denn dieses System vermutlich gebaut wurde
und wie man das denn ordentlich absichern würde und was man dabei vergessen haben könnte. Also was, was eigentlich gute Softwareentwicklerin auch jeden Tag machen sollten, äh. Und ja, wir machen's dann halt auch mal, aber von außen und häufig geht dabei was kaputt oder wir finden was kaputtes, sagen wir's besser so. Wie seid ihr denn also ich meine, da.
Also mal abgesehen davon, dass ne, dass es dass es sozusagen der technische Ableger sagt, keine keine Zauberei ist und äh das dann möglicher, also und das das heißt ja eigentlich auch, das kann jeder schaffen, der so drauf ist wie ihr. Vielleicht aber eine andere Motivation hat. Also ich meine, dass irgendwie ähm das halt. Persönliche Daten von depressiven Patientinnen abgerufen werden können oder halt
Krebstagebücher. Das ist ja eine mega krasse, ähm mega krasses Datenleck. Ähm wie das ist ja Dank Aue auch eine Verantwortung, die ihr dann habt, ne. Also ihr wisst dann, wie's geht und habt dann theoretisch Zugriff drauf. Wie was macht man dann damit. Genau, also sobald wir diese Lücken finden, setzen wir uns hin und schreiben einen Report, wie sind wir da hingekommen, wie funktioniert das, welche Lücken sehen wir, welche Gefahren sehen wir und so weiter und so fort.
Und wenn wir diesen Report geschrieben haben, dann geht der ein paar mehr Stellen, dann geht er einerseits natürlich sofort an den Hersteller. Mhm. Der geht aber auch an die Landesdatenschutzbeauftragten. Und der ging in dem Fall auf jeden Fall auch an das BAM, als zuständige Stelle für die digitalen Gesundheitsapps. Und an die Landesdatenschutzbeauftragten, äh damit die ein Ermittlungsverfahren anstreben gegen die Unternehmen.
Und dann versuchen wir, möglichst schnell den Hersteller dazu zu bringen, dass er uns zumindest schon mal sagt, ich habe eure E-Mail bekommen. Ich sehe diese Lücke und ich kümmere mich drum. Das versuchen wir in der Regel so, ja, innerhalb von zwei Tagen hinzubekommen äh und rufen die dann einfach so lange an und nerven die so lange, bis sie uns das irgendwie geben, weil das ist leider auch immer wieder nötig, weil dann sagen die ups, der Report ist leider im Spam gelandet oder so.
Genau aber das ist erstmal der erste Schritt und dann versuchen wir die Hersteller halt dazu zu bekommen das möglichst schnell zu schließen. Danach diese gesellschaftliche Debatte zu führen, die wir heute auch so ein bisschen führen. Aber Ähm weil ihr gesagt habt, dass ihr die verschiedenen ähm offiziellen Institutionen auch ranschreibt, dann würde man sich ja wünschen, dass quasi das analoge ähm der Feuerwehr wird ein riesiger
brandgemeldet. Sofort gehen die Türen auf mit Blaulicht, Rasen, Tanklastzüge zum Brandherd und ähm so würde man sich die Reaktion wünschen. Wie ist es in Wirklichkeit? Will ich das überhaupt wissen? Es ist gerade bei den Datenschutzbehörden haben wir ja jetzt mit einigen zu tun gehabt und sehr unterschiedliche Erfahrungen gemacht. Also es gibt Datenschutzbehörden, die. Sind so ein bisschen so, die rufen einen dann auch irgendwie abends ähm
wo die eigentlich schon längst wahrscheinlich Feierabend haben sollten, nochmal äh nochmal an und lassen sich das nochmal erklären und versuchen das auch selber zu verstehen und dann halt möglichst schnell Schritte zu gehen, damit es geschlossen wird. Und dann gibt's andere ähm. Die machen so das Bär Minimum, die machen so.
Die sagen vielleicht, die sagen teilweise nicht mal, okay danke, wir haben einen Report, sondern teilweise müssen wir dann auch dort nochmal anrufen und nachfragen, ob die's überhaupt bekommen haben oder auch da ist es, ähm dass es auch diesmal passiert im Spam gelandet und dann haben wir erstmal lange nichts mehr gehört von denen. Oder die gehen dann vielleicht mal eine Woche später vorsichtig auf das Unternehmen zu und bitten das um eine Stellungnahme zu dem Vorfall.
Und in der Recherche jetzt war ich ein ganz besonders schockiert von dem Umgang von der B-Farben mit dem ganzen Thema, weil da haben wir das ja auch hingemeldet und dann habe ich auch mal mit denen telefoniert Und dann war das mehr so, dass er sich angefühlt hat, als hätten wir da über Tagesgeschäft geredet. Also die waren sehr, sehr, sehr entspannt. Ich meine ja, das haben wir halt öfter, dass Sicherheitsforschende das melden. Das ist ja auch gut so.
Aber halt überhaupt nicht alarmiert oder ich hatte nicht den Eindruck, dass die jetzt so an ja wir ergreifen jetzt sofort Maßnahmen, um uns darum zu kümmern, sondern das war halt so, ja, ja, passiert halt. Bei denen auch mal eine IFG-Anfrage gestellt, wo die Antwort hoffentlich in ein paar Wochen kommt, wo ich sehr gespannt bin, wie viel Vorfälle es da wirklich gibt. Jetzt hast du IFG-Anfrage gesagt, jetzt musst du auch erklären, was es ist.
Äh das IFG ist das Informationsfreiheitsgesetz ein sehr tolles Gesetz auf Bundesebene, das allen Menschen erlaubt, einfach bei einer Behörde nachzufragen und zu sagen, hey, gebt mir mal diese und jene Akte und darüber habe ich eben nachgefragt über die sehr gute Plattform fragt den Staat. Ähm hier gebt mir doch mal bitte alle Meldungen, die an euch gegangen sind zu solchen Sicherheitsvorfällen und dann müssen sie's mir eigentlich geben. Und da bin ich jetzt sehr gespannt auf die Antwort
Wie haben die Hersteller reagiert? Also die beiden konkreten jetzt. Also ähm wir haben ja äh die haben relativ schnell und sehr freundlich reagiert in der Kommunikation, haben das auch innerhalb von einem Tag oder zwei gefixt, also die waren relativ zügig und ja haben dann gesagt, ja ist jetzt geschlossen und das haben wir dann noch nachgeprüft und das war auch so.
Dann haben wir den Fall Cancado und der hat damit begonnen, dass wir erstmal keine Reaktion auf unseren Report bekommen haben, bis wir dort äh versucht haben, Leute immer wieder anzurufen. Haben wir irgendwann den Geschäftsführer erreicht, der uns dann gesagt hat, ja der ist leider im Spam gelandet, sorry ähm wir kümmern uns aber jetzt drum.
Ähm dann, nachdem wir gesehen haben, der Report ist angekommen, hatten wir einen Tag später, würde ich sagen, eine Twitter DM von einem indischen Entwickler, äh der uns darum gebeten hat, ob wir ihm auf Englisch nochmal erklären können, was denn genau das Problem ist, weil er halt unseren Report bekommen und er versteht den nicht so ganz.
Und äh ja dann haben wir gesagt, das ist irgendwie ein bisschen unprofessionell. Das ist jetzt vielleicht nicht, wie wir äh also was auch nicht unsere Dienstleistung ist, dass wir uns mit den Herstellern hinsetzen. Und äh unsere Reports noch mal ganz genau erklären. Also wenn's da irgendwie sehr konkrete Fragen gibt, dann machen wir das natürlich gerne. Mhm. Ähm aber halt vielleicht nicht auf dem Level so. Einfach
4000 Euro im Quartal? Nein, okay, war nur so. Nein, das ist nicht wie es, genau, wir sind, genau, wir sind äh zivilgesellschaftlich und wir haben kein Interesse dran, damit Geld zu verdienen so.
Äh genau und dann haben die das tatsächlich irgendwann auch repariert gehabt und äh haben uns unseren Zugang offen gelassen und so eine Nachricht geschickt, ja wenn ihr noch was findet, sagt doch gerne Bescheid. Ich habe hier weiter Zugang zu uns rein. Ähm und äh ja, dann haben wir nochmal so ein bisschen noch mal drauf geschaut und.
Wieder eine Sicherheitslücke gefunden, die endlich trivial war, haben die wieder gemeldet und dann wollten die mit uns darüber anfangen zu diskutieren, ob das überhaupt eine Sicherheitslücke ist, aber wir hatten Zugriff auf die Patientinnendaten, damit war es für uns eine Sicherheitslücke und äh genau da endete dann die Story irgendwie so. Dann haben sie das irgendwie doch noch so geschlossen bekommen oder haben uns auch aus der App rausgeworfen, dass wir das nicht mehr so gut prüfen konnten.
Und ja also das lief bei denen nicht so gut. Bei Noego lief es eigentlich relativ vorbildlich von der Kommunikation mit dem Unternehmen zumindest? Noch eine spannende Frage, dass die ähm vielleicht die kleine Anekdote noch da am wir haben ja die Hersteller dann auch noch mal konfrontiert. Also wir kamen ja erst viel so ein bisschen dann dazu das wollte ich später gleich fragen. Sagen wir das? Komme ich komme ich gleich dazu. Ähm ich wollte noch eine andere Frage stellen und zwar die ähm.
Wenn ich richtig informiert bin, ist es doch in Deutschland mittlerweile so, wenn ein Datenleck passiert, müssen die Betroffenen informiert werden. Wisst ihr, ob das passiert ist? Also wir wissen's nicht. Wir gehen fast davon aus, dass es nicht passiert ist. Ähm.
Weil das das ist auch so eine offene Diskussion, wo wir eine Meinung haben und leider sehr viele Leute eine andere, dass eben in solchen Fällen immer die Betroffenen informiert werden müssen, die manche Datenschutzbehörden und natürlich die Hersteller und deren Anwältinnen stellen sich immer auf den Stand, die sagen, nee, sie müssen nur informiert werden, wenn's einen er erhöhtes Risiko für die Rechte und Freiheiten der betroffenen Person gibt
Und das ist in dem Fall nicht gegeben, weil die Daten hat ja nur Zerforschung und die kennen wir, die sind lieb. Also so war die Argumentation auch die Landesdatenschutzbehörde NRW war das, glaube ich, die dem Spiegel sagte, zur Forschung sei bei bei der Behörde als vertrauenswürdig bekannt und deshalb sehen Sie keine weiteren Schritte, die der Hersteller da gehen muss, wozu man halt auch sagen muss, also wir machen wahrscheinlich keinen Unfug mit den Daten.
Aber das wissen die Hersteller nicht so richtig und einen Vertrag mit uns haben sie auf gar keinen Fall. Also. Die Vertrauen uns da einfach mal so blind, dass wir schon keinen Quatsch machen werden. Also also aber davon mal abgesehen, ich dachte, ich hätte das vorhin so verstanden, wenn ihr die Sicherheitslücke findet, dann kann die auch jemand anders finden mit demselben technischen Sachverstand und derselben Zeit und damit ist doch dann quasi.
Also ich meine, ist nachweisbar, dass die Daten nicht abgeflossen sind? Also die Hersteller sagen ja Aha. Die sagen, wir haben nachgeschaut, wir haben ganz tolle Lockfiles und das ist da ist nichts passiert in die Richtung bis zur Forschung um die Ecke kam. Da haben wir aber halt auch keine Handhaber, als denen zu vertrauen, weil wir wissen zwar viel über ihre Patientinnen, aber wir wissen nicht genau, was in deren Lockfiles steht.
Na gut, also liebe liebe Patientin, wenn ihr diese beiden Apps benutzt überlegt mal. Wie vertrauenswürdig es noch ist oder oder sagt uns Bescheid, ob ihr was davon gehört habt. Das wäre auch sehr interessant. So, genau Svea, jetzt sozusagen zu zu der zu der nächsten Schnittstelle, weil ihr habt jetzt äh gerade gesagt, also ne, erst erst der Vorgang die Sicherheitslücke zu stopfen und die Behörden zu informieren und dann die Gesellschaft für Diskussion und
Da ist der Schritt dann sozusagen mit einem Medium zusammenzuarbeiten, in dem Fall NDR und WDR. Wie wie ist das passiert? Wie wie wie Macht ihr das? Habt ihr, habt ihr eh sozusagen eine Standleitung in die deutschen Redaktionen, weil ihr seid ja wirklich seit irgendwie ein, zwei Jahren äh unterwegs oder wie wie geht so was vonstatten.
Na ja, so ein bisschen schon, also ähm wir hatten mit Svea und anderen Kolleginnen vom NDR schon mal eine Veröffentlichung gemacht und wir denken uns halt immer, okay, wenn wir jetzt so was gefunden haben, wir wollen die gesellschaftliche Debatte und es ist schön, wenn wir das auf unserem Blog veröffentlichen, aber.
Das Lesen dann zwar relativ viele Leute, aber das ist halt doch irgendwie unsere Bubble und damit sich was ändert, muss es irgendwie in die Breite gehen und das kann halt so das können die klassischen Medien viel besser als wir Mhm. Und dann war's in dem Fall tatsächlich so, dass ich schwer eine Single Nachricht geschrieben habe mit hey, wir haben da was gefunden. Wir glauben, das ist interessant, wollt ihr euch das auch mal anschauen?
Genau, ja. Was ist dann passiert? Genau, bei uns ist es dann so, dass ähm genau, die Zeas haben ja mit uns relativ breit, also auch dir vor allem den technischen Report geteilt. Was was immer ganz gut ist, weil dann können wir auch das selbst alles ein bisschen nachvollziehen und auch beurteilen und ähm ich jetzt in meinem Fall, ich bin ja vor allem IT und Security-Reporterin und ich habe mich dann wiederum zusammengetan mit einem Kollegen, mit
Markus Grill. Das ist so unser einer unserer Gesundheitsspezialisten und ähm macht ganz viel diese Gesundheitsthemen und habt dann gesagt, komm Markus, kannst du dir das mit mir zusammen mal anschauen und vor allem mal rausfinden, wie relevant, wie wichtig ist das jetzt eigentlich, ne? Weil schon so vor diesem Hintergrundsicherheitslü
gibt's ja ziemlich oft, also ist immer so eine Frage ähm ja wie viele Leute sind betroffen? Ähm wie relevant es in dem Fall war's halt sehr relevant, weil sehr sensible Daten und auch natürlich noch diese Kombi mit eben vom BVMZ von einem Bundes, ne, von einem Bundesbehörde noch zertifiziert. Das hat das Ganze eben noch mal ähm relevanter gemacht
und ähm genau, dann haben wir uns das ähm zusammen angeschaut und haben dann auch nochmal ja eigene Recherchen angestrengt ähm halt einfach uns nochmal, sage ich mal, durch die Gegend telefoniert, Sachen, Reports gelesen um einfach diesen Sachverhalt einfach nochmal so auf eine breite Basis zu heben und sozusagen ausgehend von der Sicherheitslücke nochmal ein bisschen breiter genau zu diesen Dias dann zu recherchieren und zu berichten.
Ist das? Ähm ich mache gleich mal auf jeden Fall weiter, aber besser sagen eine Gefahr, weil jetzt habt ihr gesagt, na okay, also das ist noch mal besonders, äh besonders empfindliche Daten, aber ich hab's ja am Anfang so ein bisschen diese zynische Geisteshaltung na ja gut Sicherheitslücken ähm.
Besteht da irgendwann eine Ermüdungsgefahr? Also wenn jetzt jede Woche Gesundheitsapps mit höchstpersönlichen Daten auf aufgehen würde, ist es natürlich eigentlich immer dramatisch, aber Journalismus folgt ja manchmal sozusagen auch so einer Erregungsschleife oder eben Erregungsabnahme. Meinst du es es könnte sozusagen so einen Effekt geben, wenn nur genug Leute schlechte Software bauen, berichtet irgendwann niemand mehr drüber, weil's einfach so ist.
Ich glaube schon, dass das ein bisschen so ist. Also ich erinnere mich zumindest an die Testzentren, also da äh das war ja was, wo wir am Anfang auch äh uns irgendwie wahnsinnig drüber aufgeregt haben, dass da diesen Testzentren äh Corona-Test ne, dass man da halt äh teilweise auch super einfach an diese persönlichen Daten rankam und nachdem zur Erforschung über ich weiß nicht, wie viele ihr am Ende aufgemacht, aber über sehr viele berichtet hatte.
Genau, setzte auch schon eine so eine gewisse Ermüdung ein, deswegen ist es natürlich klar, immer auch wichtig zu gucken, okay wie relevant ist diese Lücke jetzt ähm wie wichtig ist das, dass wir hier berichten und das war jetzt in dem Fall würde ich sagen schon gerade halt durch diese politische
und auch gesundheits ähm technische Kombinationen, was halt schon super relevant. Ja äh das also habe ich verstanden, aber ich meinte sagen im Sinne von wenn jetzt jede Woche so was rauskommen würde, würde die über die 40ste. Sicherheitslücke. Die dieselbe sozusagen also nur selbes Vorgehen, aber es ist halt einfach die vierzig dann sozusagen dann sinkt sozusagen auch die Chance, dass über so was berichtet wird.
Vielleicht also es kommt echt drauf an ähm halt wie was vom Umfeld, also wie relevant ist das ne und wenn's jetzt nur eine Sicherheitslücke ist, ja klar, dann wird man irgendwann sagen okay, lass uns das mal nur regional berichten oder kommen da Recht irgendwie einen Artikel online, ein kleinerer Artikel. Das kommt halt einfach total, also wir
gucken uns halt jede Lücke, die uns irgendwie zugetragen wird oder von der wir erfahren, die müssen wir uns einfach neu angucken und also ich meine, mir ist es jetzt recht wurscht. Ob jetzt Leute deinen Ermüdungseffekt haben, das ich gucke gucke ich mir jetzt nicht vorher an, bevor ich berichte, sondern ich gucke mir halt die Lücke an sich an und dann entscheide ich oder entscheide wir gemeinsam so immer so in so Redaktionskonferenzen ähm berichten wir oder nicht?
Jetzt ist es so, also zur Forschung hat äh ist euch an euch rangetreten, hat gesagt, so hier Sicherheitslücken, dann habt ihr geguckt, das ist interessant. Und dann der der Teil mit dem dem also wir haben sozusagen chrologisch falsch rumgemacht. Ähm der Teil mit dem ganzen Geldkram ist, den habt ihr dann dazu recherchiert oder der lag eh schon auf eurem Tisch oder wie ist es dann dazu gekommen? Schon so ein bisschen beides, ne, also zur Erforschung.
Hatte ja sich selber, ihr hattet ja euch ja auch schon einiges angeguckt, ne und dann äh und dann ist es so, dass eben die die Krankenkassen dazu schon recherchiert hatten
also das ist schon andere Gruppen gab, gesellschaftliche Gruppen, die auch dazu schon recherchiert haben und wir haben die im Prinzip dann alle angesprochen eben mit Expertinnen, Experten gesprochen und dann diese ganzen Sachen sage ich mal auf einen Haufen getragen, ähm um halt so ein bisschen mehr als da gibt's zwei Sicherheitslücken zu berichten.
Ähm trotzdem nochmal erstmal zu den Sicherheitslücken, weil das ist ja das, wo ich dich vorne unterbrochen hatte. Ähm jetzt ist ja die eine Sache, ne, das das kennt man ja zur Genüge irgendwie. Leute, die Ahnung von der Materie haben und sagst, Entschuldigung, da ist was kaputt. Und dann so müdes Ding. So und jetzt ist, wenn jemand kommt vom NDR oder WDR und sagt, ja entschuldigen Sie, wir haben ja mal eine Presseanfrage. Wir haben gehört, bei dem sind Dinge kaputt.
Würde man sich ja wünschen, dass spätestens dann irgendwie äh die Leute wie aufgescheucht die Hühner umherrennen und endlich was tun, aber wie ist es wirklich? Also bei uns, also da wenn wenn ich jetzt mit mit ähm mit den zu tun habe, also jetzt mit Lillet oder mit Karl, dann ist eigentlich so, dass die sich immer erst bei mir melden, äh wenn die Sicherheitslücke schon geschlossen ist, ja. Also ähm das ist ethisch auch total korrekt
und auch äh gut so, weil die wollen natürlich nicht, dass ich als erstes dann das mal ausprobiere äh aber manchmal ist natürlich für uns auch ein bisschen schade, weil wir die Sachen dann nur aufm Papier oder per anhand von zum Beispiel Screenmovies oder so was, fragen wir fragen schon auch so Screenshots und so ab weil wir es im Prinzip nochmal nachträglich rekonstruieren äh müssen und nicht selber jetzt irgendwelche ähm.
Sozusagen ausnutzen können, hat's aber auch schon gegeben. Ähm es ist aber auf jeden Fall so, dass wir bevor wir berichten. Also davon ausgehen oder ob das sicher sein müssen, dass die Sicherheitslücke geschlossen ist, weil sonst wär's halt absolut ohne ethisch zu berichten.
Gibt es nur mal in Ausnahmefällen, wenn der Hersteller sich irgendwie total taub oder tot stellt, dass Medien berichten, obwohl Lücken nicht geschlossen wurden. Also hat's auch schon gegeben in der Vergangenheit, aber wir ähm für uns ist halt das äh so Stichwort responsible this closer ne, ganz wichtig. Dazu, also Responsible ist Closer, um das sozusagen äh einzuordnen, aber auch abzukürzen, ist eine Vorgehensweise, wie man Sicherheitslücken
an die Öffentlichkeit, aber auch an den Hersteller bringt. Das ist ein eigenes Thema. Da gibt's ein Chaosrado zu und ein Video. Verlinken wir auch sozusagen in den Shownotes. Ähm Aber wie wie war's denn jetzt hier? Also äh wenn wenn. Wahrscheinlich auf die Hersteller auch nochmal Stellungnahme, was was sagt denn ihr dazu? Es ist kann man dann so eine Art Schuldbewusstsein oder ist es einfach so ja nein das äh da ist nichts Schlimmes passiert und die Lieben
Gehen Sie weiter, gehen Sie weiter. Ja, also klar, die sind natürlich überhaupt nicht erfreut. Ähm das das ist niemand, äh weil die hoffen natürlich, dass Zerforschung denen eine Sicherheitslücke meldet und dann alles im stillen Schweigen äh sich eine dicke Decke darüber legt und sie ist eben reparieren können, niemand informieren, alles ist gut, äh das hoffen natürlich die meisten Hersteller und sind dann natürlich
besonders erfreut, wenn dann der NDR oder NDR WDR nochmal eine Mail schreiben. So, wir haben das und das erfahren und dann ist es in der Regel so, wir formulieren also einen Fragenkatalog mit ähm Fragen und bitten die darum dann zu einem bestimmten Zeitpunkt meistens kriegen die eine ordentliche Frist von von drei, 4 Tagen, ähm dass wir dann um Antwort und das jetzt in dem Fall ähm ich denke die waren waren da schon einfach auch so erlernt
dadurch, dass ihm ja ähm Zerforschung diesen Prozess ja auch schon mit denen gemacht hat, dass die uns ziemlich ausführliche Stellungnahmen geschickt haben und einer Die Hersteller hat dann mit uns A Hintergrundgespräch geführt, also lange telefoniert und der hat uns dann auch nochmal an Video on tape, also. Interview on tape, also tatsächlich auch noch ein Videointerview gegeben, das war den ähm ja, das war denen halt schon ein Anliegen da, weil am Ende ist es ja so ähm die.
Die wollen natürlich äh Leute mit ihren Apps irgendwie also was heißt sie wollen, aber die die Idee ist ja, mit den Apps Leuten zu helfen und nicht Leuten zu schaden und deswegen ist die natürlich so eine Sicherheitslücke total unangenehm.
Ähm aber ja, so die Kommunikation darüber oder eben dann so Presseberichterstattung ist natürlich ihnen auch nicht recht. Äh ich fand äh ganz witzig kann man vielleicht hier am Rande erzählen, wenn man da also unsere Fragen äh schön aufgeschrieben Dann kam als Antwort von einem App-Hersteller ja also ähm sie hätten Lillet ja auch dafür bezahlt. Also für die ähm Sicherheitsstücke, für diese auch entlohnt und wir hatten so also wir haben ja auch mit
äh Littlet und mit Zerforschung und machen da so längere Recherchegespräche auch dazu, hatten wir auch nochmal gefragt. Ja, habt ihr irgendwie Geld bekommen und so, ne, ne und dann auf einmal der Hersteller, ja wir haben sie ja auch entlohnt äh dafür und wir erstmal so hä. Na ja, könnt ihr jetzt mal erzählen, was dann raus kam am Ende. Genau, also ich war dann so, oh mein Gott, haben wir irgendwie Gelder als Erforschung überwiesen bekommen oder so und äh war sofort super alarmiert, weil der äh.
Ja schon jeden Tag auf unsere Konten so, deswegen das hätte schon sein können und dann schauen wir uns so nach und dann war bei der Forschung irgendwie kein Geld da äh und also es passiert, dass Hersteller uns mal Geld überweisen. Wir fordern die nie dazu auf natürlich, sondern das machen Hersteller dann einfach, weil sie irgendwie sagen, denken, unsere Arbeit ist vielleicht wichtig
ähm und dann kann man uns Geld spenden, aber das erwarten wir auf keinen Fall von den Unternehmen, sondern freuen uns eigentlich eher, wenn die uns kein Geld geben und dafür wir äh andere Sponsorinnen haben, denen das unsere Arbeit wichtig ist. Ähm und ich habe ja für meine.
Andere aktivistische Arbeit noch einen Patreon-Account, also so ein ja so ein Angebot, wo Leute online äh monatlich irgendwie so fünf Euro geben oder so und damit unterstützen die halt einfach so Projekte, die ich so im Bereich Verwaltungsdigitalisierung zum Beispiel mache und da habe ich irgendwie.
Knapp 300 Menschen, die mir jeden Monat so ein paar Euro geben und das läppert sich schon zusammen und das ist super super cool und äh ich sehe da aber natürlich nicht, wer mir irgendwie Geld gibt und ähm ich also ich kann das nachschauen, aber ich schaue da halt nicht nach, weil es ist halt mir nicht so wichtig und ich finde es irgendwie cool, dass man Leute das machen so, aber ich möchte ja nicht, dass mich das irgendwie beeinflusst so.
Und dann habe ich tatsächlich in dem Fall mal nachgeschaut bei Patreon und dann habe ich gesehen Das äh ja der Geschäftsführer von dem einen Unternehmen hm angefangen hat mir 25 Euro im Monat äh auf Patreon zu bezahlen und das waren dann zu dem Zeitpunkt insgesamt 75 Euro.
Und ähm ja wir haben dann ziemlich gelacht als äh uns erklärt wurde, dass wir uns ja entlohnen wollte, weil die man muss man muss vielleicht bisschen in Kontext setzen, damit die anderen auch möglicherweise mitlachen können. Es gibt ja sozusagen in der Security-Branche
dieses Konzept von Backbauen dies, also dass man sagt, wenn er eine Sicherheitslücke findet, dann zahlen wir euch auch Geld. Sagt doch mal, ähm weil ich jetzt davon ausgehe, könnte ich den Bereich aus die Art und Weise von App verbunden mit der Art und Weise von Sicherheitslücke, verbunden mit dem möglichen politischen Fallout, den man es haben konnte, ist in welchen Größenordnung würden sich denn Backboarden dies in so einem Bereich normalerweise abspielen? Kann man das sagen?
Also bei Backbounties weiß ich's nicht so ganz genau. Also ich glaube, das wäre schon häufig eher so mindestens eine Größenordnung mehr. Grade bei so sehr, sehr schwierigen Sicherheitslücken ist man Größenordnung und Nullen? Genau, also das ist dann glaube ich das also ich weiß es auch nicht so genau. Ich bin nicht so backbar und hier erfahren wir das meistens über andere Wege, weil wir auch schlechte Erfahrungen gemacht haben mit so Backbar und die Programmen.
Wo dann Hersteller uns so ein also es war halt so ja wenn du an den Backbounty-Programm teilnimmst, dann unterliegst du automatisch einer Verschwiegenheitserklärung gegenüber uns. Okay. Und darfst nichts veröffentlichen, solange wir dir nicht das okay geben Das heißt dann bei dem Hersteller, dass wir äh den Namen nicht nennen dürfen, was Ganze ein bisschen absurd macht. Aber es gibt halt auch äh.
Den Beruf des Pentesters, der Pentesterin, also halt Leute, die noch viel krasseren Stuff als wir machen, beruflich machen und die Unternehmen dann halt buchen können, damit halt mal jemand auf. Auf ihre Software draufschaut und dort die Sicherheitslücken findet und ich glaube, das ist also das kostet dann auch mindestens 10.000 Euro häufig. Wollte gerade sagen, wie viele Minuten arbeitet so jemand für 5undsiebzig Euro? Keine.
Okay. Wenn man überlegt, äh ja, wie viele Stunden in der Regel bei uns schon reingeflossen sind, äh bis so ein Report überhaupt verschickt wird, äh weil ich meine, bei uns ist das ja so, ja, jemand findet diese Sicherheitslücke im äh bei der Forschung.
Und dann schreiben wir die gemeinsam auf und dann lesen da noch mal mehrere Menschen drüber und dann checken wir das alles noch drei, vier mal gegen. Also wir reden da ja wahrscheinlich von 40, 50 Stunden selbst für eine relativ einfache Lücke, die in Zeit da reinfließt bis wir überhaupt unseren Report rausschicken. Also zumindest, wenn man die zusammenrechnet von den mehreren Menschen, die daran arbeiten. Also es ist so die Dimension, die wir da, glaube ich, regelmäßig irgendwie erreichen äh.
Plus die Zeit, die wir halt einfach auch nichts finden. Also deswegen äh. Das ist schon ein ziemlicher Aufwand, den wir so machen und äh wir fühlen uns dann halt schon so ein bisschen verarscht, wenn jemand sagt, ja, aber wir haben die doch irgendwie entlohnt und dann sehen wir so, ja, okay Ja, ich fand's
also ich fand's nicht ganz transparent ne, geschrieben, weil weil unter Entlohnung irgendwie fünfundsiebzig Euro aufm Patreon-Account ähm lieber transparent halt schreiben. Ja. Ja, ich bin Fan geworden und habe gespendet. Ähm das das war ich fand das jetzt ein bisschen bemerkenswert an dieser sagen wir mal an dieser Antwort oder an der Stellungnahme, sonst waren aber die Hersteller schon so, dass sie eben geschrieben haben, ja wir haben das halt
wir haben das schnell gelöst, wir haben schnell in den Griff gekriegt, aber ich würde sagen auch sehr typisch, ich sage mal PR-Strategie, ähm also rede nicht über das Problem im Sinne von welche Daten sind abgeflossen,
Na ja, wer hat es schnell gelöst? Äh so und äh und so kann man sich dann so eine Antwort auch vorstellen. Ich habe dann wie gesagt noch ein längeres ähm Interview auch geführt und klar, wie die sich natürlich auch rechtfertigen und da kommen wir vielleicht noch einmal kurz zurück auf dieses Thema ähm Preise und Geld ist natürlich, dass die sagen, okay wir müssen halt.
Diese diese Studien durchführen. Ähm wir wir haben halt da was, was die was diesen Teil angeht, hohe Entwicklungskosten und ich glaube, damit meinen die nicht dieses Programmieren der App, sondern tatsächlich halt
äh um um halt für diese Zertifizierung zugelassen werden und wir forschen ja noch weiter. Also wir entwickeln die App ja weiter und dieses Entwickeln, das kostet ja Geld und deswegen ist es gerechtfertigt oder jetzt bei dieser ähm App war's so, die haben ungefähr ähm drei, also haben sie uns gesagt, die hätten dreihundert zahlende.
Innen im Moment ähm so so haben eher gesagt, im Moment machen wir mit der App noch gar keinen ähm Gewinn äh keinen, weil weil eigentlich haben wir noch gar nicht so viele Leute, die die auch vom Arzt bekommen. Ich wollte es nur hier auch zu transparent transparent einmal sagen, um halt auch so die Stimme oder die Stellungnahme der Anbieter. Wiederzugeben.
Wobei das, also da muss ich noch einmal hinterher ähm auch natürlich etwas schöngeredet ist, weil ja es stimmt, es sind 300 Kundinnen die das als haben aber die App existiert halt weiter und ist auch in oder existierte vorher schon und hat halt auch andere Betätigungsfelder, also der Hersteller vertreibt auch irgendwie eine App für medizinische Zulassungsstudien irgendwie. Wahrscheinlich der gleiche Datensatz war eben, auf den wir Zugriff hatten
Das waren dann deutlich mehr als dreihundert. Das waren dann auch, glaube ich, wieder so einige tausende bis wenige zehntausend. Ja. Ja, ich glaube fünf- zwölftausend waren's glaube ich, ne oder? Ja. Das war so die Dimension auf jeden Fall, ja.
Ich habe ich habe noch eine Detailfrage. Ähm an dieser Forschung und zwar weil jetzt, ne, weil ihr den Unterschied gemacht habt, wir machen die Sicherheitslücke zu Und äh weil das gesagt hat und dann gehen wir erst äh zu dem Journalistinnen, warum also und die Frage ist auch nicht, bin ja auch sozusagen Journalist in einem anderen Leben und dann ist natürlich sozusagen also technisch gesehen ist es so, ihr kommt an und sagt was? Und dann muss man euch das glauben.
Ähm so warum macht ihr's nicht so eine Neugierfrage, kein aber warum macht ihr's nicht so? Im Sinne von ähm wenn ihr die äh Sicherheitslücke nicht hergeben wollt, dass ihr sagt, hier könnt vorbeikommen und wir zeigen euch das mal.
Das ähm machen wir auch manchmal. Das hängt immer so also das hängt einfach an ganz vielen Faktoren, wie wir das machen. Natürlich einerseits ähm wie gut wir die Leute, mit denen wir zusammenarbeiten, auch kennen, also bei Svea ist das jetzt nicht so ein Problem, ähm aber auch ähm. Wie es bei uns einfach zeitlich ist, also wir machen das ja alles irgendwie im Ehrenamt und da ist manchmal auch halt nur Zeit für ein paar Screenshots machen als Beweise und dann schnell den Report schreiben und ähm.
Auch einfach, ob wir zu dem Zeitpunkt, wo wir's finden, schon wissen, ob oder mit wem wir darüber berichten werden später. Also das hängt dann einfach an so Sachen. Das ist dann eher so, ihr macht sowieso immer irgendwie Screenshots und oder Videos zur Dokumentation und wenn sich dann was draus ergibt, dann ist das das Material, was hier weitergeht. Genau, ja. Noch nicht mal so, sondern was wir einsehen können, ne?
Also das ist schon also ihr seid da ja schon ziemlich ja grade jetzt in dem Fall ähm war's auch so äh kann man sich nicht so vorstellen, dass ich dann da irgendwelche Datensätze geschickt bekomme oder so. Null Komma null ne, sondern ähm die hier war's jetzt so das ist auch in Ordnung, das reicht auch für so eine Berichterstattung, dass ich im Prinzip sehe, welche Art der Daten betroffen sind, also Beispiel Medikamententagebuch, da konnte ich dann sehen
ein äh Patientin hat um acht Uhr zwei die erste Tablette genommen, um acht Uhr fünf die erste Tablette genommen, hatte dann abends keine Nebenwirkungen und hat mit dem Smiley, mir geht's gut angeklickt, ne? So was bekomme ich dann auch zu sehen, aber ich kriege halt nicht den Namen und die E-Mail-Adresse. Ich ich finde ähm dass das. Ganze sozusagen so eine interessante gesellschaftliche Mieterebene hat weil das so ein bisschen also ihr macht das als ehrenamtliche Arbeit.
Und dann ist es aber eigentlich sozusagen, wenn man wenn man einen Effekt haben will, ne, gesellschaftliches Suchen, das habt ihr ja so genauso gesagt. Dann muss man eben zu den Medien gehen und das finde ich total. Also interessant Slash schlimm, weil eben die also man würde ja denken als Sicherheitsforscher. Macht man Sicherheitsforschung und wenn die Ergebnisse relevant genug sind, dann kommen Sie auch an die Öffentlichkeit. Aber nein, im Prinzip.
Ist es ja schon sozusagen damit auch Teil der Aufgabe äh irgendwie zu finden, äh ist das eine Geschichte, eine Story sozusagen da da rauszudrehen und also nicht zu drehen im Sinne von, dass man das journalistische Zeugnis aufschreibt, aber überhaupt diese Arbeit noch mal zu haben. Und darum gibt's ja auch irgendwie, ne, gab's eine Diskussion, wie war denn das? Es gab eine Sicherheitslücke, die hieß Hartblee, kann das sein?
Und da wurde dann darüber diskutiert, ne, also wie's wie wie wir als Gesellschaft so weit gekommen sind, dass wir Sicherheitslücken nur noch beachten, wenn sie auch eine geile Story im Hintergrund haben. Macht euch das macht euch das Sorgen, also auch im Hinblick von sozusagen für jede Sicherheitslücke, die auch eine geile Story hat, gibt es zehn, 40, hunderttausend, die das eben nicht haben und dann deswegen auch. Untergehen?
Also ähm ich meine ganz so kritisch sehe ich das nicht. Also ich glaube, wir würden auch, wenn wir einfach nur einen Blogpost schreiben, damit Leute erreichen so. Also Ähm ich glaube, man braucht nicht zwangsläufig immer diese gute Post schreiben. Genau, also ich meine, wir müssen natürlich irgendwie darüber kommunizieren. Ich meine, das sehen wir halt auch als Teil unseres.
In einer gewissen Form als zivilgesellschaftliches Sicherheitsforschen Äh so funktioniert leider heute unser System, das nämlich, wenn wir was machen, das erstmal nicht öffentlich ist und ich meine, das ist eigentlich auch ganz gut so, weil die Lücke natürlich Als Allerwichtigste ist, dass sie immer geschlossen wird. Ähm und so lange können wir nicht öffentlich drüber reden.
Und ich meine, dann muss das irgendwie öffentlich werden. Und ähm wir haben natürlich als Erforschung da tatsächlich auch als eins unserer Kernziele dann immer ja diese gesellschaftliche Debatte zu bekommen und die bekommt man gut in der Zusammenarbeit mit Medien, weil man da die Story deutlich besser erzählen kann, als wenn äh ja wir das nur selbst machen.
Ich glaube nichtsdestotrotz könnten wir auch einfach unsere Reports veröffentlichen und hätten damit auch eine mediale Reichweite. Ich glaube, die wäre nicht immer ganz so groß. Ich glaube äh das würden nicht ganz so viele Menschen mitbekommen weil uns halt irgendwie dieser Verbraucherschutz in einer gewissen Form so unglaublich wichtig ist und wir das eigentlich der Grund ist, warum wir all diese Arbeit takten
vertagt Monat für Monat machen, äh der also eben genau das für Verbraucherinnen schützen können. Äh deswegen ist es uns so wichtig, dass wir auch immer mit tollen Medienpartnern zusammenarbeiten und das veröffentlichen und schauen, dass das möglichst viele Menschen erreicht. Ähm. Aber ich glaube, wir würden auch Leute erreichen, aber vielleicht nicht ganz so viele, wenn wir einfach nur unsere Reports veröffentlichen. Und die die Rolle der Medien ist ja in diesem
in so einer Sache nicht nur quasi unser großes Sprachrohr zu sein, also das ist ein Teil davon, aber hat das vorhin schon umrissen, da ist natürlich dann auch viel mehr Expertise und auch Recherchekapazität drin. Also wir können uns irgendwie
Die Sicherheitslücken genauer anschauen, wir können überlegen, warum ist das so. Wir können uns die öffentlichen Informationen dazu zusammensuchen, aber wir haben weder das Netzwerk, noch die Erfahrung, noch die Möglichkeiten, die halt ein gut ausgestattetes Medium ähm hat und die es einfach da auch auf so ein Thema setzen kann und eben auch genauer hinschauen kann, als wir das jetzt können. Ich muss sagen, mein kleines Herz lacht ein bisschen. Ich bin ja alt genug.
Um sagen miterlebt zu haben, dass die Medien in Anführungszeichen immer sozusagen so belächelt wurden im Sinne von, die wissen einfach nicht, was das mit dem Internet ist und glauben, das geht weg ähm und wie sich das gewandelt hat, finde ich eigentlich auch ganz schön. Ähm so zum Abschluss. Was lernen wir daraus? Was was muss in Zukunft anders werden? Ähm wie wie soll's gehen? Da gibt's, glaube ich, so ein paar Säulen, die man Fragen hat. Das eine ist sozusagen ähm vielleicht noch mal
Wir haben schon so konkret drüber gesprochen, aber globaler gefragt. Jetzt ist es ja so, ne? Also Sicherheitslücken, die so einfach sind. Sind natürlich sozusagen die die dürften eigentlich nicht passieren. Aber andererseits, es gibt keine sicheren technischen Systeme. Das heißt, es kann immer mal wieder passieren, dass irgendwas schief geht.
Gibt es dafür in eurer Wahrnehmung sozusagen hat gibt's schon eine Kultur, also dass das dass das sozusagen mitgedacht wird. Wie wie geht man vor? Wo meldet man das hin? Wie reagieren die Hersteller oder muss man da immer noch Hausaufgaben machen? Ich glaube, da ist ein da ist an vielen Stellen noch Sachen, die man ändern kann und die man verbessern muss. Also es gibt.
Es gibt irgendwie jetzt aus vielen Jahren Erfahrung irgendwie ein gewisses Set an Regeln wie Sicherheitsforschende, so was melden, wie sie mit so was umgehen. Da würden wir uns natürlich wünschen, dass die Hersteller da auch mehr Möglichkeiten geben. Also es gibt irgendwie Standards wie Security Teaks die die halt ähm offene Möglichkeiten geben, damit, wenn so was gefunden wird, die Sicherheitsforschung direkt wissen, an wen sie sich
wenden müssen. Ähm zum anderen braucht es aber halt auch immer dieses Mindset, was wir viel zu selten sehen. Fehler können passieren. Es gibt kein hundertprozentiges 00prozent sicheres System. Ähm Deshalb treffen wir gleich Vorkehrungen, damit wenn es schief geht, eben doch nichts schief geht, also dass wenn so eine Sicherheitslücke gefunden wird.
Wie du gerade schon sagtest, so was, was wir gefunden haben, sollte gar nicht passieren. Sowas ganz triviales, aber wenn vielleicht was komplexeres gefunden würde, dann haben wir noch mal eine Sicherheitsebene drunter, dann speichern wir eben gar keine Daten erst, weil Daten, die niemand hat jetzt auch nicht wegkommen oder dann verschlüsseln wir alles so, dass es die Patientin sieht und die Ärztin, aber wir als äh Hersteller jetzt zum Beispiel
überhaupt keine Ahnung haben, was da in diesen Daten jetzt drinne steht und dann kann auch, wenn jetzt ähm. Kriminelle zum Beispiel in diese Systeme eindringen würden, dann würden die halt vorfinden, okay hier ist ein Haufen Datenmüll. Machen und so was immer mitzudenken, das sehen wir noch nicht oft genug. Mhm. Und was würdet ihr euch sozusagen von den Großfaktoren, Gesetzgeber, Krankenkasse, Ärzte vielleicht erwarten in dem Bereich?
Also ich meine, von den Gesetzgebern würden wir auf jeden Fall irgendwie erwarten, dass diese Security bei dieser eins Security bei Default äh tatsächlich durchgesetzt und nicht nur in Regelungen geschrieben wird. Äh also ich meine gehört haben die Regelungen werden ab 2023 ein bisschen schärfer und aus der DSGVO könnte man auch schon einiges rausholen. Das scheitert dann häufig in der exekutiven, also in der Verwaltung und in der Vollstreckung der äh also.
Der Problemfälle am Ende des Tages. Wir würden uns natürlich eine Produkthaftung wünschen, also dass ein Hersteller auch äh tatsächlich Ärger bekommt, äh wenn was passiert und der dann dafür haftet, wenn so Daten mal wegkommen. Das haben wir auch noch nicht ausreichend. Und natürlich haben wir auch noch 'ne gewissen gewisses Regulierungsproblem also endet dass es heute nicht standardmäßig immer vorgeschrieben ist
eine Ende zu Ende Verschlüsselung, wie wir sie bei WhatsApp und Signal standardmäßig haben für eine Arztkommunikation. Das ist die einfach geben muss äh und dass unsere Familienchats besser geschützt sind als irgendwie die Kommunikation zwischen Ärztinnen und Patienten. Das geht natürlich auch nicht. Ähm aber das ist eigentlich äh
gar nicht so der richtig große Part, sondern eine richtig große Part ist, dass wir eigentlich endlich mal so eine Vollstreckung der bestehenden Regeln und der Ausnutzung der Spielräume, die die DSGVO bei der Vollstreckung auch bietet, äh brauchen. Also das also ja die Datenschutzbehörden und auch die BFA und so, die müssten halt eigentlich mal tatsächlich was machen.
Und natürlich haben wir jetzt das Problem mit den Apps, die schon auf dem Markt sind und die nicht entsprechend geprüft wurden und die nicht entsprechend sicher sind, äh daher würden wir erwarten, dass eigentlich dieses Fasttrack Programm erstmal gestoppt wird, man erstmal all die Apps mit Fasttrack gerade aufm Markt sind, vom Markt nimmt alle nochmal zertifiziert prüft, sind die wirklich sicher, funktionieren die ordentlich, ähm wirken die vielleicht auch und dann die wieder.
Auf Patienten loslässt in gewissermaßen. Ich finde irgendwie unsere Familienchats sind besser geschützt als unsere persönlichen ärztlichen Daten, eine sehr schöne Social Media Kacheltext. Ähm Svea, hast du sozusagen in dem Bereich Forderungen, Wünsche an die Zukunft, auch noch was?
Also ich glaube, dieses Thema, was Littlet eben angesprochen hat, ähm ja ich sage immer, wir haben ein Vollzugsdefizit. Das gibt es ja auch in anderen Bereichen. Das würde ich total wichtig, also nicht unbedingt, dass man immer neue Regeln schafft, sondern dass man halt die Regeln, die bestehen, dass die halt konkret umgesetzt und angewendet werden und halt zum Beispiel auch so was wie genau diese Informationspflichten, ne, also dass die App
Anbieter, die App Hersteller dann eben auch ihre Kundinnen und Kunden oder Patienten, Patienten in dem Fall jetzt halt auch informieren, ey da gab's so Sicherheitslücke, da wollte ich auch ganz kurz sagen, bei dem einen, bei der einen App. Der sagte uns, Sie hätten das dann, ich glaube, so nachdem klar war, dass wir jetzt auch berichten, hätten Sie wohl auch die Patientinnen und Patienten informiert, ähm hieß es zumindest äh von der Seite. Also ich glaube, das. Das finde ich ist.
Ist der Hauptpunkt ähm das andere, wo ich denke, ähm da ist gibt's auch sicherlich noch noch Recherchebedarf ist so dieses ganze äh Thema Transparenz, ne und so Stichwort Preisgestaltung auch, ne, also kann das wirklich sein, dass App Anbieter jetzt wie in diesem Fall, in diesem ersten Jahr
ähm wirklich jeden Preis quasi nennen können äh ihn irgendwie in Sinn kommt. Das kann eigentlich nicht sein und das muss in eine bessere ja einen besseren Kontrollmechanismus geben und es muss mehr Transparenzpflichten geben, damit eben klar ist warum soll diese App jetzt so viel kosten? Ähm oder eben Kontrollmechanismus über die Krankenkassen.
Dass wir halt da nicht in solche utopischen Summen reinkommen, wo was ja eigentlich wiederum dem ganzen Prinzip entgegenwirkt, nämlich dass es nämlich viel verschrieben werden kann und möglichst viele Leute eine App gegen Rückenschmerzen auch benutzen können. Dann äh letzte letzte Frage auch nicht alle Abschlussrunde. Ich hätte von jedem einzelnen gerne eine Antwort, also jetzt nicht nur per Institution.
Und zwar ob er der grundlegenden Idee dieser digitalen Gesundheitsapp, ob er sagt, das ist schon was Gutes, da kann auch was Gutes draus werden oder eher so hm. Das äh also lieber nicht oder zumindest sozusagen so weit vermeiden, wie es geht. Wie wie seht ihr das? Ist das ist das, was also wirklich nicht jetzt irgendwie heute und morgen, sondern in die Zukunftsgerichte ist das ist das was, was ihr vielleicht wo ihr oder wo ihr dran glauben könnt, dass daraus mal
was Gutes erwächst. Na ja, es ähm heißt ja irgendwie in der Hecke in einen Ethik immer Computer können dein Leben zum besseren verändern und ich glaube, das können Sie und solche Apps können das, eben die Rückenschmerzen, App, die einem die richtigen Übungen zeigt und einen dran erinnert oder so, das kann das kann viel bewirken, aber halt. Nicht, wenn man's so macht, wie man's jetzt macht, nämlich mit mangelnder Kontrolle, sodass das ganze Vertrauen daran verloren geht.
Deswegen in der aktuellen Form nicht, in der Zukunft hoffentlich schon. Okay. Lillit? Genau, also ich meine, heute kann ich digitale Gesundheit selbst auch niemandem empfehlen. Ähm erstmal davon, wie sie heute alle funktionieren und wie schlecht sie leider reguliert sind. Äh grundsätzlich finde ich.
Apps, damit es Menschen besser geht eine total coole Sache erstmal. Ähm Und ich glaube, dass es da insbesondere irgendwie krasse Chancen gibt, wenn man irgendwie diese Apps tatsächlich auch mit Arztbehandlungen zusammenbringt, also genau das, was heute nicht machen oder was bei Diggas nicht vorgesehen ist, nämlich dass äh so eine Therapie mit einer App
äh koordiniert wird und man dann teilweise Hilfe von seiner Ärztin bekommt und teilweise Hilfe durch die App bekommt. Das würde ich mir wünschen, dass das irgendwie besser reguliert wird und dass da mehr möglich ist und äh ja grundsätzlich die Idee davon, dass Technologie uns helfen kann, gesund zu sein finde ich großartig, ähm genau, brauchen halt ordentliche Qualitätskontrollen und so und dann könnte das auch was werden.
Und schwer? Ich denke, das ist auch ganz unvermeidbar, also sozusagen die Augen zuzumachen und zu sagen, nee, äh das alles betrifft mich, schmeiß mein Handy ausm Fenster oder ähm ich ich das ist einfach das funktioniert so nicht, ne? Sondern ich denke immer ähm die die die Technologie entwickelt sich
und ob wir das gut finden oder nicht gut finden, die wird sich einfach weiterentwickeln. Im Zweifel fährt sie halt über uns drüber und das Einzige, was wir machen kann, ist halt Technologie, Prozesse und Technologie gestalten und das ist halt bei den so, wie es im Moment ist, einfach nicht gut. Und daran können wir arbeiten und und dann können wir's auch äh empfehlen und benutzen.
Na gut, dann wollen wir mal schauen, was die Zukunft so bringt. Für mich ist auf jeden Fall ein weiteres Thema, wo ich so denke, im Prinzip halte ich das für eine total gute Idee, aber oh mein Gott, der derzeitige Zustand, das ist nicht schön. Na ja, vielen Dank
heute hier wart und äh so geduldig Rede und Antwort gestanden habt. Das war sehr aufschlussreich. Danke dafür und ihr liebe Hörerinnen, vielen Dank fürs Zuhören. Lasst uns wissen, wie euch's gefallen hat und mir bleibt heute nur noch eine Sache zu sagen. Lasst euch nicht überwachen und verschlüsselt immer schön eure Backups. Tschüss. Music.