Ja, hallo und herzlich willkommen zur 193. Ausgabe des E-Government-Podcasts. Jahr 193. Die 200 rückt näher, also nicht mehr lange im Oktober ist die 200. Sendung. Ich freue mich schon tierisch und ich habe später dazu noch ein paar News. Aber ich mache heute die Monatsschau nicht alleine, so wie im letzten Monat, sondern ich habe mir tatkräftige Unterstützung geholt. Und ich fange jetzt mal ganz oben im Norden an. Oliver Vogt, Olli, schön, dass du mal wieder dabei bist.
Hallo, moin moin.
Dann gehen wir mal in die Mitte von Deutschland, in das Herz. Malte Schmidt-Tüchse, hallo Malte.
Hallo Thorsten.
Und ganz unten im Süden sitzt der Markus Feilner. Hallo Markus, ich grüße dich.
Hallo aus Regensburg.
Genau, jetzt haben wir alles. Wir haben wirklich eine schöne Nord-Süd-Achse und die Hauptstadt ist natürlich auch dabei. Und wir fangen direkt an mit unserer News-Rückschau. Und Malte, du beginnst mit einem kleinen Schmunzler.
Genau, danke Thorsten. Also diese Meldung kommt aus Hawaii und dort hat sich jemand selbst für tot erklärt. Der hat das Sterberegister dort manipuliert, hat einen Todesfall für sich angelegt, hat eine Sterbeurkunde ausgefüllt und hat dann die digitale Unterschrift eines Arztes verwendet. Solche digitalen Unterschriften gibt es auch in Deutschland für die Heilberufe. Das ist ein Teil von unserer Digitalisierung des Gesundheitswesens.
Und das hat er gemacht, um nicht für sein Kind zahlen zu müssen. Also diese Unterhaltszahlung. Und dieses Sterberegister, das wird synchronisiert mit anderen Registern. Und deswegen ist er da rausgeflogen. Er ist allerdings erwischt worden und muss jetzt für mehrere Jahre in Haft.
Naja, der Kraus Computer Club hat ja so einen Heilberufeausweis auch schon mal gehackt. Also sich angeeignet und hat gezeigt, dass das System, das Verifizierungssystem nicht in Ordnung ist. Aber du bist ja heute KI-Malte und hast noch was mitgebracht.
Genau, dankeschön. Und zwar gab es ein Treffen des Wirtschaftsbeirates des Salzlandkreises vor zwei Wochen und da ist der Microsoft-KI-Experte Thomas Langkabel dazugekommen, um mit denen zu sprechen und hat eben festgestellt, dass überall dort, wo Informationen interpretiert werden, künstliche Intelligenz super helfen kann. Zitat, die öffentliche Verwaltung, anders als viele andere Industrien, arbeitet ja hauptsächlich mit Informationen. Und allerdings sieht der Thomas
Langkabel da auch noch einige Herausforderungen. Zitiere mal wörtlich. Wir haben in den vergangenen Jahren immer die deutsche Verwaltung darauf trainiert, auf das Thema Datensparsamkeit zu setzen und auch das Thema Zweckbindung von Daten zu verfolgen. Wörtliches Zitat Ende. Da müsse man fundamental herangehen. Wörtliches Zitat Anfang. Das gilt für personenbezogene Daten sicherlich deutlich anders, aber da sind wir auch in der Vergangenheit über das Ziel hinausgeschossen.
Ja, also die KI basiert eben auf Daten, also diese LLMs muss ich ja trainieren. Und wenn ich allerdings datensparsam bin, dann generiere ich anscheinend nicht genug Daten für so eine KI. Und da soll rangegangen werden, dass da ein bisschen mehr Daten für das Training von den KIs zustande kommt. Der Salzlandkreis prüft den Einsatz von KI. Bis das allerdings in den Ämtern ankommt und sie bei der Abt unterstützt, wird es noch ein wenig dauern.
Und wir werden uns sicherlich noch über das Thema Datenschutz dann unterhalten müssen.
Ja, fähig Aussage. Macht mal keinen Datenschutz, wir können unsere KIs nicht trainieren.
Naja, man darf ja nicht das Schlimmste annehmen, warum sie zu dieser Aussage kommen. Da kommen wir später vielleicht auch noch ein bisschen dazu.
Und dann noch ein Anwendungsfall eines Krankenhauses aus dem Universitätsklinikum Hamburg-Eppendorf-UKE hat eine KI-Anwendung namens Argo trainiert und möchte sie jetzt einsetzen oder setzt sie jetzt ein bei der Erstellung des Arztbriefes und dort wird eben dein LLM verwendet, um dann einfache Arztbriefe zu machen.
Das ist allerdings, wenn ich im Gesundheitswesen über Digitalisierung spreche, fast eher ein Rückschritt, denn eigentlich wollen wir dort maschinenlesbare, standardisierte Daten haben und keinen Arztbrief, der ein Text ist, sondern da hätte ich gerne eigentlich die Werte und die Ergebnisse und auch die Diagnosen in einer standardisierten Form, in einem modernen Standard, wie zum Beispiel der FHIR-Standard.
Zu guter Letzt heißt es nach einer Studie von Gartner, die prognostizieren, dass mindestens 30 Prozent der Projekte mit generativer KI in Unternehmen bis Ende 2025 eingestellt werden. Gründe nennen die Analysten, als Gründe nennen die Analysten schlechte Datenqualität. Unzureichende Risikokontrollen und ausufernde Kosten und was ich denke, was auch ganz wichtig ist, unklarer Geschäftswert.
Also der allseits bekannte Return on Investment, also ROI, dass ich für meine Investitionen was rausbekomme, scheint ein wenig unklar zu sein bei diesen generativen KIs.
Ja, da sind wir ja wirklich bei dem Thema Peak-KI angekommen, oder?
Ja, dann übernimm mal, Markus.
Ja, die Frage, was denn da noch kommen kann und ob sich diese Versprechungen so bewahrheiten, beschäftigt derzeit sehr, sehr viele, von der Wissenschaft bis zu Wirtschaftsberatern und großen Unternehmen. Und jetzt war auch gerade auf Heise der Bericht von einer Studie eines Forschungsteams der Technischen Universität Darmstadt, die zu dem Schluss kommen, dass viele Hoffnungen halt einfach sich nicht bewahrheiten werden.
Also da haben ganz viele Entwickler und Spezialisten gehofft, dass die Sprachmodelle quasi durch Emergenzfähigkeiten erlernen im Zuge der zunehmenden Komplexität, die über ihr Trainingspensum hinausgehen. Aber das bewährt sich halt nicht. Das ist ein Trugschluss. Das konnten die in der Studie ziemlich gut nachweisen. Es ist vor kurzem eben auf Heise ein schöner Artikel dazu entschieden, der zu dem Schluss kommt, also vom menschlichen Denken sind die noch weit entfernt.
Ich nenne das immer, also die LLMs sind für mich ja nur ein Teil von KI und für mich sind sie im Prinzip so mathematische Astrologie, statistische Astrologie, technische IT-Astrologie, wie auch immer man es nennen mag. Zu dem Schluss kam ja auch vor ein paar Wochen, Monaten eigentlich schon eine mittlerweile viel zitierte Studie, die äußerst lesenswert ist. Das sind 30 Seiten von Goldman Sachs. Und wenn Goldman Sachs sagt, das rentiert sich nicht, dann hören viele Leute zu.
Die haben nämlich Ende Mai schon publiziert, dass die über eine Trillion Dollar, also amerikanische Trillion, also in Europa eine Billion Dollar, die da investiert wurde. Sich nicht wieder rausholen lässt durch Produkte. Also da wird es kein ROI geben, so deutlich haben die das halt gesagt. Und sie sind also übermäßig skeptisch, sie sehen keine Produkte, sie sehen keinen fundamentalen Wert in den Investitionen und wenn das Goldman Sachs sagt, ist das halt schon jemand.
Also man befindet sich immer noch in der Phase der Hacken und Schaufeln, also wie beim Goldrush, aber man käme nicht weiter. Also es gibt keine Killer-Application. Sie sagen also wortwörtlich, even if AIs Killer-Application has yet to emerge, also die muss noch kommen und sie glauben nicht daran. Und wenn Goldman Sachs bei so einer Summe nicht daran glaubt, ist das schon eine harte Ansage. Und das liegt an verschiedenen Faktoren.
Also ich werde mal ein paar Begriffe in den Raum werfen, die in letzter Zeit durch die Medien gegangen sind und die ich toll finde, wenn man sie einliest. Dazu lernt man sehr viel. Zum einen, das, was wir gerade erleben, habe ich gerade schon angesprochen, für mich ist das Peak AI. Wir sehen also jetzt gerade die Hype-Welle brechen oder den AI-Herbst oder sowas wahrscheinlich.
Also wir sehen jetzt gerade, Gerade, dass sich die negativen News über AI mehren, während die Skepsis wächst an der Stelle. Das könnte so wie Peak Oil, kennt ihr vielleicht noch, das wie Höchststand der Ölförderung gab es mal, jetzt Peak AI, vielleicht sehen wir jetzt gerade so die Spitze von diesem AI-Hüdel. Das liegt auch daran, dass eben Realismus einkehrt, so wie wir das gerade eben hatten mit dieser Studie aus Darmstadt, dass da keine Intelligenz ins Leben kommen wird.
Aber auch die Probleme des Model Collapse ist auch so ein Begriff. Ich weiß nicht, ob ihr das schon mal gehört habt. Wisst ihr, was das mit Schafen und Golden Retrievern zu tun hat?
Nö, kein Plan. Es geht doch um KI.
Ja, genau. Es hat alles was mit Schafen und Hunden zu tun. Wenn die Modelle auf KI-Daten gefüttert werden, also KI erzeugt Inhalte, die Inhalte gehen ins Internet und im Internet werden dann wieder Scraper unterwegs, die quasi Daten sammeln, die die KI-Modelle fürs Training verwenden. Wenn das jetzt alles Daten sind, die von Menschen kommen, ist das alles kein Problem. Sind es aber zunehmend Daten, die von KI kommen, ist das ein großes Problem für die KI-Modelle.
Die werden dann wie beim Rinderwahnsinn quasi mit Rindermehl gefüttert. Also die werden mit ihren eigenen Daten gefüttert und das führt zu einem Konzept, das sich Model Collapse nennt. Dann brechen nämlich diese Trainingsmodelle zusammen und erzeugen Müll.
Da gibt es mehrere Studien dazu. Es ist jetzt auch im Deutschlandfunk angekommen, heute erst oder vor zwei Tagen, ein wunderschöner Podcast, auch in den Shownotes drin und es gibt ein schönes Nature-Dokument mit auch 60 Seiten oder so eine Studie und der Model-Kollaps wird vom Deutschlandfunk so erklärt, in der Welt hast du 1% schwarze Schafe, der Rest sind weiße Schafe. Und das KI-Modell kommt jetzt her und sagt, naja, dieses 1% schwarze Schafe, das ist da, aber das ist nicht weiter wichtig.
Die brauche ich also nicht weiter beachten. Und so verschwinden die schwarzen Schafe aus dem ganzen Modell. Und dann ist das Modell nicht mehr aussagekräftig, weil du hast dann nur noch weiße Schafe. Und die Tatsache, dass es eben auch schwarze Schafe gibt, ist verschwunden. Dasselbe findest du bei Hunden. Die beliebtesten Hunde auf der Welt sind Golden Retriever. Deswegen sind sie überrepräsentiert im Internet gegenüber allen anderen Hunderassen.
Und das führt dazu, dass die KI, wenn die drei, vier Mal lernt oder drei, vier Mal was schreibt und raushaut oder sowas, werden die Golden Retriever überrepräsentiert und am Ende sind nur noch Golden Retriever da. Wenn du dann Hunde dir zeichnen oder anzeigen oder erzeugen lässt, sind es immer Golden Retriever.
Und der letzte Status davon, das ist in dieser Nature-Studie aus den Shownotes, ist dann nicht mal mehr ein richtiger Hund, sondern nur noch die Features von einem Hund mit Augenbrauen und Ohren, aber er ist immer noch golden. Und das finde ich total krass. Und das nennt sich Model Collapse.
Jetzt habe ich auch schon die anderen Begriffe eigentlich mit erklärt, weil das Ganze, was da auch unter dem Mad AI Syndrom in Anlehnung an das Mad Cow Syndrom läuft, wo wir Rindermehl an Rinder verfüttert haben und dadurch Prionen erzeugt haben, die dann Rinderwahnsinn erzeugt haben, nennt man das Mad AI Syndrom oder Autophagie. Das ist Autophagie, das müsste römisch-griechische Mischung sein, glaube ich. Auto ist, glaube ich, römisch und Phage ist, glaube ich, griechisch, weiß nicht.
Aber Autophagie bedeutet sich selbst essen, also im Prinzip sowas wie Kannibalismus. Und das führt eben zu diesem Model-Collapse, auch ein Link hier drin. Noch zwei Begriffe. Wenn KI dann so viel Müll erzeugt und uns die Foren zu müllt, dann entsteht Slop. Ob Slop ist der Begriff, den man benutzt, wenn man Spam bezeichnen will, der von KI kommt.
Also herbei halluzinierter Spam. Jeder Forenbetreiber, Community Manager heute, mit dem ich rede, schimpft, weil das ist die Hauptarbeit mittlerweile für solche Betreiber in den Kommentaren. Und der ganze Prozess von den Sachen, die ich jetzt beschrieben habe, nennt sich N-Certification in Anlehnung an Cory Doktorow. und ich habe zwei Links in die Shownotes gepackt. Einmal zur Wikipedia ist es gut erklärt und zu einer Rede, zu einem Vortrag von Cory Doktorow.
Das ist das Problem, dass die Inhalte im Internet immer schlechter werden, weil zunehmend viel von KI erzeugt ist und zunehmend viel davon halluziniert ist und sich das eben durch mehrfache Iterationen, dadurch, dass AI davon lernt und es in Modelle packt, verschlimmert. Und deswegen ist es N-Certification. Dadurch habt ihr vielleicht auch schon mal bemerkt, dass die Suchergebnisse bei Google sehr viel schlechter werden. Momentan merke ich auch, dass die Übersetzungsqualität von DeepL nachlässt.
Weiß nicht, ob das da dran liegt. Kannt ihr die Begriffe schon?
Teils, teils. Aber ich würde mal sagen, wir kommen mal wieder zu Open Source, weil du bist ja als Open Source-Markus bekannt.
Okay, dann, ja, stimmt. Und als solcher habe ich einen Artikel geschrieben vor kurzem fürs Zendes. Das Zendes ist das Zentrum für digitale Souveränität, sitzt in Bochum. Und es gibt es seit zwei, drei Jahren und ist mit 20 Millionen Euro ausgestattet. Also keine sehr große Behörde, auch nicht finanziell auf Rosen gebettet. Aber die machen ganz coole Sachen und die machen coole Sachen, die international für Aufsehen sorgen. Die wurden nämlich zur UNO eingeladen.
Warum wurden die dorthin eingeladen? Weil die UNO gesagt hat, wir wollen Open Source machen, wir wollen eine Open Source Strategie. Und wie machen wir das in Staaten? Wie lässt sich das umsetzen? Und wir haben hier mal ein paar Ideen gemacht. Und dann konnte Deutschland, wir, die Digitalisierungsweltmeister, Deutschland, konnten uns dann quasi hinstellen und sagen, wir haben da was. Zendes, die fünf Punkte, die ihr da wollt, liebe Uno, die haben wir fertig.
Wir haben ein Repository für Open-Source-Software, wir haben einen souveränen Verwaltungstest-Top in einer sehr einfachen Version, wir haben Prozesse dafür, wir haben ein Institut dafür, wir haben das Zendes und so wurden dann die Leute vom Zendes zu den United Nations eingeladen und durften das dort vorstellen. Das hat dazu geführt, dass sie von Japan, von Taiwan, von Österreich und der Schweiz eingeladen wurden, weil die auch das machen wollen.
Also wir sind hier Vorreiter. Und das Coole ist, dass die auch schon seit einem halben Jahr mit Frankreich zusammenarbeiten und eben hier so eine Keimzelle innerhalb der EU machen wollen. Und das ist ein Golem-Artikel, den ich geschrieben habe. Der ist auch in den Shownotes. Der ist wahrscheinlich einer der meistgelesenen Artikel, die ich je geschrieben habe. Die haben gesagt, der hatte 100.000 Leser. Ich kann mir das gar nicht vorstellen, aber...
Das ist mal was anderes, weil sonst, wenn ich auf der FOSDEM und habe in Brüssel mit Politikern und so geredet, die haben gesagt, sie machen jetzt einfach, die Deutschen kommen nicht voran, wir warten nicht mehr auf die Deutschen, wenn sie was machen. Und das andere, was ich jetzt neulich auch gehört habe aus der Politikebene war, dass die Deutschen immer dazu gezwungen werden müssen, Open Source zu machen. Und das ist spannend, weil im Koalitionsvertrag steht ja was anderes drin.
Aber da kommen wir auch noch gleich dazu. Vom Zendes gibt es noch zwei wichtige News. Das eine ist, die haben eine Ausschreibung gemacht. Die haben nämlich eine Enterprise-Variante von ihrem souveränen Desktop-Arbeitsplatz veröffentlicht, beziehungsweise nicht veröffentlicht, der ist ja schon komplett Open Source. Der basiert ja ein bisschen auf dem, was DataPort Phoenix gemacht hat, ist aber komplett Open Source, ist frei verfügbar. Wir haben ihn getestet, runtergeladen, der funktioniert.
Ist jetzt nicht fancy wie Microsoft 365, aber er funktioniert. Und jetzt gibt es ihn auch als Enterprise-Variante als SaaS-Cloud-Angebot. Und das Ganze ist das Ergebnis einer Ausschreibung. und in dieser Ausschreibung haben alte Bekannte aus der Open-Source-Welt gewonnen, nämlich B1 Systems hier aus Ingolstadt, die süddeutsche Bayern-Connection mal wieder. Und die machen das zusammen mit Stack IT. Stack IT ist eine Firma, die vielleicht der eine oder andere kennt.
Wir haben in Deutschland einen Hyperscaler, der heißt Lidl. Ja, Lidl, L-I-D-L. Also die haben so viel Zeug, die haben für ihre eigenen, intern quasi schon eine Cloud gebraucht, um ihrer ganzen IT Herr zu werden. Aber die haben es sogar in die irische Presse geschafft damit, dass Lidl, der Titel war How Lidl Accidentally Took on the Big Guns of Cloud Computing, ist der Titel eines Irish Times Artikels, habe ich auch in die Show Notes gepackt.
Also ich habe hier, wie gesagt, heute haben wir hier Schafe, Hunde und News aus Irland, was soll's.
Ja, aber wenn jemand Lidl und IT sucht, es ist besser, wenn man Schwarz-IT sucht, dann findet man auch genau das, was man will. Richtig.
Die Schwarz-ITs sind diejenigen, die hinter Stackit stehen. Der Dieter Schwarz ist einer von Europas reichsten Menschen, schreibt die Irish Times, der ist 40 Milliarden wert, 84 Jahre alt, also ein Traummann, nehme ich mal an. Also der ist der Namensgeber auch von der Schwarz-Group und die Schwarz-Group ist der Besitzer von Lidl. Und seit August oder sowas bieten die halt jetzt Cloud Computing und Cyber Security Services to Corporate Customers an. Ich finde das schon echt eine heiße Sache.
Ich kenne die schon eine Weile und die haben auch ganz viel oder versuchen auch mit der öffentlichen Verwaltung zu arbeiten. Und das ist durchaus nicht abwegig, weil die sind gut, so wie ich das gesehen habe.
FC Bayern München, der Hamburger Hafen, 2 Milliarden Sales jedes Jahr und 7500 Leute beschäftigen die. Also das scheint schon eine größere Nummer zu sein.
Genau, aber machen wir doch mal weiter mit unserer lieben FDP.
Vorher kommt noch eine traurige News aus dem Zendes, nämlich, dass der Chef des Zendes verlässt, der Andreas Rekard Lodde, der zwei Jahre lang jetzt Interim-CEO war vom Zendes, der verlässt das Zendes und geht ins BSI. Und jetzt zittern im Prinzip alle, wer denn jetzt da Nachfolger wird von ihm. Weil er hat seine Sache, muss ich ganz unbefangen sagen, sehr, sehr gut gemacht. Also selten so eine gute Führung gesehen von so einem Institut oder von so einer Einrichtung.
Und das im Aufbau und unter 50 Prozent Finanzkürzung durch eben, und da sind wir dann bei der FDP, durch Haushaltskürzungen, also mit Ankündigung von 50 Millionen gestartet und dann mit 19 oder so Millionen, doch wirklich tolle Sachen ins Leben gerufen. Also von hier aus ein Gruß an den Andreas Rekard Lotte und das ist schon toll, was da geleistet wurde und hoffentlich ist der Nachfolger halb so gut.
Genau, also der Andreas hat echt ein tolles Team aufgebaut, tolle Ideen, tolle Firma aufgebaut. Also ich werde das natürlich weiter beobachten und ich bin auch weiterhin großer Fan vom Zendes und ich hoffe, beruflich demnächst auch mit dem mal zusammenarbeiten zu können.
Ja, der Markus Richter, der Chef vom Andreas, der hat da auch nochmal sehr lobende Worte gefunden und dem würde ich mich auch anschließen an dieser Stelle.
Er ist ja nicht aus der Welt. Er soll ja im BSI zum einen mal, wie heißt sie, die digitale Cybernation Deutschland und was gemunkelt wird, auch ein echtes OSPO, ein Open Source Program Office Deutschland aufbauen. Also denke ich mal, wir werden ihn sicher noch viel sehen. Ich bin sehr gespannt, wer jetzt dann die Nachfolgestelle, oder die Stelle wird ja ausgeschrieben. Und da kann man ja dann mal sehr gespannt sein, wer den Posten bekommt.
Ja, die Stelle ist schon sehr, sehr lange ausgeschrieben. Es ist bloß bis jetzt noch keine Entscheidung getroffen worden.
Ja, da waren wir gerade bei der FDP und die FDP hat nicht nur die Mittel für Open Source gekürzt, sondern die reißen auch permanent alle Open Source Ziele, die sie sich selbst gesetzt haben. Da darf man jetzt nicht die FDP alleine das Schuldigen hinstellen, aber die Regierung hat ja eigentlich im Koalitionsvertrag drin stehen gehabt, dass sie Open Source fördern möchte und voranbringen möchte.
Und da ist eben nichts geschehen. Die Anke Domscheit-Berg von der Linken hat wieder mal Anfragen gestellt und die Ergebnisse sind niederschmetternd, wenn man sich jetzt überlegt, dass hier eigentlich schon eine Vereinbarung war, dass man da was fördern will und eigentlich nichts geschehen. Und vor allem, negativ herausstechen, tun dann halt doch wieder die FDP-Minister, allen voran Digitalminister Wissing, aber eben auch Christian Lindner.
Und sie, Zitat, die Softwareprojekte der FDP-geführten Ministerien sind nur ganz selten Open Source und insgesamt ist es enttäuschend. Es gibt einen ZDF-Artikel dazu, der sehr lesenswert ist und das ist wirklich sehr, sehr schade, dass hier nicht mehr geht. Es ist, ich habe es vorhin schon gesagt, es ist auch so, dass die anderen Länder in Europa uns mittlerweile in Verhandlungen dazu zwingen müssen, Open Source zu machen.
Vor allen Dingen ist Open Source eigentlich ureigenes Interesse der FDP. Das ist Freiheit, Wirtschaftsförderung und so weiter und so weiter. Und diesen Ball nehmen die einfach nicht an, obwohl das genau in ihr Programm passen würde.
Forschungsministerium und Digitalministerium waren nur ein halbes Prozent aller erteilten Aufträge Open Source. Ein halbes Prozent.
Und das waren wahrscheinlich Webserver. Olli, du hast auch noch was mitgebracht aus dem hohen Norden.
Ja, das hat erstmal gar nicht so viel mit dem Norden zu tun, wobei für euch ist ja auch Berlin schon Norden, ne? So ist ja nicht. Das BMI hat sich, und das ist jetzt zum Glück mal eine eigentlich uneingeschränkt positive Nachricht, ohne Open Source und ohne KI und so, hat sich das BMI als Auftrag gesetzt, die Standards für digitale Services zu überarbeiten. Die haben wir jetzt seit vier Jahren quasi in Betrieb. Da ging es vor allem um sowas wie digitale Services des Bundes.
Jetzt sollen Nutzer zentriert sein und sollen sich stückweise aufbauen, also iterativ aufgebaut sein und möglichst interdisziplinär funktionieren.
Und man hat jetzt mal ein bisschen geguckt, was die europäischen Service-Standards noch so alles beinhalten und da sind dann vor allem auch so prozessuale und technische Standards noch mit drin, wobei ich, also prozessuale Standards, bin ich echt gespannt, wie das dann irgendwie aussieht und da sind dann zum Beispiel auch solche Sachen drin, wie das möglichst viel an Services irgendwie sehr modular gebaut werden soll, also nicht so viel quasi alles in eine Hand oder in ein Stück Software bauen,
sondern möglichst effizient miteinander verschneiden und das fängt jetzt an und wann das genau fertig ist, wissen wir jetzt noch nicht, aber das wird, glaube ich, für viele Behörden, die jetzt auch ja immer noch so in der Alltagsdigitalisierung stecken, auch eine gute Hilfe sein, sich zu orientieren, wie sie ihre Dienste und Dienstleistungen denn in Zukunft aufbauen. So, jetzt geht es zu Malte und ums Telefonieren im weitesten Sinne.
Danke, Olli. Ja, und zwar gab es jetzt diese Woche am Montag eine Entscheidung des Verwaltungsgerichts Köln, Zwar haben sie festgestellt, dass die Regeln der Bundesnetzagentur für die Mobilfunkfrequenzauktion 2019 rechtswidrig waren. Das Verkehrsministerium hat wohl bei der 5G-Versteigerung 2019 mit den Netzbetreibern gekummelt. Nun muss neu über die Auflagen für die Lizenznehmer entschieden werden, für die Lizenznehmer von den Frequenzen.
Und es müssen neue Bescheide für die Verfahren ausgestellt werden. Eine Revision gegen diese Entscheidung ist nicht zugelassen. Es kann lediglich eine Beschwerde eingelegt werden. Falls diese vom Verwaltungsgericht Köln nicht nachgekommen wird, dieser Beschwerde muss das Bundesverwaltungsgericht darüber befinden. Geklagt haben, Evitel und Freenet. Und ob jetzt die Auktion möglicherweise wiederholt werden muss, wollte sich ein Sprecher von Evitel nicht äußern.
Der Beil liege jetzt bei der Bundesnetzagentur.
Wer war denn da Minister? Das war der Andi Scheuer, ne?
Das ist richtig. Und es hieß wohl, dass es sehr viel Druck aus dem Verkehrsministerium gab und dass diesem Druck, Bei der Bundesnetzagentur, das ist eine nachgeordnete Behörde des Verkehrsministeriums, zum Teil nachgegeben wurde. Das ist das, was ich gelesen habe.
Unsere Bürgermeisterin, also nicht die OB, sondern eine Bürgermeisterin, die war bei ihm im Ministerium zuständig für Finanzen. Und vielleicht frage ich sie mal, was denn da gelaufen ist. Vielleicht sagt sie mir ja was. Aber ich glaube das nicht. Die ist von der CSU, die mögen mich meistens nicht besonders.
Lust. Klar, gut. Dann gibt es Neues zur elektronischen Patientenakte. Da gibt es ein, wie wir inzwischen wahrscheinlich alle wissen, ein Opt-out-Verfahren. Und über dieses werden in diesen Tagen alle Versicherten informiert. Das heißt, aktuell beginnen zum Beispiel die 11 AOKs damit, ihre 27 Millionen Versicherten mit persönlichen Anschreiben und E-Mails über die Einrichtung ihrer persönlichen elektronischen Patientenakte zu informieren.
Ja, das heißt, alle, die jetzt gesetzlich versichert sind, werden in naher Zukunft Post bekommen, dass sie eine elektronische Patientenakte eingerichtet bekommen.
Ja, ich hatte es ja vorhin schon erzählt im Vorgespräch, ich habe schon seit Jahren eine elektronische Patientenakte. Ich kann sie noch nicht benutzen. Also ich schon, aber meine Ärzte nicht.
Ach, das werden jetzt wahrscheinlich noch wesentlich mehr Leute erfahren, wenn sie dann mit ihrer elektronischen Patientenakte, die sie eingerichtet bekommen, zu ihren Ärzten kommen. Wir werden sehen. Aber auch die werden ja dann merken, wenn alle ihre Patienten diese elektronische Patientenakte haben, dass es vielleicht doch eine Investition darin sich lohnt. Ja, dann gibt es eine weitere Neuigkeit aus dem Gesundheitswesen und zwar das Organspende-Portal hat Stand 21.
August knapp 150.000 Eintragungen von potenziellen Organspendern und Spenderinnen. Und das Portal ist erst am 18. März online gegangen. Das heißt, fünf Monate hat es gebraucht für 150.000 Eintragungen. Identifizieren kann man sich dort gegenüber dem Organspende-Portal mit der Ausweis-App und der E-ID-Funktion des elektronischen Personalausweises mit einem elektronischen Aufenthaltstitel. Außerdem aber auch kann man das mit der App von seiner Krankenkasse machen.
Ja, dann gab es zur Digitalisierung der Währung eine Neuigkeit und zwar wollen wir potenziell auch den Euro digitalisieren. Das ist, Thorsten, ist das eigentlich auch ein Steckenpferd von dir? Und zwar ist es ja so, dass im elektronischen Zahlungsverkehr die großen US-Unternehmen dominieren. Neben Paypal sind da sicherlich auch Mastercard und Visa zu erwähnen. Und vor dem Hintergrund ist es gerade in Europa ziemlich interessant, den Euro gegebenenfalls digitaler zu machen.
Das wird zwar noch ein paar Jahre dauern, aber vor dem Hintergrund hat die Deutsche Bundesbank eine Diskussion gestartet mit 27 Verbänden und Organisationen aus der Gesellschaft über die Zukunft des Geldes und dort wurden jetzt drei Themenpapiere veröffentlicht und der Tenor ist, dass es zwar sehr interessant ist, die Währung zu digitalisieren, dass es aber auch ganz wichtig ist, dass uns das Bargeld erhalten bleibt.
Also die analoge Form des Geldes muss bleiben und die haben dafür gewichtige Gründe ins Feld geführt, zum Beispiel, dass es damit weiterhin möglich ist. Anonym zu zahlen, aber dass man auch, falls Systeme ausfallen, den Zahlungsverkehr kurzfristig aufrechterhalten kann.
Also hier in Bayern ist ja neulich ein Litauer von der Polizei aus der Kneipe abgeholt worden, weil er 16 Bier jeweils einzeln mit der Kreditkarte bezahlt hat. Und der Wirt war dann sauer, weil er jedes Mal Gebühren abführen musste und so, so das Märchen. Die Geschichte war ein bisschen anders, aber als ich das gehört habe, habe ich mir gedacht, ich verstehe das nicht. Der war super integriert. 16 Bier. Also Entschuldigung, besser kann man sich in Dingolfing nicht integrieren.
Aber dort in den Ländern ist es halt normal. Im Baltikum zahlst du jedes einzige Getränk mit der Kreditkarte. Da ist kaum Bargeld mehr im Umlauf.
Ja, das ist eins meiner Lieblingsärgernisse, dass man ins Restaurant geht und dort noch nicht mal mit Karte bezahlen kann. Das war ja schon eine fortschrittliche Bar, wo man mit Karte bezahlen kann.
Ja, also ich sehe das so ein bisschen aus einer anderen Ecke, das Thema. Oder vielleicht seht ihr das auch so. Es besteht viel, viel Misstrauen gegenüber der Digitalisierung des Euros, obwohl ich der Meinung bin, dass die Datenschutzsituation und die Transparenz gegenüber großen amerikanischen Unternehmen bei diesen aktuellen Zahlungsmitteln wesentlich größer ist.
Also ich habe zum Beispiel kürzlich mich mit diesem Handy-Zahlung beschäftigt und musste feststellen, dass bei Google Pay Google sämtliche Daten, die da fließen, für sich speichert und auch in Anspruch nimmt, diese Daten dann zu analysieren, um dann entsprechend Werbung mitzumachen.
Ja, wir haben heute noch ein ganz großes Thema, was genau darauf einzahlt, PCI DSS, aber da kommen wir später zu. Malte, was ist denn mit den Digitalschulen?
Achso, ja, genau. Um über alle diese Themen dann auch besser informiert zu sein, fordert das Hasso-Plattner-Institut die Einführung von Digitalschulen in Deutschland. Die haben ein Positionspapier veröffentlicht und hätten gerne, dass wir uns, um in der digitalen Bildung weiter voranzukommen, analog aktuell zu Musikschulen auch Digitalschulen einführen.
Achso, jetzt verstehe ich das erst. Die wollen nicht nur digitale Schulen einführen, sondern Schulen für digitale Medien, wo man sich digital schulen kann.
Genau, damit ich was über IT lerne, statt nur über Musik. Ich meine, nur ist jetzt falsch gesagt, aber auch das ist eben ein wichtiges Thema. Noch etwas aus dem Cloud-Bereich. Und zwar haben sich die Bundesdruckerei und Seekunet zusammengetan und bieten ein Cloud-Angebot an. Die sind damit fertig und konkurrieren damit ein wenig mit dem Delos-Projekt.
Nur, dass im Gegensatz zum Delos-Projekt, was bisher, wo ich bisher lediglich Ankündigungen gesehen habe, sind sie bei der Bundesdruckerei und Secunet offenbar schon fertig. Und das Angebot basiert technisch auf OpenStack, was ich erstmal sehr interessant finde. Das heißt, das ist von der Souveränität sehr interessant. Denn im Gegensatz dazu geht es bei Delos ja um Azure. Und das ist eben nicht basierend auf OpenStack.
Und ja, da bin ich mal gespannt, wie viel Erfolg die Bundesdruckreihe und Sekundette damit haben werden. Da es auf OpenStack basiert, werden sie da sich einreihen in eine große Anzahl weiterer Anbieter, die hoffentlich ebenfalls ähnliche Angebote machen werden.
Ja, das werden wir auf jeden Fall im Auge behalten. Vielen Dank euch dreien für die News. Wer sich fragt, warum ich heute nicht so viel spreche, ist, ich habe ein kleines Zahnproblem, deswegen kann ich nicht so viel reden, aber wir machen direkt weiter mit unserer beliebten Kategorie IT-Sicherheit und Datenschutz. Und Markus, irgendwas mit Atomen hast du mitgebracht.
Was soll das mit Atomkraft zu tun haben? Datenschutz und IT-Sicherheit in Atomkraftwerken? Also ich weiß nicht. Ja gut, aber wir sprechen ja von England, wir sprechen vom UK und ich war da dieses Jahr und habe einige interessante Sites angeschaut. Und also die Geschichte von Sellafield ist ja total interessant. Wenn ihr euch da mal einlesen wollt, gibt es super tolle Dokumentationen auch. Wenn ihr wissen wollt, wie ein luftgekühltes Atomkraftwerk aussieht,
das haben die auch gemacht in den 50er Jahren. Die haben Wahnsinn. Das ist eine Technikgeschichte. Unglaublich. Und wie es so sein muss, haben die im Mai einräumen müssen, dass die Vorwürfe, sie hätten große IT-Sicherheitsprobleme. Da waren die Vorwürfe da, dass sie gegen Hacker quasi nicht geschützt sind. Und natürlich am Anfang, nein, alles gut, alles sicher. Es ist keine Radioaktivität ausgetreten. Nein, nein, nein, wir sind sicher. Naja, jetzt mussten sie doch einräumen, dass alles stimmt.
Und jetzt beginnen dann quasi die Verfahren. Das war so jetzt vor kurzem ein Artikel auch auf Heise wieder. Und die Daten der Server blieben vier Jahre lang ungeschützt, also für Außenstehende zugreifbar. Das ist also Open Science, Open Data mal ein bisschen auf die andere Art und Weise. Und Sellafield hat eh größere Probleme verursacht.
Durch das Alter, also es gibt drei Sites auf der Welt, also eine ist Mayak in Russland, das andere ist Hartford in den USA und Sellafield in England, das Zeitbomben für uns sind. Es gibt diplomatische Verwicklungen und ich habe eine Studie auch verlinkt, wieder von Science Direct hier, die beschreibt, wieso Norwegen sauer ist auf England, weil sie Sellafield nicht aufräumen, weil sie befürchten, dass bei einem.
Vorfall eben die ganzen Obst- und Getreideregionen im Südwesten Norwegens eben, zerstört werden oder radioaktiv verseucht werden. Also, wer gerne leichte Horrorgeschichten liest, die leider, leider viel zu real sind, sollte diese Links hier lesen. Oder man gibt gleich das Handy ab, oder Malte?
Ja, denn dazu werden zukünftig die niederländischen Minister verpflichtet, wenn sie an einer Kabinettszung teilnehmen möchten.
Das finde ich gut.
Finde ich, muss ich auch sagen, die Niederländer haben ja gewählt und neuer Regierungschef ist dort ein ehemaliger Geheimdienstler, also der ehemalige Chef vom dortigen Inlands- und Auslandsgeheimdienst. Und seit neuestem müssen die Minister in einer Kabinettssitzung vorher alle elektronischen Geräte einschließen.
Der weiß wahrscheinlich warum, oder?
So würde ich das jetzt auch sehen.
Also wir haben ja in der Vergangenheit auch schon so Kabinette und Regierungen gehabt in Deutschland, wo einfach die Bild-Zeitung schon während der Sitzung, schnell mal die Nachrichten gekriegt hat, was denn gerade diskutiert wird oder wer sich mit wem streitet. Das vermeidet man damit ja auch. Also es dient ja auch der Imageverbesserung.
Ebenfalls aus den Niederlanden stammt eine Meldung von gestern, ganz aktuell. Und zwar sind dort landesweit viele Behörden und der Flughafen von Eindhoven von einer betroffen. Die Ursache liegt wohl im Verteidigungsministerium und dort betreiben sie ein Netz, worauf für einige Dienste viele Behörden zugreifen und die Störung dieses Verteidigungsnetzes ist offenbar die Ursache. Die Lage hat sich schon gestern Nachmittag wieder entspannt.
Die Ursache ist unbekannt und dazu kann ich nur sagen, also ich kenne auch aus Deutschland solche Netze in den verschiedenen Bereichen, reichen, die durchaus auch von überraschend anderen Behörden und Ressorts genutzt werden zum Teil, aus historischen oder anderen Gründen. Und die dann entsprechend auch in Deutschland Probleme hätten, wenn ein Netz ausfallen würde. Das gibt es sowohl auf Landes- als auch auf Bundesebene.
Auf kommunaler Ebene, Thorsten, trotz der gesundheitlichen Einschränkungen, wie siehst du das?
Was meinst du konkret mit dem Schutz?
Nein, auf kommunaler Ebene gibt es da auch spezielle Netze?
Ja, es gibt die Behörden-Netze, aber letztendlich sind das auch nur VPN-Netze. Also da ist nichts speziell gehärtet. Das sind irgendwie Spezial-VPNs, wo man einen Schlüssel braucht. Manchmal braucht man auch so eine extra Box, um reinzukommen. Du kennst das vielleicht aus Bundesrechenzentren mit diesen SINA-Boxen, die man in sein Rechenzentrum stellt. So etwas Ähnliches gibt es auch für die öffentliche Verwaltung.
Aber ich sehe hier in Bayern, wollen sie jetzt alle Kommunen verpflichten, sich ans Behördennetz anbinden zu lassen, weil bisher nicht alle Kommunen am Behördennetz sind, weil sie keine Lust drauf haben.
Ja, und genau diese Art von Behördennetzen, wenn es da größere Ausfälle gibt, dann führt das entsprechend zu diesen Einschränkungen, wie wir sie jetzt gestern in den Niederlanden gesehen haben. Aber ja, das gehört dazu. Ja, und dann habe ich noch ein Datenleck mitgebracht. Und zwar gibt es seit Anfang August eine Sammelklage gegen National Public Data.
Und zwar verklagen betroffene US-Amerikaner, dass ein Unternehmen, was sich auf Background-Checks, also diese Hintergrund-Checks spezialisiert hat, und dort gab es eine Sicherheitslücke. Und zwar gab es eine ZIP-Datei, die heruntergeladen werden konnte und in der sich unter anderem sehr viele Zugänge und Passwörter drin verbargen. Und zwar waren das zwar keine personalisierten Passwörter, sondern die Standard-Passwörter, die ausgegeben werden, wenn die Zugänge ausgegeben werden.
Die wurden wohl aber nicht angepasst, weswegen man sich mit diesen dort einloggen konnte und das über einen längeren Zeitraum und deswegen hat ein Krimineller unter dem Namen USDOD angefangen, dort geklaute Daten zu verkaufen.
Das Unternehmen selbst spricht von 1,3 Millionen Betroffenen, jedoch haben Journalisten berichtet, dass sie 272 Millionen Individuen in diesen Datensätzen gefunden haben, identifizierbar an ihren Social Security Nummern, wobei ein nicht kleiner Anteil von diesen 272 Millionen Individuen wohl schon verstorben ist. Identifizierbar auch an anderen Daten. In den USA ist das nochmal speziell sehr kritisch, weil es dort keinen Personalausweis gibt oder ähnliches.
Dort identifiziert man sich tatsächlich mit seiner Social Security Nummer, die als geheim gilt.
Wobei es nicht nur durch diesen Datenleck, sondern auch aufgrund anderer inzwischen bekannter Datenlecks, Man davon ausgehen muss, dass fast alle US-Amerikaner inzwischen nicht mehr Herr dieses Datenmerkmals sind, sondern dass diese inzwischen in großen Listen von Cyberkriminellen gelandet sind und dass fast jeder, dass die Social Security Nummer fast jedes US-Amerikaners oder jeder US-Amerikanerin inzwischen in den Händen von Cyberkriminellen steckt.
Umgekehrt aber die meisten dortigen Systeme noch davon ausgehen, dass man sich damit mehr oder weniger ausweisen kann, so wie man es in Deutschland mit einem Personalausweis macht.
Was ich total geil finde, ist, dass die anhand von den Passwörtern, die da auch drin waren, dass die da nachweisen konnten, dass die Daten authentisch sind, weil die Passwörter stimmten mit alten Breaches überein. Also da waren wohl so viele Accounts drin, die die Passwörter nach früheren Preaches nicht geändert haben, sodass sie sagen konnten, das sind die richtigen Daten. Also das ist authentisch und das finde ich super.
Noch ein kleines Geschmäckle nebenher. Es handelt sich bei National Public Data, das in diesem Fall betroffene und verklagte Unternehmen, einer sehr fragwürdigen Sicherheitspraxis, jedenfalls wenn man den Berichten glauben darf, nur um ein Unternehmen von vielen, was sich damit beschäftigt, Daten über Individuen zu sammeln, Und in diesem Bereich gibt es eben auch viele kleinere Fische, deren Unternehmenswert sicherlich um mehrere Größenordnungen unter möglichen
Schadenswerten liegt, wenn diese Daten ihnen verloren gehen. Das ist in meinen Augen eine recht haarsträubende Diskrepanz an dieser Stelle, was Datenschutz angeht.
Aber was Datenschutz angeht, beziehungsweise Störungen, da hat der Olli auch noch was mitgebracht. In Deutschland.
In Deutschland, genau. Wir haben ja eine Kommunikationsstruktur in Deutschland zwischen deutschen Behörden. Die nannte sich ewige Zeiten EGVP, quasi eine der ältesten, die wir so im Einsatz haben. Die fanden wir eigentlich schon alle gut, bevor der Bund die E-Mail erfunden hat. Und jetzt ist die E-Mail wieder weg, aber wir finden EGVP eigentlich immer noch gut.
Und da hängt ganz viel Kommunikation vor allem mit der Justizverwaltung dran und man hat das weiterentwickelt in den letzten Jahren irgendwie so, dass man gesagt hat, für Bürgerinnen und Bürger, die zum Beispiel mit der Justiz, aber auch mit anderen Behörden kommunizieren wollen, richten wir so eine Art Webmail-Portal, nenne ich das mal, ein. Das ist natürlich technisch eine ganz andere Grundlage, aber letzten Endes optisch so das, was man sich darunter vorstellen kann.
Ja, aber wenn man natürlich anfängt und sagt, okay, wir haben jetzt nicht mehr so Einzelplatz-Software-Clients oder was auch immer, sondern Portale, dann kann es halt auch mal zu Störungen kommen. Und wir hatten jetzt gerade vor zehn Tagen eine große Störung in dem Justiz-Postfach-Portal sozusagen, sodass man Nachrichten an Gerichte oder an Anwälte nicht übermitteln konnte. Und das hat auch eine ganze Zeit gedauert, ein paar Tage gedauert, bis das irgendwie wieder gefixt war.
Aber es gibt jetzt keine Infos dazu, ob es irgendwie ein Hackerangriff oder irgendwie Denial-of-Service-Attack oder mal jemand, was rumprobiert hat, war, sondern es scheint einfach wirklich ein Softwarefehler zu sein. Ist halt nur blöd, wenn man irgendwie sagt, oh, ich will eine Klage einreichen bei so einem Gericht. Also neben, Klammer auf, also Anwälte, Tare und sowas sind außen vor, die nutzen eine andere Technologie.
Also sie nutzen nicht das Portal, aber sie, wenn man das jetzt selber machen möchte, so als Privatperson, was einem ja durchaus zusteht, dann ist es halt ärgerlich, wenn man Fristen versäumt, weil die Technik nicht zur Verfügung steht. Und normale Verwaltungsbehörden sind sehr tolerant, was Fristen betrifft.
Wenn man da mal technisch irgendwas nicht erreichen kann oder sowas, dann geht die Behörde her und macht etwas, das nennt sich Einsetzen in den vorigen Stand und dann läuft die Frist noch so. Also es wird quasi die Zeit zurückgedreht. Bei Gerichten ist das sehr, sehr viel strenger. Die achten also sehr, sehr genau darauf. Eine Sekunde nach Mitternacht und dann bist du halt auch raus aus der Frist. Und da muss man das alles einzeln wieder nachfordern und pflegen.
Also insofern sehr ärgerlich, dass das ausgefallen ist. Läuft aber jetzt wieder. Dann gehe ich doch gleich zu was Positivem. Der Hamburger Datenschutzbeauftragte hat mitgeteilt, dass die Menge an festgestellten und mit Bußgeld versehenen Datenschutzverstößen sich im letzten Jahr verdoppelt hat. Das ist jetzt an sich nichts Positives, dass sich die Menge verdoppelt hat. Positiv ist aber, dass es doppelt so viele Verfahren gegeben hat, die auch mit einem Bußgeld abgeschlossen sind.
Dazu sollte man dann auch wissen, Datenschutzbehörden arbeiten mit anderen Behörden nicht auf Bußgeldbasis zusammen im Allgemeinen. Also es wird nicht so sein, dass, wenn jetzt festgestellt wird, dass meinetwegen im Hamburger Innenministerium irgendwas falsch laufen würde oder in der Innenbehörde, dann würde da kein Bußgeld erhoben werden. Das wird anders gelöst. Hier geht es also tatsächlich um Unternehmen oder um Privatpersonen, die da sanktioniert werden.
Interessant ist allerdings, die nach meinem Gefühl, aber ich bin da totaler Laie, sehr niedrige Zahl, weil dann halt gesagt wurde, ja, es sind doppelt so viele wie letztes Jahr. Letztes Jahr waren es acht, dieses Jahr sind es 15. Ich denke, das liegt vor allem daran, dass die Behörde natürlich vor allem irgendwie in beratender Tätigkeit aktiv ist und nicht unbedingt in sanktionierender Tätigkeit.
Ich könnte mir aber vorstellen, da ist noch ein bisschen Potenzial, was private Datenschutz oder wirtschaftliche Datenschutzverstöße betrifft. Ja, und ich glaube, das war schon unsere Rubrik IT-Sicherheit und Datenschutz, oder Torsten?
Genau, Olli. Vielen Dank. Und ich würde direkt weitergehen zur nächsten Kategorie. Und zwar ist es eine Kategorie, die jetzt erstaunlicherweise oder freulicherweise vor allen Dingen immer öfter stattfindet. Und zwar ist es Hörerinnen-Feedback. Und diesmal habe ich ein Feedback, das habe ich wieder von einer KI einlesen lassen, ein Feedback von Björn zur Sendung 187 über Verwaltungsdigitalisierung mit Dr. Werner Konrad. und das spiele ich jetzt mal ein und dann sprechen wir einfach mal drüber.
Naja, den letzten Satz Verwaltungsdigitalisierung macht man ohnehin nur, wenn alles andere zu einfach ist, kann ich jetzt so nicht unterschreiben, weil Verwaltungsdigitalisierung halte ich immer noch für eines der spannendsten Gebiete, deswegen beschäftige ich mich schon so lange damit. Aber generell, was sagt ihr zu diesen Aussagen, die hier getroffen wurden von Björn?
Wenn ich darf, ich halte die Forderung eigentlich als eine Forderung nicht an Verwaltungsdigitalisierer, sondern an die Politik, entsprechend Regulierung so zu gestalten, dass sie digital umsetzbar ist und möglicherweise auch an vielen Stellen zu entschlacken.
Das heißt, es geht hier darum, Verordnungen und Gesetze zu diesen Verwaltungsakten so zu machen, also diesen Digitalcheck zu machen oder auch so umzubauen, also nicht nur neue, sondern auch bestehende Verordnungen und Gesetze so umzubauen, dass sie einfacher und schneller umsetzbar sind. So würde ich die Forderung von Herrn Dr. Konrad verstehen. Und dann kann es ja auch viel schneller und effizienter gemacht werden.
Ich habe da ganz viel rausgehört auch, das mich zurzeit auch sehr viel beschäftigt. Das ist Digital Sobriety, also digitale Nüchternheit. Das fängt ja da schon an, dass man nicht auf Teufel und Gedeih und Verderb alles digitalisiert, was digitalisiert werden kann oder so, sondern dass man sich erstmal fragt, macht das jetzt eigentlich Sinn oder gibt es nicht andere Sachen, die wichtiger sind, sondern dass man gesunden Menschenverstand anwendet auch.
Das habe ich auch irgendwo gehört und das finde ich auch ziemlich gut. Gut, und das beschäftigt jetzt gerade sehr, sehr viele. Da haben wir auch die Klammer zu dem KI-Thema vorher. Also das ist quasi der Gegensatz zu jedem möglichen Hype, dass eben immer mehr Leute sagen, lass uns mal langsam anschauen, was macht denn überhaupt Sinn? Und das finde ich sehr, sehr angenehm in der IT-Branche gerade.
Ich finde, wir haben hier in dem Bereich auf jeden Fall das Thema, dass Verwaltung und Politik eigentlich nicht zusammenpassen. Eines meiner Beispiele, was ich in den letzten Monaten ziemlich oft gesehen habe und wir auch jetzt im Wahlkampf in Sachsen und in Thüringen immer wieder hören, ist das ganze Thema Zuwanderung. Durch die Zuwanderung haben wir in den Ausländerämtern wahnsinnig viel zu tun. Das sind richtig viele Arbeitfelder in den Behörden an.
Und das könnte man ganz einfach mit einem Fingerstreich minimieren, indem man sagt, die Zuwanderer dürfen arbeiten. Weil sobald die Zuwanderer arbeiten dürfen, müssen sie sich nicht mehr jeden Monat melden im Ausländeramt. Da haben wir da schon mal weniger Aufwand. Sobald die Leute arbeiten dürfen, verdienen sie ihr eigenes Geld und müssen nicht mehr ins Ausländeramt sich Geld holen.
Sobald die Leute arbeiten dürfen, haben wir auch das Thema, wir haben Fachkräftemangel oder überhaupt Arbeitermitarbeitermangel, das könnten wir damit auffüllen. Also wir könnten hier mit kleinen Änderungen in Gesetzen die Verwaltung massiv entlasten und Das gleiche gilt zum Beispiel auch für Ausschreibungen. Ich erlebe das gerade am eigenen Leib meiner neuen Firma, in der ich arbeite. Wir haben eine Ausschreibungsgrenze von 5000 Euro.
5000 Euro in der IT-Welt. Ich kann Klopapier kaufen für 5000 Euro, aber was anderes kann ich sinnvoll nicht für 5000 Euro ausschreibungsfrei kaufen. Und man sollte hier wirklich überlegen, ob die Verwaltung wegen 5.001 Euro einen Aufwand betreiben muss, der trotzdem 1.000 Euro kostet. Da gibt es viele Dinge, die man in der Politik ganz einfach lösen kann und vielleicht auch ein bisschen mehr Pragmatismus anzutage fördern würde, was die Verwaltung
massiv entlastet. Da gibt es ganz, ganz viele Beispiele.
Naja, bei dem ist ja dann das Schöne wieder... Dass Verwaltung oder Behörden natürlich in dem Moment, wo sie gerade mit Geld, sag ich mal, formloser umgehen, sehr, sehr schnell im Mittelpunkt öffentlicher Kritik stehen. Also mal unabhängig davon, also eine 5000-Euro-Grenze gibt es tatsächlich jetzt für Beschaffung nur noch in sehr, sehr kleinen ländlichen Behörden. Wir sind üblicherweise bei größeren Kommunen oder bei Ländern oder sowas haben wir da ganz andere.
Bayern hat 25.000, unsere Behörde hat 5.000.
Ja, genau. Teilweise haben wir auch 50.000 in einigen Ländern, auch bei den großen Städten, bei Frankfurt oder Düsseldorf oder sowas. Aber egal, auch bei 5.000 Euro ist natürlich so, wenn ich irgendwas kaufe in einer Behörde für 5.000 Euro und ich kaufe das halt bei meinem Schwager, dann stehe ich zurecht in der Zeitung und dafür sind ja diese Mechanismen letzten Endes da.
Deswegen finde ich es halt immer so schwierig, wenn auch gesagt wird, gerade was da ja so war mit diesem ja schneller, einfacher Bürokratie ärmer. Bürokratie ist ja nur dafür da, um uns vor Willkür zu schützen.
Das ist ja letzten Endes genau der Punkt. Also wir machen das ja alles nur, damit es halt nicht darum geht, dass irgendwie willkürlich die eigene Verwandtschaft die besten Jobs kriegt und irgendwie die eigenen Schwäger und Nachbarn die besten Aufträge und auch nicht jemand mit blonden Haaren und blauen Augen eine Baugenehmigung für seine Sauna und jemand mit schwarzen Haaren und Schnauzbart halt nicht. Also das sind ja die Steuerungsmechanismen, die wir haben in unserer Gesellschaft.
Und ich finde das jetzt nicht so schlecht. Also ich bin da ganz, ganz vorsichtig immer, wenn wir sagen, lass uns das mal entbürokratisieren, weil wenn wir entbürokratisieren, dann haben wir irgendwann halt auch Häuser, die nicht mehr feuersicher sind und die vielleicht einstürzen, wenn es doch mal ein Erdbeben gibt oder solche Sachen. Das muss man dabei halt immer sehen. Das kann man machen, aber nicht aus Versehen. Also das Risiko muss man dann auch bewusst mit in Kauf nehmen.
Ja, ich finde das tatsächlich ein zweischneidiges Schwert. Ich kann mich noch gut an den Podcast erinnern mit Dr. Konrad und er hat auch dazu aufgerufen, dass doch die Politik den Unternehmen wieder ein bisschen mehr vertrauen sollte. Die wenigen schwarzen Schafe, die es gibt, ordentlich hart bestrafen, aber dem Rest der Industrie und der Wirtschaft einfach mehr Vertrauen schenken und nicht irgendwelche Berichtspflichten noch weiter ausbauen.
Na gut, jetzt kommt jetzt ganz viel von der EU, aber was hier teilweise ich höre, was die Behörden oder was die Wirtschaft alles für Berichte abliefern muss, das ist irre. Und vielleicht kann man das Ganze auch auf Behörden bringen. Man könnte doch einfach den Behörden auch wieder etwas mehr Vertrauen schenken und wenn das Vertrauen missbraucht wird, gibt es halt anständige Strafen, auch für Beamte. Und dann nicht nur verschieben in die Poststelle, sondern mit persönlicher Haftung.
Das ist ja vielleicht sogar ein Feld, was sehr, sehr schnell durch KI und Sprachmodelle sich erledigt. Die Firmen lassen ihre Berichte von KIs schreiben, die Behörden lassen die Berichte von KIs lesen und zusammenfassen und einschätzen, ob das alles so in Ordnung ist oder nicht. Und dann, das ist glaube ich hoffentlich ein Teil von Bürokratie, der sich ganz schnell erledigt und ob da dann am Ende nur noch weiße Schafe über rauskommen oder nicht, interessiert dann auch keinem mehr.
Ich denke, so schwarz-weiß, so machen wir es nicht, kann man da nicht sagen. Das eine ist ja, dass ich entweder vorab ganz viel reguliere, das heißt, ich fordere, dass den Behörden entsprechende Dokumente zur Verfügung gestellt werden im Bauantrag und diese dann auch überprüft werden, bevor diese Baugenehmigung erteilt wird.
Und das andere wäre, dass es zwar Regeln gibt, aber dass der Bauerntrag genehmigt wird und falls es dann das Haus zusammenstürzt, dann gibt es empfindliche Strafen, weil Regeln nicht eingehalten werden. Und ich würde sagen, da sagt man nicht ja oder nein, sondern es wird immer irgendwo zwischen diesen beiden Polen sein. Ja. Und insofern möchte Herr Dr. Konrad als Vertreter der Wirtschaft ein bisschen mehr in die eine Richtung, ein bisschen weniger Pflichten, ein bisschen mehr Vertrauen.
Und andersrum gibt es sicherlich berechtigt, auch ab und zu politischen Druck in die andere Richtung zu gehen. Ja. Meine kleine eigene Analyse dazu ist, mein Gefühl ist häufig, dass jede einzelne Regulierung und Regel, die ich, wenn ich sie mir genau anschaue, bestimmt ihre Begründung hat und ihren Sinn.
Aber dass es in der Gesamtheit inzwischen so erdrückend geworden ist an vielen Stellen, dass ich mir auch wünschen würde, vielleicht stärker zu priorisieren und dann gewisse Dinge mit geringer Priorität dann doch irgendwo dann lassen muss, auch wenn sie im Einzelnen vielleicht sinnvoll sind.
Ja, das würde ich gerne mal so stehen lassen. Vielen Dank Malte, Olli, Markus für die Beantwortung des Hörerfeedbacks. Und wir gehen jetzt weiter zu den Empfehlungen und dann übernehme ich wieder komplett und ich fange an mit einem Beitrag in der Tagesschau. Deutsche Behörden verzetteln sich bei der Digitalisierung, das ist eine klare Empfehlung, sich das anzuhören und anzusehen.
Dann feiert Netzpolitik.org, hat 20-Jährige gefeiert und Netzpolitik.org ist eine große Informationsquelle, auch hier im E-Government-Podcast findet ihr immer ganz viele Links auf Netzpolitik.org. Ich kann hier empfehlen, schaut euch Netzpolitik.org an und wer den einen oder anderen Euro übrig hat, gern auch bei Netzpolitik.org mit einwerfen. Dann war diesen Monat auch die FrostCon 2024. Die findet traditionell in der Nähe von Bonn statt und ist eine Open-Source-Konferenz.
Und da gab es diesmal wahnsinnig viel Open-Source-Content zum Thema öffentliche Verwaltung. Ich habe euch in den Shownotes einfach noch ein paar empfehlenswerte Talks verlinkt. Natürlich auch verlinkt alle Talks der FrostCon. Die könnt ihr hier wieder anhören und anschauen. Gibt es bei Media.ccc. Und das war es soweit mit meinen Empfehlungen. Ihr findet noch ein paar andere Empfehlungen in den Shownotes. Aber wir machen jetzt weiter und zwar mit dem Thema PCI-DSS.
Darüber habe ich mich mit Manuel Artug aka Honkhase unterhalten und das spiele ich jetzt hier ein. Ja, heute in meinem Studio habe ich Manuel zu Gast aka Honkhase. Also Manuel, ich grüße dich.
Moin, moin.
Vielleicht stellst du dich trotzdem noch mal ganz kurz vor, für die, die mit deinem Nicknicks anfangen können.
Ja, mein Name ist Hase, Hock Hase. Ich mache Beratung und Prüfung von kritischen Infrastrukturen.
Ich habe aber in meinem, wie soll ich sagen, Vorleben, bevor ich ausschließlich kritische Infrastruktursicherheit gemacht habe, sehr, sehr viel Payment Card Industry, Sicherheitsmaßnahmen, also Kreditkartensicherheit gemacht und bin dafür weltweit durch die Welt getingelt und habe eben all diese Prüfungen gemacht, all diese Systemlandschaften auditiert oder eben auch zu Zahlungsverkehr, der Verschlüsselung und dem Schutz von Kartendaten alle möglichen Dinge beraten und konzipiert.
Genau, und wer ihn mal gesehen hat im Fernsehen, hat ihn nicht so gesehen, wie ich ihn jetzt sehe. Vielleicht findet ihr die Fotos auf Social Media, wie wir beide hier drin sitzen. Aber Manuel, schön, dass du da bist. Immer wenn ich ein Thema habe mit IT-Sicherheit, Bist du mein Go-To-Guy quasi, der mir das alles hervorragend erklären kann und heute wollen wir mal sprechen über PCI DSS. Geile Abkürzung, klingt irgendwie gefährlich.
Payment Card Industry Data Security Standard, klingt eigentlich ganz einfach. Der Zahlungsverkehr, der internationale bargeldlose Zahlungsverkehr hat sich zusammengetan und Data Security Standard sagt es ja schon aus, Die würden ganz gerne ihre Daten sichern und demzufolge haben sie gesagt, bauen wir mal einen Standard raus.
Ja, und warum reden wir jetzt drüber? Weil PCI DSS auch für die öffentliche Verwaltung und vor allen Dingen auch für das Online-Bezahlen in der öffentlichen Verwaltung relevant ist, weil hier natürlich Verträge geschlossen werden mit der Payment-Card-Industrie, um auch Kreditkarten akzeptieren zu können. Du hast gerade schon erzählt, was PCI DSS ist. Und vielleicht nochmal ganz kurz im Detail draufgehen, warum brauchen wir denn dieses PCI DSS?
Ja, kurz gesagt, weil die Banken sich überlegt haben, wo passiert der Missbrauch bei den Händlern. Wir geben Karten heraus, die werden bei Händlern abgegriffen, also eine Magnetstreifen oder die Kreditkartennummer, die PIN und so weiter. Dann müssen ja die Händler und ihre Dienstleister alle doof sein und brauchen Sicherheit.
Wir selber für uns brauchen natürlich keine, Das heißt, PCI DSS wird von den sogenannten Member-Banken von Visa, Mastercard und so weiter rausgegeben und die sogenannten Acquirer, also die, Diejenigen, die das Händler-Entgeltkonto betreuen und verwalten, wenn ich bei einem Händler bezahle, dann landet das Geld bei diesem Händler auf dem Konto.
Die und ihre Dienstleister und die ganzen Händler selbst müssen dann diese Sicherheitsmaßnahmen umsetzen, damit die Kreditkartendaten so weit sicher sind, dass alle dieses Bezahlsystem noch nutzen wollen.
Und diese Acquirer, das ist sowas wie Payone, VR Payment und solche Geschichten, oder?
Ja genau, da gibt es noch Concades, da gibt es Airplus, da gibt es alle möglichen. In Deutschland haben wir so circa 10. Weltweit sind das etliche, die halt dieses Acquiring-Geschäft anbieten. Die gibt es allerdings, und das ist auch wichtig, nur bei Visa und Mastercard, beispielsweise bei Amex. Bei American Express gibt es das nicht, denn Amex ist ein sogenanntes geschlossenes oder Three-Party-System. Die haben keine Equirer und Issuer, also Karten herausgebende Banken und die
Händler, Entgeltkontobetreiber, die sind das alles selbst. Das heißt, bei Amex habe ich nur einen Vertrag mit Amex selbst. Die machen alles. Und bei Visa oder Mastercard, wenn ich Karten rausgeben will, muss ich eine Memberbank werden. Und wenn ich Karten annehmen will, eine Akzeptanzstelle sein will, dann muss ich als Acquirer da die Lizenz haben.
Genau. Und die Akzeptanzstellen sind jetzt in der öffentlichen Verwaltung die einzelnen Behörden, die euch Online-Leistungen zur Verfügung stellen, wo ihr Online-Anträge stellen könnt, die ihr dann auch direkt online bezahlen könnt mit euren Kreditkarten. Das sind dann die Akzeptanzstellen.
Genau.
Und jetzt gab es PCI DSS 4.0, der ist vor zwei Jahren rausgekommen und ist ab Ende diesen Jahres pflichtend, beziehungsweise ab 1.1.2025 ist dann auch die Karenzzeit abgelaufen und da hat sich ein bisschen was verändert und ein bisschen intensiver geworden, ein bisschen intensivere Prüfaufträge reingekommen. Was ist denn da jetzt zu tun von den Akzeptanzstellen?
Naja, die müssen halt die Kreditkartensicherheit umsetzen, je nachdem, ob sie Mail-Order, Telefon-Order, Moto-Geschäft machen, ob sie E-Commerce-Geschäft machen oder F2F, also Face-to-Face. Und dementsprechend haben sie unterschiedliche Schutzvorgaben, die sie adressieren müssen, um den Schutz dieser Kreditkartendaten einzuhalten.
Das heißt, diese Schutzvorgaben muss ich in der Behörde auch machen, wenn ich diese Terminals einsetze?
Je nachdem, was und wie ich einsetze. Ja, genau. Also die Terminals werden ja Face-to-Face-geschäft. Wenn ich diese Terminals einsetze, dann muss ich bestimmte Vorgaben eben auch umsetzen und einhalten, damit die Terminals nicht manipuliert werden etc.
Aber wir wollten ja heute über E-Payment sprechen und im E-Payment habe ich ja nicht so einen Hardware-Terminal, sondern da ist so eine Art Terminal im Netz. Und meines Erachtens laufen die alle bei den Acquirern, diese virtuellen Terminals. Was muss denn dann jetzt so eine Online-Dienst anbietende Behörde alles noch beachten und tun, damit sie überhaupt die Online-Zahlung annehmen kann?
Naja, wenn sie ein virtuelles Terminal benutzt, ist es ja kein Terminal, sondern es ist ein E-Commerce-Geschäft und dann muss sie halt Schutzmaßnahmen umsetzen, auch dass der eigene Server oder die eigene Landschaft nicht manipuliert wird und dadurch die Bezahldaten beispielsweise erst in ein Man-in-the-Middle-Zwischensystem landen, dort abgegriffen werden und dann vielleicht an den Acquirer zur Autorisierung weitergeschickt werden. Das ist tatsächlich vor 10, 15, 20 Jahren schon passiert.
Also das ist nichts Neues. Die Angreifer haben gesehen, oh Moment, da haben sich Händler an den Acquirer angedockt online. Ich schalte mich mal dazwischen und greife die Daten ab. Das ist dann relativ schnell rausgekommen, weil man natürlich sehr schnell merkt, woher sind die Karten abgegriffen, wenn die das sehr plump und banal machen. Das nennt sich dann der CPP, Common Point of Purchase, der dann offensichtlich irgendeinen Fraud erlitten hat, irgendeine Kompromittierung.
Und dann haben die Angreifer gesagt, naja, ist ja irgendwie doof, das heißt, dann gehen wir da rein, intercepten die Daten und vor allem, wenn natürlich sozusagen versucht wurde, eine Bezahlung zu machen und die jedes Mal abbricht, aber dann die Daten missbraucht werden, ist ja relativ einfach, wo es versucht wurde.
Also haben die gesagt, naja, dann schalten wir uns dazwischen, nehmen die Daten erstmal entgegen, kopieren die uns und schicken sie dann ans echte System weiter, damit die Bezahlung läuft und dann wird es schwieriger erkannt. dann ist man hingegangen und hat gesagt naja, wir kompromittieren mehrere. Mixen die Daten oder greifen immer nur jede vierte Visa-Goldkarte ab oder so, damit es nicht so schnell auffällt, weil man dann umso länger diese Daten abgreifen kann.
Und dagegen müssen sich natürlich auch die Händler schützen. Die Zahlungssysteme haben über die Jahre diesen PCI-DSS-Standard inzwischen in der Version 4.0 weiterentwickelt. Das ist immer so ein Drei-Jahres-Zyklus. Also den Standard PCDSS gibt es ungefähr seit 2005, glaube ich.
Visa und Mastercard hatten vorher die Vorläufer in 2002 und 2003 ins Leben gerufen, haben das dann gemerged mit weiteren Zahlungssystemen sozusagen gemeinsam als Payment Card Industry Security Standards Council, PCI SSC, ins Leben gerufen und dann jede drei Jahre weiterentwickelt.
Und da sind inzwischen Anforderungen drin, dass man sagt, die Händler müssen diese Systeme, von denen aus die Bezahlung initiiert wird in Richtung Kunde und dann auch zu uns als Akzeptanzumgebung, auch mit abgesichert werden und geschützt werden, weil diese Manipulation dieses Man-in-the-Metal schon seit vielen Jahren sehr erfolgreich funktioniert und man hat jetzt die Auflagen eben auch den Händlern mitgegeben.
Jetzt bin ich kein Händler, sondern eine Behörde. Ist in dem Jargon, ist es das Gleiche? Was muss ich tun, um meine Anwendungen so abzusichern, dass die Daten eben nicht bei mir abgegriffen werden? Wohlgemerkt, in den meisten Online-Diensten werden die Daten gar nicht eingegeben.
Also erstmal ist dem Bezahlsystem völlig egal, ob ich eine Behörde bin oder nicht. Ich bin ein Händler oder eine Akzeptanzstelle und nehme Kreditkartendaten entgegen und dann falle ich eben erstmal unter die Speicherung, Verarbeitung oder und oder Übermittlung von Kreditkartendaten und falle erstmal unter PCI DSS.
Wenn ich alles an Dienstleister ausgelagert habe, zu keinem Zeitpunkt in Kontakt komme mit den Kartendaten, weil ich das an sogenannte Third-Party-Provider abgetreten habe, dann spare ich mir die ganze Arbeit. Ich brauche einen zertifizierten Dienstleister, der diese PCI-DSS-Zertifizierung hat und sage, okay, das ganze Thema geht an mir vorbei. Ich habe einen sicheren Dienstleister, der kümmert sich darum, der zeigt mir jedes Jahr seinen Zertifikatsupdate, muss ich nichts tun.
Wenn ich in irgendeiner Form mit den Kartendaten zu tun habe oder dem Kunden, also in dem Fall dann demjenigen, der diesen Verwaltungsakt haben möchte, der dann bezahlen muss, dem sage, hier kannst du zahlen, ich pointe dich nur auf die Seite, habe ich ja schon den initialen Pointer referenziert. Und dann bin ich Teil dieser Bezahlung, obwohl ich nicht Teil der Kreditkartenabwicklung bin.
Aber wenn mein System kompromittiert wird und manipuliert wird, kann ich ja schon die Bezahlung in eine andere Richtung schieben.
Vielleicht kannst du nochmal ganz sagen, was es bedeutet, wenn ich auf diese Bezahlseite pointe. Was bedeutet das?
Das bedeutet, dass ich auf meinem System als Behörde oder bei dem Dienstleister, bei dem ich das alles einbetten lasse, sozusagen schon der erste Punkt bin, der irgendwie die Bezahlung initiiert oder in die Wege leitet oder die Konfiguration mit dem Dienstleister abgestimmt hat.
Das ist der rechte Bezahlen-Button, oder was?
Da reicht sowas wie ein Bezahlen-Button oder ein hier zur Bezahlung weitergehen, wir schicken dich jetzt auf die und die Seite. Da kannst du bezahlen und dann kommst du hierhin wieder zurück und dann ist es schön. Je nachdem, wie das implementiert ist, ist es eben sicherheitsrelevant und kritisch und dann ist es eben zu betrachten. Es gibt da verschiedene Arten, wie man das macht.
Jetzt hast du gespoilert. Vielleicht sagst du nochmal, wie man die verschiedensten Arten sehen kann, wie man das betrachten kann, wie die Einbindung stattfindet.
Dann gehen wir da nur mal High-Level drüber, weil sonst springen wir den Rahmen und erzählen schon.
Wie technisch implementiert wird. Ich habe sowieso noch ein paar Fragen.
Aber ja, okay, alles klar. Also im Wesentlichen kann man sagen, es gibt ein sogenanntes Redirecting. Ich leite denjenigen auf eine andere Seite. Man ist auf meinem Behördenportal und ich sage so, ich redirecte das jetzt auf eine Bezahlseite oder auf einen Bezahldienstleister. Dann gibt es das sogenannte iFrame. Das ist, ich bette den Bezahldienstleister in meine Seite ein.
Der ist quasi in diesen Rahmen reingeschnitten, aber vom Layout kann ich das so gestalten, wie wenn das eine Seite ist und von mir ist. Dann gibt es ein sogenanntes Direct Posting. Das ist über die URL, wird das direkt an den anderen weitergesendet.
Es gibt JavaScript-Implementierungen, wo eben JavaScript läuft immer auf dem Browser des Benutzers oder der Benutzerin, aber das JavaScript selbst lädt die Person, die das nutzen will, ja von meinem Server als Behörde runter oder von meinem Dienstleister runter. Und dann gibt es noch sogenannte APIs, also technische Schnittstellen, mit denen ich das einreichen kann. Das sind so die... Sag mal, fünf wesentlichsten Implementierungsarten.
Du kannst sagen, das ist ja quasi alles, was wir benutzen in unserer Welt, um bezahlen zu lassen.
Ja, also Bezahlung, und das muss man wirklich sagen, ist eine extrem vielfältige Art und Weise, vor allem bargeldlose Bezahlung im E-Commerce-Bereich. Es gibt alle möglichen Arten von Anbindungen, Umsetzungen mit Third-Party-Provider, ohne. Da gibt es irrsinnig viele Prüfmechanismen, die man zusätzlich kaufen kann oder mit weiteren Dienstleistern einbindet, die dann in der Prozesskette stecken oder eben alles außen vor lässt.
Man kann selbst Polizeisysteme mit einbetten. Die Polizei betreibt ein System, das heißt Kuno, K-U-N-O, Entschuldigung. Und Kuno ist jetzt nicht für Kreditkarten, aber zumindest für gesperrte Girokarts. Wenn die sagen, hier wurde eine gestohlen und die haben wir jetzt hier als polizeiliches Kuno-System registriert, dann kann ich mich daran andocken und sagen, ah, die Karte ist gesperrt, von der nehme ich genau keine Bezahlung entgegen, weil das Geld kriege ich ja nicht.
Also da gibt es wirklich Tod und Teufel an Implementierungen und auch Tod und Teufel an schwachsinnigen, unseriösen und unsicheren Implementierungen, weil die Leute nicht verstanden haben, wie man sichere Bezahlprozesse einbaut oder sichere Prozessketten etabliert und das Ende-zu-Ende absichert. Von daher gibt es auch in diesen fünf Varianten sehr, sehr viele Falschimplementierungen oder total unsichere Varianten.
Jetzt hast du vorhin gesagt, wenn ich das alles an den Dienstleister outsource, der sich um das ganze Handling kümmert, muss ich als Zipfanzstelle quasi nichts mehr machen. Das stimmt ja nicht so ganz.
Wenn ich alles ausgelagert habe, dann bin ich außen vor und mache gar nichts.
Ja, aber ich muss ja mindestens diese SAQs ausfüllen.
Na, den SAQ fülle ich immer dann aus, dass ich bestätige, also die Verantwortung wahrgenommen zu haben. Ich meine jetzt nicht technische Implementierung, sondern die Zahlungssysteme haben gesagt, naja, ein Self-Assessment-Questionnaire ist ja ein Selbstauskunfts-Fragebogen.
Diese Selbstauskunft muss ich einmal im Jahr ausfüllen, unterschreiben und zurücksenden an meinen Akzeptanzpartner, weil eben natürlich es sein kann, dass ich doch irgendwas anders gemacht habe oder dass irgendwer das schlecht implementiert hat, dass ich meine Verantwortung nicht wahrgenommen habe. Ich kann zwar den Dienst auslagern, aber die Verantwortung als Akzeptanzstelle habe ich ja trotzdem selbst, auch als Behörde.
Und insofern lassen sich die Acquirer einmal im Jahr bestätigen, du hast wirklich, wirklich nirgendwo Einfluss auf die Kartendaten und die Flüsse, du hast nur zertifizierte Dienstleister unter Vertrag, du bestätigst jetzt explizit, dass das so ist mit einer Unterschrift einmal im Jahr, das ist dann jetzt für ein Jahr gültig und wir lassen dich in Ruhe, Aber du musst schon verstehen, worum es hier geht, nämlich um Kartensicherheit.
Und die nimmst du jetzt wahr und unterschreibst, dass du das kapiert hast. Und das müssen die dann natürlich einmal im Jahr machen. Aber sie müssen dann, wenn sie das wirklich alles komplett ausgelagert haben, keine technischen Implementierungen mehr vornehmen.
Jetzt schwebt über diesem ganzen Akzeptanzprozess, ganz speziell auch für die öffentliche Verwaltung, dieses Damoklesschwert der ASV-Scans. Was sind die ASV-Scans und wer muss die durchführen? Warum ist klar, aber wer muss die durchführen?
Also ein PCI DSS ASV ist ein Payment Card Industry Data Security Standard Approved Scanning Vendor. Ein Approved Scanning Vendor, also ein ASV, ist jemand, der von dem Zahlungssystem oder vom PCI Security Standards Council, dem PCSSC, zugelassen wurde, diese Security Scans vorzunehmen.
Die Security Scans sind sozusagen aus dem Internet erreichbare Systeme auf bekannte Schwachstellen zu scannen und zu prüfen, also möglichst automatisiert sozusagen diese Prüfung durchzuführen und diese Scans passieren non-intrusive und non-destructive. Das heißt, sie sind nicht intrusiv, sie brechen nicht ein und sie sind nicht destruktiv. Das heißt, es gibt keinen Denial of Service oder einen Segmentation Fold oder was auch immer.
Also die Vorgaben sind, dass man das als ASV-zertifizierter Scanning Vendor sicherstellen muss und das muss man dann auch einmal im Jahr gegen ein sogenanntes ASV Validation Lab gegenscannen und prüfen und die da absichtlich eingebauten Schwachstellen in allen Kategorien. Es gibt bestimmte Domänen, wie Netzwerkebene, Applikationsebene und so weiter. Da muss man aus allen Ebenen eine Mindestmenge an eingebauten Schwachstellen finden und das jedes Jahr auch wieder unter Beweis stellen.
Okay, diese Scans, die gucken also nur, was man so von außen so aus dem Internet so sehen kann, also was man….
Genau, was man aus dem Internet erreichen kann und was eben an Bekannten über einen solchen Scan abfragbaren Schwachstellen oder Defiziten oder Informationen, also Information Gathering, gilt ja auch dazu, irgendwie da ermitteln kann.
Aber da bin ich doch eigentlich ganz schlau und fahre meine Web-Application-Firewall hoch und dann zack, sieht gar keiner mehr was von außen.
Ja, das wäre schlau, aber das ist schlecht, weil ein sogenanntes Active Protection System darf nicht aktiv sein und genutzt werden. Das ist in den ASV Scan Interferences bei den Scanning Vendors definiert. Das heißt, die Scanning Vendoren selber, die zertifizierten Dienstleister, haben die Vorgabe zu sagen, du musst erkennen, ob ein Active Protection System aktiv ist, das irgendwas blockt oder filtert von diesem Scan.
Denn ein Intrusion-Prevention-System oder eine Web-Application-Firewall oder was auch immer soll ja natürlich funktionieren, aber es ist nur ein Schritt in der gesamten Kette.
Und diesen Schritt muss man für den Scan-Zeitraum für die IP-Adressen des ASV-Scanning-Vendors explizit deaktivieren und sagen, eine Firewall bleibt oben, alle anderen Schutzmaßnahmen bleiben oben, aber aktive Störkomponenten wie ein IPS oder eine Web Application Firewall darf nicht im Einsatz sein und darf nicht den Scannen sozusagen verhindern.
Weil sonst könnte ich einfach sagen, naja, immer wenn der Typ um die Ecke kommt, ich kenne ja seine IPs, muss er ja benennen, wenn der dann abfragt, fahre ich meinen EPS hoch, das sagt dann, nö, ich blocke hier einfach alles, dann bin ich ja super sicher. Die echten Angreifer gehen natürlich anders vor und insofern wäre das vielleicht Betrug und trotzdem Compliant, aber nicht hilfreich.
Okay. Jetzt haben wir ganz viel Theorie gemacht. Ich würde gerne mit dir mal so einen typischen Fall durchgehen, einen typischen Fall.
Ja, so ein Online-Dienst bei einer Kommune, die hat sich den eingekauft bei einem Dienstleister, ihr kennt ja diese Eva-Umsetzungen, kaufe ich mir einen bei Dienstleister A, meine Webseite läuft im Rechenzentrum Dienstleister B und Dienstleister C stellt mir das Bezahlsystem zur Verfügung, sowas wie ePayment zum Beispiel, das ist ePayment für die öffentliche Verwaltung. In meine Webseite binde ich per JavaScript, per Web Components diesen Online-Dienst ein.
Der Online-Dienst wird aufgerufen und der Online-Dienst, also auf meiner Webseite wird dieser Online-Dienst aufgerufen und dieser Online-Dienst triggert dann eine Bezahlung und ruft die Paypage von zum Beispiel IPBL auf.
Jo.
Wer ist wo in Charge?
Also wenn Ultima Ratio ist natürlich der Akzeptanzvertragspartner in charge und muss sicherstellen, dass die Dienstleister alle korrekt agieren. Wenn ich jetzt die IPBL-Seite scannen lasse, dann muss IPBL sicherstellen, dass keine IDS, eine IDS darf laufen, aber kein IPS, keine Intrusion Prevention oder eben kein Web Application Firewall Filter für diese genannten IP-Adressen des jeweiligen Scan-Anbieters in dem Zeitraum des Scans irgendwie das blocken.
Wenn das nicht getan wurde, ich meine, für irgendjemand wird ja dieser Scan, ausgeführt und auch benannt, wenn das die Behörde ist und da steht drauf, wir haben dich gescannt und das war dann aber das IPBL im Hintergrund, dann wird es trotzdem nicht konformer, wenn das IPBL ein IPS oder eine WAF aktiv hatte beispielsweise oder andere aktive Protection Systems.
Okay, das heißt, ich muss mir im Idealfall von dem IT-Dienstleister, der mir diesen EVA-Dienst zur Verfügung stellt, bestätigen lassen, dass er PCI-konform ist und ich muss mir von dem Dienstleister, der das E-Payment-System betreibt, bestätigen lassen, dass er PCI-konform ist. Ich als Kommune.
Ja, von beiden müsste das dann eingefordert werden. Weil das sind ja beide Dienstleister, mit denen ich Kreditkartenabwicklung durchführe.
Okay, was dann der IPBL-Betreiber zum Beispiel tut, wie er mit seinen Payment-Service-Providern umgeht usw. Das steht auf einem ganz anderen Papier, was er für zuschaut.
Das ist seine Verantwortung, genau.
Okay. Das heißt, jede Kommune, die diesen einfachen Prozess so abbildet, weil das ist der einfachste, glaube ich, der stattfindet, muss sich von den Dienstleistern bestätigen lassen, dass sie PCI-konform sind.
Wenn ich jetzt auf die Idee komme als Kommune, ich baue mir doch selber noch so einen Online-Dienst, der dann auch gegen die öffentliche Schnittstelle von IPBL zum Beispiel kommuniziert, muss ich dann auch diese Scans auf meinem, oder muss ich die PCI-Konformität auch auf meiner Webseite quasi oder in meinem Rechenzentrum durchführen, oder?
Moment, wenn die Kommune...
Die Kommune hat eine eigene Webseite und kommt auf die Idee, ich baue mir damit so einen Formularparkasten, keine Ahnung, einen eigenen Online-Dienst zusammen, der aber dann mit IPBL spricht.
Na, wenn Sie dann Zahlungsabrechnungen über IPBL machen und IPBL für die Abwicklung nutzen, dann müssen Sie das sicherstellen, dass IPBL das a. Selber zertifiziert ist und b. Je nachdem, wie die Kommune es einbaut, Sie selber noch irgendeine Compliance umsetzen müssen oder wie auch immer geartet mit IPBL oder ohne IPBL klären, wer ist der Komplettdienstleister.
Ich muss hier nur diesen SAQ, diesen Self-Assessment-Questionnaire ausfüllen, wo ich sage, ich habe zertifizierte Dienstleister, die haben mir das bereitgestellt. Ich implementiere hier überhaupt nichts auf mein System, das machen die alle selbst. Ich bin raus und bin hier sauber. Dann können die das natürlich an sich vorbei wandern lassen.
Wenn nicht, müssen sie in ihrem eigenen Rechenzentrum, auf ihrem eigenen Web-Server, wie auch immer, die entsprechenden Schutzmaßnahmen umsetzen, die jeder andere auch umzusetzen hat, klar.
Ja, ich sehe gerade viele Kommunen, viele IT-Mitarbeiter von Kommunen sehe ich jetzt gerade verzweifelt den Kopf auf die Tastatur hauen. Ich glaube, das bedeutet wahnsinnig viel Aufwand für die Kommunen, das zu tun.
Naja, also warum gibt es PCI DSS? Weil die Händler eben sehr viel Schindluder mit den Kartendaten gemacht haben. Die haben auch beispielsweise bei den E-Commerce-Transaktionen die sogenannte CVV oder CVC2 gespeichert. Das ist die dreistellige Nummer, die hinten drauf ist, die man abfragt, wenn man eine Online-Transaktion macht.
Das ist eine Kartenprüfnummer. Also eine Prüfnummer zu sagen, du hast physisch die Karte in der Hand, diese dreistellige Nummer ist nicht auf dem Chip, ist nicht auf dem Magnetstreifen. Wenn du die ablesen kannst, dann hast du die Karte physisch in der Hand. Es steht in allen Standards und Sicherheitsprotokollen und Informationen, die jemals von Visa, Mastercard und sonst wem rausgegeben wurden, niemals, nie, nicht, unter keinen Umständen speicherst du diese Prüfziffer. Nie.
Nicht. Nein. Pfui aus. Ich habe knapp 20 Jahre lang PCI-DSS-Beratung und Auditierung weltweit gemacht. Ich habe so oft Kartenprüfnummern in den Datenbanken liegen sehen, wo sogar die Tabelle einfach schon oder die Spalte einfach CVV hieß oder CVC. Einfach damit man direkt weiß, diese dreistellige Nummer ist genau die, die du haben willst, um einkaufen zu gehen, weil du sagst, hier ist die Kartennummer, hier ist die dreistellige Nummer.
Damit hast du quasi die Kreditkarte von jemandem in der Hand. Wenn also... Dass alles über Jahre sehr extrem passiert ist, ist natürlich das Vertrauen in die Zahlungssysteme immer weniger geworden. Deswegen hatten Visa, ich glaube Visa war 2002 und Mastercard 2003, haben die dann die Vorläufer der Sicherheitsprogramme von PCI DSS ins Leben gerufen.
Da haben wir gesagt, okay, wir müssen die Leute auditieren und wir müssen von außen Security-Scans machen, ob die irgendwie überhaupt halbwegs sichere Systeme betreiben. Ich meine, bei kritischen Infrastrukturen ist es nicht anders. Ich sehe sehr, sehr oft archäologisch wertvoll Betriebssysteme, die irgendwie im Internet immer noch angedockt sind oder betrieben werden. Kann man machen, ist dann aber auch kacke.
Die Zahlungssysteme haben dann gesagt, nee, wir scannen das jetzt und haben bestimmte Vorgaben, weil wer mit unseren Kartennummern rumfummelt, fummelt ja auch mit dem Geld unserer Kunden und vor allem auch mit unserer Vertraulichkeit und mit unserem, naja, Achtung, Seriosität.
Deswegen haben die halt gesagt, Händler, die nicht verstanden haben, was sie da tun, Das ist ein richtig großes Bedrohungsszenario für das gesamte Öko-Infrastruktursystem bargeldloser Zahlungsverkehr, aber vor allem natürlich auch für die Marktmacht von Mastercard, Visamex und so weiter, machen wir uns nichts vor.
Und dann haben sie halt gesagt, okay, wir werden jetzt dieses Programm aufsetzen, wir werden das gemeinsam machen mit anderen Bezahlsystemen, also Dynas, Discover, JCB und so alles dabei. Und die haben gesagt, jo, also Händler und all ihre komischen Dienstleister machen jetzt entweder so richtig Sicherheit mit Krypto mitkümmern, mit technisch verstehen oder sie nehmen Dienstleister, der das für die macht.
Der nimmt dann vielleicht ein paar Euro mehr oder ein paar Dollar mehr, aber der hat verstanden, was er zu tun hat, denn der wird ja dann geprüft. Jetzt gibt es natürlich billige Audits, ahnungslose AuditorInnen, Tod und Teufel, aber insgesamt muss man schon sagen, machen die ganz schön viel Druck und ganz schön viel Stress und das ist auch immer mehr, ich sag mal, nach oben eskaliert.
Da sind große Konzerne, die Prüfer waren, wirklich deregistriert worden, weil die einfach scheiße geprüft haben. Es sind Unternehmen bankrott gegangen, weil sie einfach als Dienstleister unseriös gearbeitet haben und dann hochgenommen wurden und die Zahlungssysteme gesagt haben, so schlecht achtet ihr auf die Kartendaten unserer Kunden und auch der Händler. Okay, wir klemmen euch vom Visa- und Mastercard-Netz ab.
Ihr macht gar keine Transaktion mehr mit uns. Und in dem Moment kannst du als Bezahldienst, Nessart Party, kannst du deinen Laden zumachen. Und genau solche Insolvenzen sind passiert. Und damals, als das kam, habe ich noch gesagt, das wird eine ganz schöne Verschiebung bewirken. Viele Händler werden selber die Kartendaten nicht mehr speichern, verarbeiten, übermitteln. Die werden Dienstleister nehmen. Wir werden eine Marktkonsolidierung erleben.
Und genau das ist eingetreten, weil diejenigen, die gesagt haben, das ist alles so viel, ich verstehe das nicht, das ist ja doof oder mimimi. Ja, dann geh weg und verarbeite einfach keine Kartendaten mehr. Schnapp den Dienstleister, der es verstanden hat. Das hat eine Weile ganz gut funktioniert.
Jetzt ist aber die nächste Evolutionsstufe, dass man genau solche kruden Anbindungen hat und die Angreifer natürlich gesagt haben, ja geil, ich mache ein Man-in-the-Middle in all diesen kaputten Implementierungen und greife dann halt davor an. Es gibt Parallelenzeug-Chat-Kontrolle. Ja, man wollte die Daten mitlesen, dann wurde immer mehr verschlüsselt und dann hat man gesagt, naja, bevor die dann verschlüsselt werden, greifen wir sie ab.
Im Endeffekt machen die Bezahldienstangreifer nichts anderes. Die greifen das dann davor ab, nämlich bei der Behörde beispielsweise und sagen, hier liebe Kommune, du hast einfach mal eine 3,50 Euro Webseite aufgesetzt und von da aus geht der Bezahlprozess los. Ja geil, dann bedienen wir uns einfach an dieser Stelle. Das ist Supply Chain und schwächstes Glied in der Kette.
Und genau das versuchen die Zahlungssysteme gerade wieder zu unterwandern und zu unterbinden und zu sagen, können die Ahnungslosen mal aufhören, mit den Kartendaten zu arbeiten oder den Prozess einzuspeisen, weil inzwischen schon die Einspeisung des Prozesses unterwandert wird. Und dann muss ich dazu sagen, ausnahmsweise mal richtig gedacht. Ja, das finde ich gut.
Ist jetzt dann der nächste Schritt diese Tokenisierung der Kreditkarten? Weil dann habe ich ja einen Token für jede Akzeptanzstelle. Da kann ich ja nicht mit dem einen Token bei der anderen Akzeptanzstelle bezahlen.
Also die Tokenisierung ist ja erstmal ein, ich zahle nicht mit der Karte und der Kartennummer, sondern die Kartennummer wird umgewandelt in ein eindeutiges Token, was eins zu eins zu einer Karte gemappt werden kann, aber ich kann es nicht berechnen. Das ist sozusagen eine Zufallszuordnung 1 zu 1 und teilweise sogar pro Transaktion ein Token. Diese Tokenization ist schon vor vielen Jahren entwickelt worden.
Ich habe da viele Implementierungen mitberaten oder eben auch geprüft, teilweise sogar auf Mainframes, also wirklich Hochleistungstokenisierung für viele hunderte von Millionen von Datensätzen.
Wenn ich aber in den Anfang, in den absoluten Beginn des Prozesses eingreife, dann kann ich auch da natürlich schon manipulativ wirken und sagen, ich schaffe, dass die Endnutzerin ihre Kartennummer eintippt, aber in meinem System und ich gebe es dann weiter und dann wird es tokenisiert, dann ist es auch zu spät.
Also beim Tokenisieren gibt es auch unheimlich viele verschiedene Arten der Implementierung und von daher muss man da auch aufpassen, was da sozusagen sicher und sinnvoll ist oder an welcher Stelle ich mir durch ein Tokenisieren auch tatsächlich erspare, zu sagen, ich muss mehr machen als nur in dem SAQ ausfüllen. Ich habe Dienstleister, die verstanden haben, was sie tun.
Die zeigen mir jedes Mal ihr Zertifikat. Ich selber speise hier überhaupt nichts irgendwo ein, bin safe und, muss aber natürlich diese Verantwortung noch wahrnehmen, weil die geht nun mal nicht weg.
Gibt es oder kennst du Bezahlsysteme, wo ich nicht irgendwie Credentials eingeben muss, wie eine Kreditkartennummer oder Benutzernamen oder ähnliches, also wo ich mir diesen ganzen Anfang sparen kann, wo ich hier nochmal ein bisschen mehr Sicherheit schaffe, indem ich nichts abgreifen kann oder wenn ich es abgreife, damit nichts anfangen kann?
Also ich würde jetzt ungern namentlich welche nennen und sagen, die sind gut oder da kenne ich die Implementierung.
Es geht nicht darum, ob es gut ist. Es geht nur darum, ob es es gibt.
Ja, also gibt es schon. Klar, es gibt Anbieter, die sich Gedanken dazu gemacht haben und wirklich verstanden haben, was wollen die Zahlungssysteme und was will eigentlich die Akzeptanzstelle. Und die das dann so aufgebaut haben, dass sie sagen, ich baue das jetzt alles um dich herum auf und mache das für dich als Ersatzleistung quasi.
Allerdings ist es wie immer, kostet natürlich Geld und man muss ja auch, Wenn man einen Dienstleister irgendwie haben möchte, im Einkauf ja auch irgendwie verstehen, was ich einkaufen will und auch gegenprüfen können, was derjenige mir leistet und bietet. Und wenn natürlich die Kommunen schon damit überfordert sind zu verstehen, was bieten die da an, was ist der Unterschied und bin ich damit sauber und kann ich dann auch verstehen, was ich da einkaufe und habe die richtige Dienstleistung.
Wenn ich da im Einkauf scheitere, dann habe ich eher Zufall, aber nicht, ich weiß, was ich einkaufe. Und das ist immer das Problem bei allen Digitalisierungen. Wenn der Einkauf in den ganzen Kommunen nicht verstanden hat, was er da einkauft, dann können die Dienstleister alles Mögliche leisten, was irgendwie so aussieht oder den Anschein erweckt oder vielleicht sogar tatsächlich sicher ist, aber nicht funktional oder umgekehrt. Dann bekomme ich irgendwas, nur nicht ein.
Ein Dienstleister, der das tut, was ich will. Dafür brauche ich nämlich A, einen kompetenten Einkauf und B, eine Dienstleistersteuerung, also ein Outsourcing oder Partymanagement. Und das kann ich nicht auslagern, denn ich muss ja oder kann ich schon, aber das endet dann so, wie wir es an vielen Stellen gesehen haben.
Da sitzen dann teilweise Dienstleister an einem Tisch und verhandeln über die Systemlandschaft der Kommune, wo ich dann gefühlt rückwärts umkippe und sage, es ist kein Verantwortlicher aus dem Laden selbst hier. Es reden Dienstleister untereinander und tauschen sich aus und stimmen sich ab, was sie wie für die tun. Das sind erlösmaximierende Unternehmen, das kann doch nicht wahr sein. Aber genau das gibt es oft genug.
Und wenn ich das hier so mache und einkaufe, dann muss ich mich auch nicht wundern, wenn das so läuft.
Ja, es geht noch schlimmer, aber...
Naja, natürlich. Also, nach oben ist immer offen.
Also, Manuel, wir haben ja bei unserem Vorgespräch vor zwei Wochen, sind wir ja richtig tief reingenerdet. Das möchte ich jetzt unseren Zuhörerinnen und Zuhörern ersparen.
Das ist sinnvoll. Ja, das war wirklich tief und es ist ja auch wirklich sehr, sehr detailliert. Und es sprengt auch den Rahmen, sowas mal kurz zu machen. Ich habe, um Händlern oder auch Dienstleistern überhaupt mal zu erklären, was ist PCI DSS, worauf musst du achten, wie musst du das umsetzen, wenn du wirklich Kartendaten speicherst, verarbeitest oder übermittelst. Nicht nur so, ich habe eine Webseite und da ist so ein Link,
sondern ich mache das. Das Intro, um überhaupt zu verstehen, worum es geht und mal das Gesamtwerk zu sehen, war ein zweitägiger Workshop und zwar intensiv. Ich habe den bei dem einen oder anderen Konzern oder größeren Unternehmen irgendwann dann runtergedrückt bekommen. Die haben gesagt, mach das in den einzelnen Abteilungen innerhalb von einem Tag. Das hieß dann die Druckbetankung vom Hasen.
Und die Druckbetankung war dann vieles, was einfach in dem jeweiligen Konzern oder so nicht notwendig war, habe ich weggelassen. Aber das war schon Druckbetankung. Und da waren wirklich hochgestandene, seriöse und kompetente Menschen, die mit so einem rauchenden Schädel rausgegangen sind. Die haben nicht mehr gerade ausgeguckt. Es ist einfach wirklich ein sehr komplexes Thema.
Wir haben, damit wir hier nicht so rein nerden müssen, haben wir eine umfangreiche Linksammlung zu den wichtigsten und einschlägigsten Dokumenten. Die meisten sind auf Englisch, aber meines Erachtens ganz gut verständlich. Vor allen Dingen sind viele Grafiken dabei und man kann viel auch nachvollziehen. Findet ihr alles in den Shownotes. Und Manuel, vielen, vielen Dank.
Gerne.
Für diese Kurzdruckbetankung.
Genau. Bis zum nächsten Mal.
Ja, ich hoffe, euch hat das gefallen, was ich hier mit Honk Hase besprochen habe zum Thema PCI DSS und es bringt euch informativ noch ein bisschen weiter. Ich habe auf jeden Fall sehr, sehr viel gelernt und kann auch viel für meinen beruflichen Alltag hier mitnehmen. Wir machen weiter mit den Veranstaltungen und da fange ich gleich an mit einer für mich gute Nachricht, für euch schlechte Nachricht. Die 10-Jahres-Feier des E-Government-Podcasts ist vollständig ausverkauft.
Es gibt leider keine Karten mehr. Malte hat im Vorgespräch schon gesagt, hat gemerkt, dass ich noch ein paar Plätze freimachen konnte. Ja, das konnte ich. Ich konnte noch ein bisschen das Kontingent aufstocken, aber jetzt ist wirklich oberstes Ende.
Und ich freue mich auf alle von euch, die kommen und wir werden dann eine ordentliche Sause machen und wenn ihr gesehen habt, wer alles auf der Bühne sitzt, das wird auch wahrscheinlich eine sehr interessante Mischung und zwar sitzt Saskia Esken und Markus Richter sitzen beide bei mir und ich freue mich total mit denen über 10 Jahre Digitalisierung in der Verwaltung zu sprechen.
Ich glaube, beide haben sehr, sehr viel zu erzählen aus den letzten zehn Jahren und sogar noch viel länger, weil die beide schon länger Verwaltung digitalisieren als ich.
Jetzt wäre der richtige Zeitpunkt für einen Jubel- und Applaus-Einspieler.
Genau, aber das machen wir hier nicht, weil wir keinen Quatsch einspielen, aber wir freuen uns. Ich freue mich wahnsinnig. Und ja, Smart Country Convention kommt auch noch, da kommen wir aber später noch dazu. So und jetzt machen wir gleich weiter mit den Veranstaltungen im September. Da ist jetzt am 4. September der Ministerialkongress, der ist in Berlin. Wer dort ist, wird mich da auch treffen. Am 9. September ist der Deutsche Kameratag, auch immer eine interessante Veranstaltung.
Am 9. September und am 10. September ist auch eine coole Veranstaltung, die heißt Promptors Paradise. Das ist eine Art Promptaton, wo man KI-Prompt ein bisschen rumspielen kann. Dann haben wir wieder den bundesweiten Warntag. Und zwar ist der am 12. September. Den habe ich bei mir in den Kalender aufgenommen, weil ich das wichtig finde, dass man da auch informiert ist, wenn plötzlich sein Handy anfängt zu piepsen. Am 12., das ist auch der bundesweite Warntag.
Da können wir dann direkt im E-Government Afterwork am Abend drüber sprechen, ob es denn bei einem oder anderen funktioniert hat. Am 13. September gibt es in Berlin in der Alten Münze eine Veranstaltung Bildet Netze, die ist auch nur zu empfehlen, Und am 20. September gibt es die Datenspuren 2024. Es ist ein CCC-Kongress in Dresden. Und am 23. September gibt es die 25. Beschafferkonferenz. Und ich überlege ernsthaft, da hinzugehen.
Also ich habe langsam meinen Gefallen an Beschaffung gefunden, weil ich da zurzeit so viel zu tun habe mit. Und Markus, du hast auch noch ein paar Veranstaltungen mitgebracht.
Wer das Ars Electronica Center in Linz noch nicht kennt, sollte sich das mal für ein Wochenende auf die Liste nehmen. Das ist total faszinierend. Ich habe dort schon meine eigene DNA extrahiert und in eine Reagenzklasse mit nach Hause genommen. Ich habe da vor 15 oder 20 Jahren über Brain Computer Interface Pong gespielt gegen einen anderen Menschen, was total toll war. Und dieses Jahr kann man auf dem Ars Electronica Festival, das die einmal im Jahr machen, vom 4. bis zum 8.
September, viele tolle Sachen wieder machen. Ich habe gehört, die haben eine KI-Kaffeemaschine, die dir nur Kaffee gibt, wenn du sie überzeugst, dass du ein guter Mensch bist. Und lauter solche Sachen. Also es ist einfach ein, das Motto ist Hope und es ist ein total tolles Museum in Linz in Österreich. Und da fahren die InterCities von Frankfurt aus direkt hin. Sehr, sehr toll. Vier Tage ab Mittwoch mit tollen Musik und Konzerten und allen möglichen, wirklich empfehlenswert.
Dann haben wir am Sonntag, kann ich leider nicht dort auf der Konferenz sein, sondern da muss ich nach Würzburg, weil ab Samstag und fünf Tage lang trifft sich die KDE Community, Linux KDE Desktop Community in Würzburg, in der Mitte Deutschlands. Und da bin ich am Sonntag dort und moderiere ein Panel zum Thema Open Washing, was momentan eines der Themen ist, dass die ganze Open Source Community sehr, sehr stark.
Beschäftigt, weil ohne Ohne Open-Source geht es nicht mehr, aber die meisten Leute, die das ankündigen und machen, haben nicht kapiert, worauf es ankommt, vor allen Dingen in Cloud und KI. Und wo wir beim Thema Linux sind, gibt es dann noch Mitte September, und zwar ab dem 16. September bis zum 20. September drei Veranstaltungen der Linux Foundation in Wien. Zuerst trifft sich so das Linux- und Open-Source-Business auf dem Open-Source Summit Europe in Wien, vom 16. bis zum 18.
Am 18. dann ist der Linux Security Summit. Nein, der ist auch am 16. bis 17. Entschuldigung. Und danach ist dann die Linux Plumbers Konferenz, wo sich also die wirklichen Techniker treffen. Also wenn ihr mal Linus Torwalds und Dirk Hundl und solche Leute live sehen wollt, dann fahrt nach Wien. Geht am besten zur Linux Plumbers Konferenz, aber auch am Summit sind sie. Der ist halt ein bisschen teurer. Aber das sind tolle Veranstaltungen und da werdet ihr mich auch sehen.
Ich spreche wieder obligatorisch über die Smart Country Convention in diesem Jahr. In der Smart Country Convention in diesem Jahr gibt es eine coole Neuerung und zwar wird es dort eine Podcast Area geben. Ich habe schon Bilder davon gesehen, wie sie sich vorstellen. Das wird ziemlich cool. Eine Podcast Kabine und Plätze davor mit Kopfhörern. Und da wird der E-Government-Podcast live aufgenommen werden und zwar am 17.10., das ist der Donnerstag, von 10 bis 11. Also ich freue mich, wenn ihr da
alle da seid und zuschaut. Ich weiß noch nicht, wer mein Gast sein wird. Ich suche noch und ich hoffe, dass ich euch da einen ziemlich coolen Gast präsentieren kann. Aber ich bin nicht alleine auf dieser Podcast-Area. Da sind viele, viele Podcasts, die ihr sehr wahrscheinlich kennt. Das ist zwar der Checkpoint-Tagesspiegel-Podcast, Es ist der Podcast Unbürokratisch von Vogel-IT. Es gibt den Behördenspiegel-Podcast, die dort auch auftreten. Es gibt Re-Start vom Öffet.
Dann gibt es Smart in the City. Dann Kommunale Digitalisierung mit Felix Schmidt. Viele Grüße von hier aus nochmal an Felix. Dann gibt es mit Schirm, Charme und Sensoren einen IoT-Podcast City Transformers mit Franz Reinhardt Habbel und Michael Lobeck. Es gibt den Podcast der Ehrenbehörde, es gibt den Podcast Be Safe, Not Sorry und es gibt Tech Weekly vom Bitkom.
Also ein cooles Line-Up und ich überlege schon, ob ich überhaupt über den Kongress laufe und mich nicht einfach nur den ganzen Tag in diese Lounge setze, weil das sind echt coole Podcasts dabei. So, Neuerungen beim eGovernment-Podcast gibt es auch in der Kategorie Veranstaltungen. Ihr kennt vielleicht alle den Veranstaltungskalender auf eGovernment-Podcast.com. Da könnt ihr jetzt auch Veranstaltungen selbst einreichen. Da gibt es einen Link dazu.
Da könnt ihr eure Veranstaltungen, die unbedingt hier im Kalender auftauchen sollen, eintragen. Die erscheinen nicht sofort, die werden von mir noch kuratiert. Und wenn es veröffentlichenswert ist und kein Spam, werde ich diese Veranstaltung auch veröffentlichen. Und dann, wer weiß, im nächsten Monat auch in der nächsten Monatsschau mit vorlesen. Das war es soweit mit den Veranstaltungen und jetzt habe ich noch ein Thema in eigener Sache.
Ich hatte es schon angekündigt, das Thema Sponsoring und Werbung. Und ich habe mich jetzt entschieden, ich mache hier mal einen Testlauf. Und zwar wird es Werbung und Sponsoring in der Monatsschau geben. Und zwar jeweils einen Sponsor und maximal eine Midroll-Werbung, die eingespielt wird. Es gibt einen Testlauf in der Monatsschau Oktober und November und hier in den Shownotes findet ihr den Link, wo man diese Werbung oder dieses Sponsoring buchen kann.
Ich probiere das jetzt mal zwei Monate lang aus, bucht gern und ich schaue mir an, wie das Feedback dazu ist und wenn das gut funktioniert, dann machen wir im nächsten Jahr das zur Regel. Ja, das war es in eigener Sache und ich möchte mich auch noch ganz, ganz herzlich bei meinen Unterstützerinnen und Unterstützern des Podcasts bedanken, die mir jeden Monat Geld in den Hut werfen.
Und zwar sind das Heiko, Florian, André, Sascha, Michael, Nils, Kalli, Heinz, Adrian, Claudia, Richard und Jan. waren. Einige von denen haben sich Sticker bestellt. Die habe ich verstickt. Ich habe wieder einige neue, ziemlich coole Sticker. Wenn ihr mich auf Veranstaltungen seht, habe ich Sticker ganz sicher auch dabei. Spricht mich einfach an. Dann könnt ihr da auch welche bekommen. Das war's für heute. Olli, Malte, Markus, vielen Dank, dass ihr dabei wart.
Eine schöne Nord-Süd-Achse gehabt zu haben. Hat Spaß gemacht.
Super, danke.
Euch, liebe Hörerinnen und Hörer, Vielen Dank fürs Zuhören und bis zum nächsten Mal.
Tschüss.