Moin, die https://de.wikipedia.org/wiki/Gematik ist praktisch in öffentlicher Hand, zumindest hat sie eine zentrale Funktion bei der Bereitsstellung von Gesundheitsleistungen.
Sie bietet eine E-Rezept-App an https://play.google.com/store/apps/details?id=de.gematik.ti.erp.app https://www.gematik.de/anwendungen/e-rezept/versicherte
Was ist mich frage: Warum ist die keine Freie Software? (Wie die Corona Warn App des Bundes.)
Gruß Bernhard
On Wed, 11 May 2022, Bernhard E. Reiter wrote:
Moin, die https://de.wikipedia.org/wiki/Gematik ist praktisch in öffentlicher Hand, zumindest hat sie eine zentrale Funktion bei der Bereitsstellung von Gesundheitsleistungen.
Sie bietet eine E-Rezept-App an https://play.google.com/store/apps/details?id=de.gematik.ti.erp.app https://www.gematik.de/anwendungen/e-rezept/versicherte
Was ist mich frage: Warum ist die keine Freie Software? (Wie die Corona Warn App des Bundes.)
Wenn die Gematik in öffentlicher Hand ist, dann unterfällt sie dem IFG und man kann den Sourcecode ganz offiziell anfragen. Würde ich mal über FragDenStaat.de versuchen.
Am Mittwoch 11 Mai 2022 21:23:12 schrieb Henning Thielemann:
On Wed, 11 May 2022, Bernhard E. Reiter wrote:
die https://de.wikipedia.org/wiki/Gematik ist praktisch in öffentlicher Hand, zumindest hat sie eine zentrale Funktion bei der Bereitsstellung von Gesundheitsleistungen.
Wenn die Gematik in öffentlicher Hand ist,
Ganz sicher bin ich mir nicht. Laut Wikipedia hat der Bund allerdings 51% Anteil und damit die Kontrolle. Der https://de.wikipedia.org/wiki/Spitzenverband_Bund_der_Krankenkassen (GKV-SV) bezahlt es wohl voll und ist eine Körperschaft öffentlichen Rechts.
dann unterfällt sie dem IFG und man kann den Sourcecode ganz offiziell anfragen.
Klingt spannend. Hast du da schon ein Beispiel bei dem das geklappt hat, den Quelltext zu erfragen. Und unter welcher Lizenz gab es den dann? Uns nützt es ja nur wirklich was, wenn es als Freie Software herausgegeben würde.
Würde ich mal über FragDenStaat.de versuchen.
Meinst Du den Konjunktiv als Empfehlung oder, dass Du es bei Gelegenheit tun wirst? ;)
Gruß Bernhard
On Thu, 12 May 2022, Bernhard E. Reiter wrote:
Am Mittwoch 11 Mai 2022 21:23:12 schrieb Henning Thielemann:
dann unterfällt sie dem IFG und man kann den Sourcecode ganz offiziell anfragen.
Klingt spannend. Hast du da schon ein Beispiel bei dem das geklappt hat, den Quelltext zu erfragen. Und unter welcher Lizenz gab es den dann? Uns nützt es ja nur wirklich was, wenn es als Freie Software herausgegeben würde.
Hm ja das stimmt. Man wird wohl nur hineinschauen dürfen und nicht automatisch etwas verändern dürfen.
Würde ich mal über FragDenStaat.de versuchen.
Meinst Du den Konjunktiv als Empfehlung oder, dass Du es bei Gelegenheit tun wirst? ;)
Als Empfehlung an dich. Ich stehe aber gerne beratend zur Seite. Habe selbst gerade etliche offene Anfragen laufen und auch mehrere Untätigkeitsklagen.
Fragen kostet nichts. Einen schönen Grund zur Ablehnung wird die Gematik schon selber finden müssen, darüber musst du dir nicht auch noch den Kopf zerbrechen. :-)
Am Donnerstag 12 Mai 2022 08:48:55 schrieb Henning Thielemann:
Würde ich mal über FragDenStaat.de versuchen.
Meinst Du den Konjunktiv als Empfehlung oder, dass Du es bei Gelegenheit tun wirst? ;)
Als Empfehlung an dich. Ich stehe aber gerne beratend zur Seite. Habe selbst gerade etliche offene Anfragen laufen und auch mehrere Untätigkeitsklagen.
Fragen kostet nichts.
Doch, Zeit. Formulieren, nachverfolgen, recherchieren. Werde ich persönlich wohl nicht schaffen. Trotzdem danke für Dein Angebot!
Am Freitag 13 Mai 2022 07:29:51 schrieb Florian Snow:
und vermutlich ist die Antwort eine Mischung aus "Geschäftsgeheimnis" und "Sicherheit".
Da bist Du sarkastisch, wäre ja auch beides verkehrt. Helfen könnte auch hier nur ein politischer Prozess und Aufmerksamkeit.
Gruß, Bernhard
Hallo zusammen!
Am Wed, 11 May 2022 21:23:12 +0200 (CEST) schrieb Henning Thielemann lemming@henning-thielemann.de:
On Wed, 11 May 2022, Bernhard E. Reiter wrote:
Moin, die https://de.wikipedia.org/wiki/Gematik ist praktisch in öffentlicher Hand, zumindest hat sie eine zentrale Funktion bei der Bereitsstellung von Gesundheitsleistungen.
Sie bietet eine E-Rezept-App an https://play.google.com/store/apps/details?id=de.gematik.ti.erp.app https://www.gematik.de/anwendungen/e-rezept/versicherte
Was ist mich frage: Warum ist die keine Freie Software? (Wie die Corona Warn App des Bundes.)
Wenn die Gematik in öffentlicher Hand ist, dann unterfällt sie dem IFG und man kann den Sourcecode ganz offiziell anfragen. Würde ich mal über FragDenStaat.de versuchen.
Baut die gematik die App selbst? Oder ist das auch an Arvato Systems (ein Bertelsmann Unternehmen) outgesourced? ... https://www.arvato-systems.de/mehr/ueber-arvato-systems/referenzen/gematik
Viele Grüße ALexander
On Fri, 13 May 2022, Alexander Kulbartsch wrote:
Hallo zusammen!
Am Wed, 11 May 2022 21:23:12 +0200 (CEST) schrieb Henning Thielemann lemming@henning-thielemann.de:
On Wed, 11 May 2022, Bernhard E. Reiter wrote:
Moin, die https://de.wikipedia.org/wiki/Gematik ist praktisch in öffentlicher Hand, zumindest hat sie eine zentrale Funktion bei der Bereitsstellung von Gesundheitsleistungen.
Sie bietet eine E-Rezept-App an https://play.google.com/store/apps/details?id=de.gematik.ti.erp.app https://www.gematik.de/anwendungen/e-rezept/versicherte
Was ist mich frage: Warum ist die keine Freie Software? (Wie die Corona Warn App des Bundes.)
Wenn die Gematik in öffentlicher Hand ist, dann unterfällt sie dem IFG und man kann den Sourcecode ganz offiziell anfragen. Würde ich mal über FragDenStaat.de versuchen.
Baut die gematik die App selbst? Oder ist das auch an Arvato Systems (ein Bertelsmann Unternehmen) outgesourced? ... https://www.arvato-systems.de/mehr/ueber-arvato-systems/referenzen/gematik
Wenn sich eine Behörde zur Erfüllung ihrer Aufgaben eines Privatunternehmens bedient, dann unterfallen auch die dabei anfallenden Informationen dem IFG. Zum Beispiel hat FragDenStaat die Freigabe eines privat erstellten Gutachtens zur JVA Burg erstritten: https://fragdenstaat.de/blog/2018/jva-burg/
Hallo Bernhard,
das ist in der Tat eine spannende Frage und vermutlich ist die Antwort eine Mischung aus "Geschäftsgeheimnis" und "Sicherheit". Durch die CWA haben wir aber ein gutes Positivbeispiel zur Hand, auf das man verweisen könnte. Ich würde ebenfalls vorschlagen, mal eine Anfrage zu starten und dann kann man sehen, was passiert.
Happy hacking! Florian
On Fri, 13 May 2022, Florian Snow wrote:
Hallo Bernhard,
das ist in der Tat eine spannende Frage und vermutlich ist die Antwort eine Mischung aus "Geschäftsgeheimnis" und "Sicherheit". Durch die CWA haben wir aber ein gutes Positivbeispiel zur Hand, auf das man verweisen könnte.
Insbesondere wenn man mal die Anzahl der Negativschlagzeilen zur Sicherheit der Corona-Warn-App und der Luca-App vergleicht.
Hallo,
Am 13.05.22 um 07:29 schrieb Florian Snow:
das ist in der Tat eine spannende Frage und vermutlich ist die Antwort eine Mischung aus "Geschäftsgeheimnis" und "Sicherheit".
Zur "Sicherheit":
Wann spricht sich in Deutschland eigentlich endlich die wissenschaftliche Erkenntnis von 1883 'rum? [0]
Oder unterliegt diese Erkenntnis in Deutschland weiterhin militärischer Geheimhaltung? ;-)
Gruß Michael
[0] https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
Hallo,
Am Freitag 13 Mai 2022 10:04:02 schrieb Dr. Michael Stehmann:
Wann spricht sich in Deutschland eigentlich endlich die wissenschaftliche Erkenntnis von 1883 'rum? [0]
[0] https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
das Kerckhoffs’sche Prinzip bezieht sich auf Kryptographie, aber nicht auf ein IT-System (gemeint ist mit IT-System eine Software-Anwendung, deren Konfiguration und Betriebsstruktur).
Es ist also nicht so einfach.
Meine Kenntnis nach können Baupläne und Quelltext dazu beitragen, dass bestimmte Informationen herauskommen, die bei einem Angriff auf ein IT-System helfen können. Gleichzeitig helfen die Quelltexte und eine offene Entwicklung auch bei der Überprüfung.
Das sind schon zwei Effekte, die gegenander abgewogen werden müssen. Diese Publikation https://dl.acm.org/doi/10.1145/1188913.1188921 “Increased Security through Open Source” by Hoepman and Jacobs, January 2007, ist überzeugt, dass Offenheit langfristig die Sicherheit eines Systems erhöhen wird. Laut David A. Wheeler passt das zum "open design" Prinzip (von Saltzer und Schroeder schn 74/75 geschrieben, siehe https://dwheeler.com/oss_fs_why.html#security und https://dwheeler.com/essays/oss_software_assurance.odp
Gruß Bernhard
On Tue, 24 May 2022, Bernhard E. Reiter wrote:
Am Freitag 13 Mai 2022 10:04:02 schrieb Dr. Michael Stehmann:
Wann spricht sich in Deutschland eigentlich endlich die wissenschaftliche Erkenntnis von 1883 'rum? [0]
[0] https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
das Kerckhoffs’sche Prinzip bezieht sich auf Kryptographie, aber nicht auf ein IT-System (gemeint ist mit IT-System eine Software-Anwendung, deren Konfiguration und Betriebsstruktur).
Es ist also nicht so einfach.
Vielleicht darf man dieses Prinzip mal ein bisschen großzügiger auslegen, als ursprünglich beabsichtigt.
Ich habe mir letztens folgenden Vergleich überlegt: Wenn ich einen Ersatzschlüssel zu einem Hochsicherheitstrakt neben dem Gebäude unter einem Pflanzkübel verstecke, dann werdet ihr mir sicher zustimmen, dass das kein gutes Sicherheitskonzept ist. Ändert es jetzt was an der Sicherheit, ob man die Pläne, wo die Lage des Ersatzschlüssel eingezeichnet ist, veröffentlicht oder nicht? Es ist eigentlich egal, oder?
Anderes Beispiel: War es für die Entdeckung von Meltdown und Spectre nötig, die Schaltpläne der Intel-Prozessoren zu kennen? Offenbar nicht. Intel hat ja noch nicht einmal veröffentlicht, wie die einzelnen Prozessoroptimierungen genau funktionieren oder auch nur welche und wieviele Ausführungseinheiten ihre Prozessoren haben. Das haben Außenstehende durch Experimente herausgefunden. Siehe https://www.agner.org/optimize .
Am Dienstag 24 Mai 2022 16:52:54 schrieb Henning Thielemann:
On Tue, 24 May 2022, Bernhard E. Reiter wrote:
Am Freitag 13 Mai 2022 10:04:02 schrieb Dr. Michael Stehmann:
Wann spricht sich in Deutschland eigentlich endlich die wissenschaftliche Erkenntnis von 1883 'rum? [0]
[0] https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
das Kerckhoffs’sche Prinzip bezieht sich auf Kryptographie, aber nicht auf ein IT-System (gemeint ist mit IT-System eine Software-Anwendung, deren Konfiguration und Betriebsstruktur).
Es ist also nicht so einfach.
Vielleicht darf man dieses Prinzip mal ein bisschen großzügiger auslegen, als ursprünglich beabsichtigt.
Darf mensch probieren, ist dann aber keine "wissenschaftliche Erkenntnis" mehr, sonst müsstest Du streng sein.
Ich habe mir letztens folgenden Vergleich überlegt: Wenn ich einen Ersatzschlüssel zu einem Hochsicherheitstrakt neben dem Gebäude unter einem Pflanzkübel verstecke, dann werdet ihr mir sicher zustimmen, dass das kein gutes Sicherheitskonzept ist. Ändert es jetzt was an der Sicherheit, ob man die Pläne, wo die Lage des Ersatzschlüssel eingezeichnet ist, veröffentlicht oder nicht? Es ist eigentlich egal, oder?
Wenn Du den Ersatzschlüssel drei Meter nach Links und 4,4 Meter vor der Klinke 20 cm tief eingräbst, dann schon. Auch der Plan mit dem Kübel ändert was, es ist leichter einen Angriffpunkt zu finden, wenn ich aus der Ferne mir überlege, wie ich angreifen möchte.
Vielleicht ein wenig anders, das Beispiel: Wenn ich genaue Baupläne habe, dann könnte ich einen guten Punkt fürs Durchsprengen oder Bohren finden. Gilt übrigens auch für einen Tresor. Macht Angriffe billiger and it is all about security economics these days.
Anderes Beispiel: War es für die Entdeckung von Meltdown und Spectre nötig, die Schaltpläne der Intel-Prozessoren zu kennen? Offenbar nicht. Intel hat ja noch nicht einmal veröffentlicht, wie die einzelnen Prozessoroptimierungen genau funktionieren oder auch nur welche und wieviele Ausführungseinheiten ihre Prozessoren haben. Das haben Außenstehende durch Experimente herausgefunden. Siehe https://www.agner.org/optimize .
Die Schaltpläne hätten die Entdeckung und Verfikation beschleunigen können.
Wenn es sich nicht leicht ändern lässt (Chips sind da draußen), dann könnte die Bewertung hier sogar sein, dass die Geheimhaltung die Gesamtsicherheit erhöht. (Das ist jetzt von mir keine abschließende Bewertung, ich möchte nur zeigen, dass die Bewertung nicht so leicht ist, wie das Berufen auf ein bestimmtes Prinzip. Es braucht eine fallbezogene Sicherheitsanalyse.)
Gruß Bernhard