Vor einiger Zeit hat mir meine Krankenkasse ein Schreiben geschickt in dem Sie mich um ein Passfoto fuer die neue elektronische Gesundheitskarte(gEK) bat. Da ich mich zu dem Zeitpunkt noch nicht wirklich informiert gefuehlt habe, wurde der Brief von mir so ziemlich ignoriert. Eben habe ich die zweite Aufforderung aus dem Briefkasten gefischt. In diesem Schreiben bezieht sich die Krankenkasse auf §284 SGB V in Verbindung mit §291 SGB V und schreibt:

Der Gesetzgeber gibt vor, dass die elektronische Gesundheitskarte mit einem Bild des Versicherten […] versehen wird

Soweit so doof.

Ein kurzes ueberfliegen der Gesetze(bin da doch ein ziemlicher Laie) brachte mich dann aber zu dem Schluss das ich nicht dazu verpflichtet bin mein Foto an die Krankenkasse zu uebermitteln. Habe ich das richtig verstanden? Der Gesetzgeber schreibt lediglich den gesetzlichen Krankenkassen vor ein Foto von mir anzufordern und das der eGK mit einem Bild versehen werden muss. Das Gesetz schreibt mir als Buergern aber nicht vor dieser Bitte auch nachzukommen. Niemand in diesem Land kann mich dazu zwingen ein Foto an ein privates Unternehmen abzugeben. Besonders nicht dann, wenn das Foto

in digitaler Form bei der Krankenkasse verbleibt

Laut dem CCC waere das unzulaessig

Zwar sieht § 291 des Sozialgesetzbuches vor, dass die Versichertenkarte ein “Lichtbild des Versicherten” enthalten soll, macht aber darueber hinaus keine Vorgaben, wie es ausgestaltet sein muss. Der Kreativitaet sind also keine Grenzen gesetzt. Ein biometrisch verwertbares Fotos, wie es beim umstrittenen elektronischen Reisepass zum Einsatz kommt, ist keinesfalls gefordert. Welche Sanktionsmoeglichkeiten die Krankenkassen haben, wenn der Versicherte kein Foto einschickt, ist fraglich.
Eine Speicherung des Fotos ueber den Zeitraum der Herstellung der Karte hinaus ist gesetzlich nicht vorgeschrieben und damit unzulaessig.

Bitte kommt mir jetzt nicht mit dem Stammtischtotschlagargument - ja aber bei Facebook postest du ja auch tausenden Fotos - nein tu ich nicht!

Die Spitze des Gesundheitseisbergs

Das Foto an sich ist ja nur die Spitze des Gesundheitseisbergs. Ich finde die eGK mehr als bedenklich. Es werden im Moment zentrale Datenbanken aufgebaut und befuellt. Auf diese Datenbanken kann jeder Arzt und sogar Krankenhausmitarbeiter zugreifen. Diese Daten sind natuerlich auch nicht gegen die Manipulation Dritter geschuetzt. Wie auch? Es sind doch manipulierbare Bits und Bytes.

Weder sind die Lesegeraete fuer die Karten oder die Karten selbst schon vom BSI zertifiziert (wie es zum Beispiel die Lesegeraete fuer den neuen Personalausweis sein muessen) noch gibt es im Vorfeld eine genaue Einsicht welche Daten von mir zukuenftig erhoben werden sollen und wer faktisch auf diese Daten zugreifen kann.

Außerdem sollen auf den Karten selbst

…vertrauliche personenbezogene[..] gespeichert werden können und auch werden sollen.

Es fehlt einfach die Transparenz. Dort wo es an Transparenz mangelt liegt oft viel im argen. Reduziert man alles auf das Wesentliche hat Transparenzmangel meist nur zwei Ursachen. Verheimlichen und/oder fehlende Kompetenzen im sozialen Arbeiten. Und mal ganz ehrlich, wollt ihr Menschen die euch nicht den Respekt zollen ihr Vorhaben offen zu legen, wirklich eure hoechst sensible Daten anvertrauen? Daten die ueber eure Zukunft entscheinden koennen.

Ich hab doch eh nur Schnupfen? Zukunftsfantasien ala Orwell (Light)

Die Windows Command Prompt ist im Vergleich zur Linux Bash eher ungenügend ausgestattet, oder? (mal abgesehen von der Powershell)

Es gibt dennoch den ein oder anderen Trick um das letzte bisschen aus der Windows Prompt herraus zu kitzeln. WMIC(Windows Management Instrumentation Command-line) ist dafuer das beste Beispiel. “Microsoft-like” ist es zwar unnoetig kompliziert aber sehr hilfreich.

Ich habe zu diesem Thema ein kleines Paper verfasst, welches Ihr hier herunterladen könnt: Cheat Sheets - Windows Command Line Kung Fu

Ich habe seit langem mal wieder eine Pentest Distribution auf einem Notebook installiert und dabei fiel mit netcat direkt ins Auge. Viele nette Erinnerungen kamen hoch. Mit netcat hatten wir damals echt einiges gemacht. Irgendwo fliegt bestimmt noch der IRC Client von mir und meinen damaligem Kommilitonen rum, muss ich denn mal suchen. Najut.

netcat ist ein Klassiker unter den Computerwerkzeugen - der l0phige Programmierer nannte es damals ein Multipurpose Relay. Das beschreibt es eigentlich auch schon ganz gut.

Netcat? Dafuq ist das?

Fuer alle die, die mit dem Begriff Netcat nix anfangen koennen sei nur soviel gesagt; dieses Programm verarbeitet Datenstroemen(z.B. stdin/stdout/sderr) und bildet dabei eine offene Schnittstelle zum TCP/IP Protokoll ab.(siehe Abbildung). Dabei bleibt netcat ISO/OSI treu und stellt keine Anforderungen an die zu uebertragenden Datenstroeme. In der Manpage steht passend: “The TCP/IP Swiss army knife” :) Da netcat auf einer relativ niedrigen Netzwerkebene arbeitet bietet es dem Benutzer einen großen Freiraum in der Anwendung. Ueber die Jahrzhnte hinweg hat netcat eine grosse Fangemeinde aufgebaut.

Netcat wurde im laufe der Jahre immer weiter entwickelt und es entstanden immer wieder neue Tools. Ad hoc fallen mir drei Stueck ein:

auf meinem Blog hat sich einiges getan. Grunsaetzlich bin ich erstmal auf Octopress umgestiegen. Octopress wird mit dem Slogan ”A blogging framework for hackers” beworben. Und irgendwie kommt das auch hin, ohne bisschen hacken kommt man hier nicht weiter.

In gleicher Weise wir SSL den HTTP Web-Traffic in HTTPS-verschlüsselten Web-Traffic wandelt, wandelt auch DNSCrypt den regulären DNS-Verkehr in verschlüsselte DNS-Verkehr. Dadurch ist man wieder ein Stück sicherer vor Lauschangriffen und Man-in-the-Middle-Attacken. Das System erfordert keine Änderungen an Domain-Namen oder wie sie funktionieren, es besteht einfach aus einem Verfahren zur sicheren Verschlüsselung von Kommunikation zwischen Client und DNS-Servern.

Das Projekt haben wird dem DNS Anbieter openDNS zu verdanken ist. Es befinden sich derzeit noch im Beta Status und wird hauptsächlich für die eigene Infrastruktur und Kunden entwickelt. Das beste an der ganzen Sache: Der Quellecode ist offen und auf Github verfügbar. Ich habe das Programm mit den openDNS Servern testen können und wollte euch eine kleine Visualisierung des nicht Traffics vorenthalten. Die erste Abbildung zeigt eine Standardquery für loewenherz.geekhost.de. an die öffentlichen Google DNS Server. Die zweite Abbildung zeigt das selber, aber über die openDNS Server mit DNSCrypt.

Eine wirkliche Implementation von openSSL in den Domain Name Service hat sich openDNS gespart - glücklicherweise. Stattdessen haben sie einen SSLWrapper um DNS-Client sowie um DNS-Server geschraubt. Dieser Wrapper ist also quasi ein lokaler Proxyserver der für die Verschlüsselung zuständig ist. Dadurch, das sie nicht an den in den RFCs beschriebenen Standards gebastelt haben, sollte es auch keine größeren Probleme bei der Integration in ein vorhandenes Netz geben. Nach Aussage von openDNS soll DNScrypt perfekt mit DNSSEC zusammenarbeiten. Das kann ich wegen fehlender DNSSEC-NS nicht bestätigen, aber ist durch die die layerartige Aufbauweise durchaus zu erwarten.

Sobald ich es geschafft habe eine lauffähige Version für meinen Router, der auch gleichzeitig unser DNS ist, zu kompilieren, wird der heimische DNS Traffic auch verschlüsselt.

Fazit: Geile Sache

Links:

• Introducing DNSCrypt (Preview Release)

• Client für Windows
• C# .net GUI
• Client OSX
• VSCPP Source Code
• OpenDNS auf Github