Heute war wieder Vortragszeit beim CCCS in der Stuttgarter Wagenhalle, diesmal mit Thomas Maus, zum Thema "Autopsie einer IT-Anwendung für die elektronische Patientenakte - Sicherheits- und Kryptoanalyse: Ein Beispiel aus der Praxis".
Der Vortragende war (nicht vom Hersteller) beauftragt worden, das bereits im Probebetrieb befindliche Modell zur Übertragung einer elektronischen Patientenakte zwischen Arztpraxen unter Sicherheitsgesichtspunkten zu begutachten, also in Form einer "Blackbox"-Analyse von außen ohne Kenntnis des zugrundeliegenden Codes, anhand der Dokumentation sowie eines bereitgestellten lauffähigen Systems (1 Server, 2 Clients). Dazu hatte er nur 4 Tage Zeit - aber die Ergebnisse sind dennoch (je nach Standpunkt) atemberaubend oder deprimierend. Glücklicherweise war der Auftraggeber bereit, die öffentliche Präsentation der Feststellungen (ohne Namensnennung von Roß und Reiter) zu genehmigen.
"Autopsie einer IT-Anwendung für die elektronische Patientenakte" vollständig lesen
Ein spannendes Thema, aber leider ein enttäuschender Vortrag, zu dem heute abend der CCCS einmal wieder in die Stuttgarter Wagenhalle lud.
Das man bei diesem Thema nicht notwendig mit einer neutralen Sichtweise rechnen muß, ist ja klar und war daher nicht überraschend. Schade aber, daß nicht nur die Darstellung m.E. teilweise tendenziös war, sondern auch die Fachkenntnis des Vortragenden mit der Zeit immer zweifelhafter erschien. Ich glaube ja gerne, daß es nicht einfach ist, vom Verfassungsschutz Auskunft über gespeicherte personenbezogene Daten zu erhalten - aber der Großteil der begeistert ausgebreiteten Schwierigkeiten dürfte eher in der Unkenntnis des Anfragenden gelegen haben. Wer sich nicht nur darüber wundert, daß ein Gericht nach Klageerhebung einen Gerichtskostenvorschuß anfordert, und daher dort entsprechend nachfragt, warum er denn Geld bezahlen soll, sondern diese Frage dann auch noch dem Justizministerium stellt, hätte vermutlich besser jemanden gefragt, der sich damit auskennt.
Insofern blieb leider aus meiner Sicht auch sonst offen, auf welcher Faktenbasis die teilweise durchaus interessanten Darstellungen zu - angeblichen - tatsächlichen Vorgehensweisen des Verfassungschutzes, aber auch anderer Sicherheitsbehörden basieren. Schade eigentlich, denn der Komplex wirft auch ohne das genügend Fragen auf - so zum Beispiel, warum nicht nur Strafverfolgungsbehörden, sondern auch die Polizei für Eingriffe wie Post- und Telefonüberwachung, sei es nun repressiv oder präventiv, richterliche Anordnungen brauchen, der Verfassungsschutz aber offenbar nicht, so daß er nur parlamentarischer, nicht richterlicher Kontrolle unterliegt, über deren Effektivität ich mir wenig Illusionen mache …
Unter dem Titel "WPA und Wireless Security im heterogenen Umfeld" fand heute endlich mal wieder nach langer Zeit (Oktober vergangenen Jahres) ein Treffen der Karlsruher sage@guug statt. Und ich weiß nicht, wie’s den anderen Anwesenden ging, ich fand das Thema diesmal ungewohnt gut verständlich und praxisrelevant. Es ging nämlich nicht bzw. weniger um die theoretischen Grundlagen der Geschichte, sondern ganz praktisch darum, wie man seinen Mac (oder auch Windows-PC) authentifiziert und in ein verschlüsseltes drahtloses Netzwerk einbindet, komplett zusammen mit der Authentifizierung über RADIUS und einer Zertifikatsverwaltung.
Interessant auch die sage-Tips zum Thema "Wie lösche ich eine Festplatte, bevor ich sie an Dritte weitergeben / verkaufen / whatever kann?", "Debian vom USB-Stick booten" - letzteres von Julian Wingert sehr amüsant geschildert, der sein schriftliches HowTo dazu an die Mailingliste nachliefern wird - und "MacOS X remote updaten". Gleiches galt für die Möglichkeit, in den Räumlichkeiten des ZKM, wo die Veranstaltung stattfand, die dort ausgestellte Zuse Z22 in Augenschein zu nehmen. Schlicht beeindruckend!
Da ich diesmal motorisiert angereist war und daher nicht vergleichsweise früh den letzten Zug erreichen mußte, konnte ich mich den zwei Dutzend Zuhörern anschließen, die im Anschluß Richtung "Alter Brauhof" marschierten - eine Gelegenheit, nicht nur einige meiner Peeringpartner, bspw. aus der Gnuherde, einmal persönlich kennenzulernen, sondern auch einen Blick in Vorgänge hinter den Kulissen größerer ISPs zu erhaschen. Außerdem fand ich die Umgebung ganz angenehm und das Knoblauchrahmschnitzel gut. *g*
Nein, nicht was ihr jetzt denkt - vielmehr hat der CCCS es im Rahmen seiner allmonatlichen Vortragsreihe geschafft, einen Mitarbeiter des LKA, der u.a. mit dem Bereich der Auswertung von sichergestellten EDV-Anlagen beschäftigt ist, für einen Abend zu gewinnen.
Das Thema kam an, wie man nicht nur an den bis an den Rand gefüllten Räumlichkeiten in der Wagenhalle und auswärtigem Besuch aus Ulm und Karlsruhe ablesen konnte, sondern auch an der unermüdlichen Fragelust der Teilnehmer und der Dauer der Veranstaltung, die sich bis spät in den Abend zog. Herr Stimm, seit gut 15 Jahren in diesem Bereich tätig und der lebende Beweis dafür, daß es der Polizei nicht notwendig an EDV-Kompetenz mangeln muß, beantwortete unermüdlich und offen alle Fragen von Dialern über Kinderpornos, vom Umgang mit Großrechenanlage bis zur Vorgehensweise und der verwendeten Soft- und Hardware bei der Auswertung durch die Polizei, und berichtete Anekdotenhaftes aus seinem reichen Erfahrungsschatz, der sich nicht nur auf die Auswertung typischer PCs beschränkt.
Alles in allem ein sehr interessanter Vortrag zu einem spannenden Thema, noch deutlich besser, als ich es mir erwartet hatte.
Nachdem ich am Dienstag in Karlsruhe war, um mir etwas zum Thema "Creative Commons" anzuhören, gab’s heute hier was auf die Ohren zum Thema "Softwarepatente". Zwar weniger eine objektive Darstellung der Sachlage als ein klares Plädoyer dagegen und ein Aufruf, in diesem Sinne aktiv zu werden, nichtsdestotrotz aber ganz interessant (wenn auch am Anfang, da wohl auch auf "normales" Publikum zugeschnitten, etwas langwierig). An der Präsentation könnte man allerdings noch arbeiten; Overheadfolien brauchen eine gewisse Mindestschriftgröße. Ein Listing in - geschätzt - 10-Punkt-Schrift an die Wand zu werfen ist schlicht sinnlos. Die Location hat einen … hm … gewissen alternativen Charme und sogar eine Heizung, die allerdings zu laut war, um sie während des Vortrages zu betreiben. Dafür gab es leckeren Mozarellafladen (der allerdings in der Anfertigung etwas dauerte - vielleicht nimmt man doch lieber etwas fertiges?). Insgesamt bin ich gespannt, wie sich die Reihe entwickelt - und natürlich besonders auf den Vortrag im November, wo Framstag etwas zum Thema Spam erzählt.
Heute war mal wieder - und vielleicht vorerst zum letzten Mal? - Gelegenheit, an einem SAGE-Treffen in Karlsruhe, diesmal unter der Überschrift "Creative Commons" teilzunehmen und interessante Dinge über dieses Lizenzsystem, aber auch die Schwierigkeiten bei dessen Umsetzung in nationale Rechtsordnungen zu erfahren. Interessant auch die SageTips, insbesondere Marc Habers Kurzvortrag über die Möglichkeiten, den SSH-Zugriff via Key auf bestimmte IPs oder gar bestimmte auszuführende Kommandos zu beschränken.
Nachdem ich beim letzten SAGE-Treffen in Karlsruhe trotz des interessanten Themas leider nicht dabei sein konnte, habe ich dieses Mal dank Urlaub (ortskundig geleitet von Hardy und Wolf) die Gelegenheit gehabt und auch sehr gerne wahrgenommen, neue Einblicke zu bekommen, ein paar mehr Namen nunmehr ein Gesicht zuordnen zu können und einen Blick hinter die Kulissen eines Providers zu werfen.
"IPv6 und IPsec-VPN" vollständig lesen