"Wir sehen es als Vorteil nicht vom Fach zu sein, in der Verwaltung. Sondern Generalisten!"
Und damit Guten Morgen zur #ozg Themenfeld-Konferenz Bildung!
"Wie Sie den Medien entnehmen konnten, haben sich Externe das digitale Schulzeugnis angeschaut.
Und da Sicherheitsprobleme gefunden, die kucken wir uns an, aber wir wollen auch sagen, weil wir ja was für langfristig bauen, hängen wir nicht an Technologien oder Produkten".
Jetzt gibt es 3 Vorträge:
- UX-Strategie im Themenfeld Bildung (Capgemini)
- UP Berufsausbildung - Statusbericht (Capgemini)
- XBildung und europäische Standards (init AG)
Na dann viel Spaß bei der digitalen Vertriebskaffeefahrt der Beratungsunternehmen der Bundesverwaltung.
"Den Bereich #SSI überspringen wir jetzt erstmal und beantworten aufgrund der fortgeschrittenen Zeit erstmal Fragen"
Erste Frage
- "Können wir Schul-ID nicht einfach auch für das Onboarding in Hochschul-IT benutzen. Dann müssen wir keinen Onlineformularen mehr vertrauen."
🤦🏻♀️🤦🏻♀️🤦🏻♀️
Wer hat der Verwaltung nur diesen Floh ins Ohr gesetzt, dass es super wichtig ist, eine gemeinsame digitale Identität auf den verschiedensten Systemen auf absurden "Vertrauensniveaus" zu haben?
"Die Hochschulen wollten unbedingt einen #eid server anbinden, damit wir Leute schon vor ihre Immatrikulation ganz sicher identifizieren können."
Warum?
"OK jetzt doch nochmal als Anregung: Mit #eidas werden walletbasierte Systeme ja irgendwann mal Pflicht.
Wenn man sein Wallet mal verliert, wie kann man dann seine Dokumente wiederbekommen? Per Login des Bundes?"
"Und dann will ich heute auch noch über Wallet reden - weil das machen ja gerade alle. Deshalb mach ich das auch und sage ein bisschen was dazu."
"Ja rechtlich gesehen können wir ab 7 Jahre den Kindern ihr Zeugnis in ihrem Account hinterlegen."
"Smart-eID klingt spannend, aber lassen wir das jetzt einfach mal wirken…
Es wird ein Ausweisen ohne Ausweiskarte möglich. Seit Montag läuft eine Pilotierung. Leider mit einem einzigen funktionierenden Gerät - dem Samsung S20…"
"Neben der Hardware Variante der Smart eID soll es auch eine Softwarevariante geben. Mit der Softwareversion will man die Nutzerfreundlichkeit erhöhen. Die Softwareversion kann aber nur Vertrauensniveau substanziell.
"
"Digital Wallet, ein neuer Hype.
Will ich nicht so tief einsteigen - da sind noch viele Fragen offen.
Sie haben ja von der gescheiterten Führerscheinapp gehört. Das lag aber nicht an der Qualität der Wallet sondern an der Infrastruktur."
Oh nette Lügen mal wieder.
"Könnten Wallets sinnvoll sein? Ich sage mal Jein.
Für Kleinstnachweise vielleicht sinnvoll - sowas wie Angelschein.
Ich habe da noch Bauchschmerzen mit sowas wie Reisepass oder Zeugnisse."
"Was passiert bei Datenverlust.
Das mit Blockchain ist teuer und noch nicht ausgereift. Haben die Diskussion zu Schulzeugnissen ja mitbekommen. #ssi kann problematisch werden. Müssen wirklich alle Daten digital geführt werden?
Bei ner Wallet gibt es noch viel zu klären."
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Also natürlich verhält die @Koelnmesse sich hier Scheiße - keine Frage. Und das geht alles garnicht.
Aaaber Du hast es ihnen auch relativ einfach gemacht, das zu tun. Es gibt in Deutschland einfach einen Prozess, wie man solche Risiken minimieren kann.
1. Wenn Du eine Meldung machst geht die im Zweifel nichtmal an das Unternehmen selbst, sonder nur an das @certbund und den zuständigen Datenschutzbeauftragten.
Dann ist Deine positive Intention von Beginn an Dokumentiert und das Unternehmen hat weniger Optionen, dich zu framen.
@certbund 2. Anna und Arthur haltens Maul. Rede NIEMALS mit den Bullen oder der Staatsanwaltschaft in Responsible Disclosure Fällen.
Die sind idR völlig inkompetent in solchen Fällen und werden immer automatisch gegen Dich ermitteln.
Das Schufa/Bonify-Drama geht übrigens weiter.
Die Schufa versucht nun gegen einzelnen Medien und Menschen vorzugehen, die über die Sicherheitsprobleme bei #bonify berichtet haben.
Sie versuchen jetzt damit durchzukommen, dass der Boniversum Score kein personenbezogenes Datum ist.
Probieren also meine Argumentation, dass Boniversum eine nutzlose Wirtschaftsauskunftei ist und der Score nix aussagt vor Gericht.
Ansonsten geht es darum, was denn nun ein Datenleck ist und was nicht.
Aber ich freue mich, dass mal jemand vor Gericht das ausdiskutiert, was Datenleck bedeutet und wie relevant Kreditscores tatsächlich sind.
Ihr habt vielleicht von #bonify gehört. Eine Tochterfirma der Schufa, die euch eure Kreditwürdigkeit anzeigt und auch Mieterauskünfte ausstellt.
Das macht sie aber nicht nur für euch persönlich, sondern für jeden, für den ihr mal eine Kreditauskunft haben wollt.
Denn nachdem ihr eure Daten über das Bankident verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren.
So kam ich im zum Beispiel an Jens Spahns Boniversum-Score. Und konnte mir auch eine Mieterauskunft erstellen lassen.
Die Mieterauskunft kann man natürlich auch bei bonify verifizieren. Wenn ihr also mal dringend eine garantiert echte Mieterauskunft von einer #Schufa-Tochterfirma braucht… für 19,99 schreiben die euch da jeden Namen drauf.
Das waren mehr als 500 - nämlich euer ganzes Active Directory - >16000 User mit Namen, E-Mails und Jobs - und das hat einige andere interessante Sicherheitslücken eröffnet.
zB Account-Takeovers von E-Mail-Adressen, bei denen Domains nicht mehr existierten.