Skip to content

Vortrag über "Autopsie einer IT-Anwendung"

Es war wieder der zweite Donnerstag im Monat und alle kamen - so hatten wir zumindest den Eindruck. Es waren so rund 80 Leute da, darunter meiner Zählung nach 3 Ärzte, 2 Journalisten und mindestens ein Anwalt. Grund: Thomas Maus wiederholte heute seinen Vortrag bei uns, den er bereits beim Chaos Communication Congress 2004 in Berlin gehalten hatte zum Thema
"Autopsie einer IT-Anwendung für die elektronische Patientenakte -
Sicherheits- und Kryptoanalyse: Ein Beispiel aus der Praxis".

Thomas ist Sicherheitsanalytiker, das heisst er versucht erst einmal in Spezifikationen Löcher zu finden - und später in den sogenannten Implementationen dieser Spezifikation. Also, er schaut erst einmal "ist in der Beschreibung von dem, was erreicht werden soll, irgendwo ein Fehler, den ich finde oder gibt es Möglichkeiten, mit Hilfe dieser Spezifikation etwas anderes zu machen als erlaubt sein sollte", und später schaut er sich an, wie diese Spezifikation umgesetzt wurde. Bei dem Beispiel was er uns zeigte war ihm vom Auftraggeber explizit erlaubt worden, diese Studie teilweise zu veröffentlichen. Sehr brisant ist auch, dass dieses Projekt von der öffentlichen Hand finanziert wurde (Patientenkarte) und daher große Aufmerksamkeit haben sollte. Er erklärt auch dass das von ihm untersuchte System "nur" auf dem Stand von Mitte 2003 war - aber mit echten Patientendaten gearbeitet wurde. Zuerst dachte ich ja, er würde auf schwache Sicherheitsmechanismen abzielen und dass einfach mit alten Methoden gearbeitet würde, aber was er erklärt und erzählt hat liess eher den Schluß zu dass der Hersteller (der nicht der Auftraggeber der Analyse war) dieses Systems (er hatte für seine Tests ein Testsystem zur Verfügung gestellt bekommen) niemanden in seinem Team hat der sich mit Sicherheit und Verschlüsselung wirklich auskennt. Der Kern des Vortrags wurde dann, dass man - bei geeignetem Test - nur drei Versuche braucht um die Quasi-PIN zu raten, um an eine Patientenakte zu gelangen. Was natürlich Einbruchsversuchen Tür und Tor öffnet, besonders weil es hierbei nicht "nur" um Geld geht (das kann man verschmerzen), sondern um die Gesundheit des Patienten.

Nachdem Simon heute tatsächlich auch das neue T-Shirt mitbringen konnte hatte ich die Idee aufgrund des Schriftzuges (Wissen schafft Verantwortung) dieses gleich Thomas zu überreichen. Hier ist das Beweisfoto:

Es scheint zu wirken...

Mein Fitneßtraining scheint zu wirken: Heute habe ich nach längerer Zeit meinen Anzug wieder angehabt - und ich konnte bzw. musste sogar den Gürtel enger schnallen, damit die Hose bequem saß. Ist ein gutes Gefühl ;-)

Warteschleife mal anders

Gerade erlebt: Für eine Konferenzschaltung wurde ich kurz in die Warteschleife gelegt. Es ist nett wenn mal zur Abwechslung nicht das C64-Gedudel (oder älter) kommt, sondern N-TV-Audiokommentar vom Formel-1-Training. Selbst wenn man es nicht mag - es wird sich nicht wiederholen wie die Warteschleifenmusik.

Das Arbeitsamt und ihr neues Logo

...oder: wie verpulvert man wieder sinnlos gutes Geld, für das man bestimmt ein Jahr lang drei Leute hätte einstellen können?
Das ist einfach: Man braucht ein neues Corporate Design und demzufolge ein neues Logo. Gut dass es das Blog des Handelsblattes gibt, welches uns über das alte und das neue Logo aufklärt:



War die Agentur für Arbeit nicht genau die Agentur die viel Geld für eine neue Internetplattform ausgab die dann doch so gut wie gar nicht funktionierte? Offensichtlich wurden die damaligen Verantwortlichen nicht genug zurechtgestutzt...

Plusminus: Autos haben auch nur noch FRUs

Ich habe gerade die letzte Plusminus-Sendung geschaut und war eigentlich recht belustigt (aber nur weil ich kein Auto besitze): Autos haben quasi keine Einzelteile mehr die sich reparieren bzw. kaufen lassen, sondern nur noch Module - statt eine Schraube oder ein Plastikzahnrad gibt es nur noch eine Box mit dem Vorderlicht, statt einer Zündkerze nur noch den ganzen Block.
Sowas kommt als ITler mir durchaus bekannt vor; die großen Firmen haben fast nur noch Field Replaceable Units (FRUs) die sie bei Bedarf dem Kunden schicken, damit es ausgetauscht werden kann - statt einem Ventilator, der nicht mehr dreht, gibts das gesamte Netzteil einfach was entweder ein Techniker oder der Kunde austauscht.
Aber im Gegensatz zum Auto hat der Kunde meistens dann für die Geräte einen Support-Vertrag der dann auch den Austausch dieser Einheiten beinhaltet. Der Support-Vertrag ist recht teuer, aber es gibt immerhin welche und man hat damit quasi eine Sicherheit, man weiss wieviel dieser Support kostet.

Bei Autos gibts das meines Wissens bisher nicht. Wenn man also ein Auto neu kauft sollte man gleich viel Geld auf die hohe Kante legen, falls mal ein Kleinteil ausgetauscht werden soll..

Schuhe und das Einlaufen

Ein Tipp zur guten Nacht: Richtige Schuhe beweisen sich erst, wenn man

  • Tagsüber zur Arbeit gelaufen ist
  • In diesem Schuhen quasi die ganze Zeit im Rechenzentrum gestanden hat
  • Einmal noch durch die Stadt tigert
  • Und der Rückweg per Pedes auch damit durchgeführt wird


Hat man danach keine Blasen, sind die Schuhe eingelaufen. Meine haben den letzten Teil nicht geschafft; ich habe gerade Blasen beim Rückweg bekommen. Da muss ich wohl noch etwas üben.

Das Henne und Ei-Problem mal in der IT

Ich weiss das gibt es immer wieder mal. Aber heute habe ich neuerlich erlebt wo man sowas entdecken kann.
Man nehme einen Hersteller. Dieser Hersteller verkauft ganz tolle Geräte; und natürlich auch den Service dazu. Hardware austauschen usw.
Wenn die Geräte den Hersteller verlassen weiss man dass sie funktionieren - sie wurden bereits getestet. Bevor sie beim Kunden ihre Arbeit beginnen (und der Support-Vertrag beginnt) macht ein Hersteller-Techniker noch einen Gesundheits-Check der Geräte. Erst danach wird diese Gerätschaft in die Support-Datenbank des Herstellers eingepflegt.
Klingt ja ganz sinnvoll soweit.
Aber was passiert wenn auf dem Transport oder sonst irgendwo ein Defekt auftritt? Bei uns hat ein kleines, aber nicht unwichtiges Teil ein Problem. Seit Freitag morgen ist dies auch bekannt und gesagt worden. Wie wir heute nachmittag feststellten hat der Hersteller ein Problem: Das System ist nicht in der Datenbank und deswegen kann kein Ersatzteil rausgeschickt werden...
Erst über eine große Eskalation konnte der Hersteller selbst dafür sorgen dass heute abend noch ein Ersatzteil kommt. Der Health-Check kommt dann morgen früh weil der Ingenieur inzwischen auch schon den ganzen Tag hier war....

Irgendwie ist es schön zu sehen dass die Leute auch oft nur mit Wasser kochen. Oder dass es immer noch irgendwo Fallen gibt die man finden kann ;-)

Anleitungen die zur Abwechslung mal wahr werden...

Eine Premiere bei mir; ich wollte mal Knack und Back ausprobieren und hatte gestern deswegen die Buttermilch-Brötchen gekauft. Ich hab vergessen sie in den Kühlschrank zu stellen, okay.
Die Anleitung sagt "Ziehen sie das Papier von der Rollen; die Rolle geht dann automatisch auf". das stimmt sogar" Ich hatte das Papier gerade mal zu einem Viertel abgezogen als es einen Knall gab und die Dose sich öffnete....

Ja, die Brötchen schmeckten auch gut ;-)

Erster Mai - man wird geweckt von Paukenschlägen

Heute war einer der seltenen Tage wo auch mein Körper meinte mich schlafen lassen zu wollen. Also anstatt dass ich um 8 Uhr fit wie ein Turnschuh aus dem Bett stieg pennte ich bis 10. Wow.

Leider waren dann draussen die Sambatrommler der Maidemo die mich geweckt haben. Aber bei dem Sonnenwetter kann man ihnen nicht wirklich böse sein.