Lilith Wittmann Profile picture
Krawallinfluencerin, “der Schwarze Block der Verwaltungsdigitalisierung”; politisch hier. 👩‍💻 @zerforschung & @bund_dev ✉️ mail@lilithwittmann.de.
4 subscribers
Nov 16 5 tweets 1 min read
Hallo @ArvatoFinance und @Experian, eure Credit Scoring API funktioniert nicht. Aber hab euren Algorithmus für euch gebackupt.
Smart wie ihr für dieselbe Adresse einfach 15 Punkte addiert, wenn man 25 Jahre älter ist. Und die 11 Punkte mehr für Frauen sind natürlich auch schlau. Image Und je nachdem wo man in Berlin wohnt, z.B. in einer Obdachlosenunterkunft oder in einem Villenviertel habt ihr dann noch einen Basisscore. Geradezu magisch wie sehr Unternehmen darauf vertrauen.
Aug 14 7 tweets 2 min read
LOL. Die Trottel von der Bundesagentur für Sprunginnovation haben ein Werbeflyer dafür geschrieben, dass Deutschland bei der Sicherheit von digitalen Wallets mutig sein soll. Image Wisst ihr noch, wer bei Wallets auch mutig war? Image
Jul 19 4 tweets 2 min read
Endlich, eine Telekom Pressemitteilung für mich. Jetzt hab ich was eigenes. Sie haben nur vergessen, dass sie über ihre Tochterfirma utiq so eine permanent ID für Werbekunden verkaufen.
Die wird natürlich nicht ganz genau so wie meine Permanent ID für euch gebildet, aber sie erfüllt den selben Zweck.
Image
Image
Jul 13 4 tweets 1 min read
Ihr wolltet es ja so. Mein neues Venture ist live. 🔥🔥🔥

Dauerhaftes Tracken von Telekom-Anschlüssen leicht gemacht: . 💃🏻🪩festnetz.cool Es ermöglicht euch auf Basis von IP-Adressen für jeden Deutschen Festnetzanschluss einige Informationen abzufragen. Image
Jul 12 31 tweets 4 min read
Die Sitzung beginnt. Mir wurde vor Beginn der Sitzung bereits mitgeteilt, dass die Antwort der Kleinen Anfrage verändert wurde und angekommen ist, dass keine Zugangshürden überwunden wurden. Die Selbstbefassung findet statt. Das Wortprotokoll wurde beschlossen.
Jun 8 7 tweets 2 min read
Ich finde das ja irgendwie schon lustig. Da schreibt man sich in den neuen #OZG Entwurf, dass es nur ein "freiwilliges" Nutzerkonto des Staats geben soll.
Vor Verabschiedung des Gesetzes implementieren Kommunen die #bundID als verpflichtendes Anmeldesystem in einigen Anträgen. Image Dabei hat noch nie jemand auch nur 5 Minuten überlegt, was für Threat Models denn eigentlich entstehen, wenn jedes Dorf auf einmal eine Anmeldung mit einem ID System des Bundes anbietet.
Ein System bei dem das @BMI_Bund versucht über Öffentlichkeitsarbeit vertrauen herzustellen.
Jun 7 6 tweets 1 min read
Oha @BMI_Bund, 1:50 bis zur Abschaltung. Das ist ein neuer Rekord. Herzlichen Glückwunsch. //cc @certbund Image 21:46 - ich habe sie wieder repariert @BMI_Bund @certbund. Wäre doch langweilig, wenn sie an einem Fußballabend nicht funktionieren würde.
May 31 7 tweets 3 min read
Bitte sagt mir, dass ihr nicht automatisch als ich angemeldet seid, wenn ihr auf diesen Link klickt 😂.
Bitte sagt mir, ich habe irgendwas übersehen oder das muss so oderso.
gbe-bund.de/gbe/isgbe.nutz…
Image Liebes @BMG_Bund @rki_de @destatis_news, so schützt ihr dann auch unsere Gesundheitsdaten in der Forschungscloud, oder? 😂
May 10 8 tweets 2 min read
Lieber @cio_bund, was macht das Zentrum für digitale Souveränität eigentlich so souverän? Eine Spurensuche. Souverän scheint zu sein, wenn das HR-System im Debug-Modus mit dem Arsch im Internet hängt. Zero-Trust und so. Image
May 2 5 tweets 1 min read
Also natürlich verhält die @Koelnmesse sich hier Scheiße - keine Frage. Und das geht alles garnicht.

Aaaber Du hast es ihnen auch relativ einfach gemacht, das zu tun. Es gibt in Deutschland einfach einen Prozess, wie man solche Risiken minimieren kann.
1. Wenn Du eine Meldung machst geht die im Zweifel nichtmal an das Unternehmen selbst, sonder nur an das @certbund und den zuständigen Datenschutzbeauftragten.

Dann ist Deine positive Intention von Beginn an Dokumentiert und das Unternehmen hat weniger Optionen, dich zu framen.
Sep 14, 2023 5 tweets 1 min read
Das Schufa/Bonify-Drama geht übrigens weiter.
Die Schufa versucht nun gegen einzelnen Medien und Menschen vorzugehen, die über die Sicherheitsprobleme bei #bonify berichtet haben.

Sie versuchen jetzt damit durchzukommen, dass der Boniversum Score kein personenbezogenes Datum ist.
Probieren also meine Argumentation, dass Boniversum eine nutzlose Wirtschaftsauskunftei ist und der Score nix aussagt vor Gericht.
Jul 22, 2023 6 tweets 2 min read
Ihr habt vielleicht von #bonify gehört. Eine Tochterfirma der Schufa, die euch eure Kreditwürdigkeit anzeigt und auch Mieterauskünfte ausstellt.
Das macht sie aber nicht nur für euch persönlich, sondern für jeden, für den ihr mal eine Kreditauskunft haben wollt.
Image
Image
Denn nachdem ihr eure Daten über das Bankident verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren.
So kam ich im zum Beispiel an Jens Spahns Boniversum-Score. Und konnte mir auch eine Mieterauskunft erstellen lassen.
Apr 24, 2023 8 tweets 2 min read
Das waren mehr als 500 - nämlich euer ganzes Active Directory - >16000 User mit Namen, E-Mails und Jobs - und das hat einige andere interessante Sicherheitslücken eröffnet.
zB Account-Takeovers von E-Mail-Adressen, bei denen Domains nicht mehr existierten. Das ganze war natürlich völlig ungeschützt im Internet verfügbar. Ohne das man irgendeine Sicherheitslücke ausnutzen musste. Image
Apr 24, 2023 8 tweets 3 min read
Erfolg der #BundID im Kontext der #Einmalzahlung200:
Seit heute ist die Einmalzahlung 2,27 Millionen mal ausbezahlt worden und es gibt laut OZG Dashboard über 2.3 Millionen BundID Accounts.
Voller Erfolg für die #BundID, würdet ihr jetzt sagen?
Naja, ich glaube nicht. Schauen wir uns mal einen Datensnapshot vom 4. April an.
An dem Tag war die Einmalzahlung knapp 2 Mio mal ausbezahlt worden.
Es gab aber weniger als 1 Mio verifizierte BundID Accounts.

Bedeutet: Weniger als die Hälfte der Menschen haben sich überhaupt mit BundID angemeldet. Image
Mar 18, 2023 6 tweets 1 min read
Lerne gerade: Für Leute die keinen Namen nach 🥔-Schema haben (also keinen Vornamen, komplexere Nachnamen, …) funktioniert die #BundID einfach nicht.

So diskriminiert ihr mit eurer Technik direkt mal einen ganzen Haufen Leute. Also das liegt natürlich daran, dass das Prinzip, das wir alle einen Vor- und Nachnamen haben müssen, shitty ist.
Wenn Du aber Deine Software auf diese Prinzipien aufbaust, dann bedeutet das halt, dass eine Menge Leute keinen Zugang zu dieser haben.
Mar 17, 2023 7 tweets 2 min read
Wenn ihr Leute dazu zwingt, eine App zu benutzen, dann werden sie wohl eure App benutzen.
Ja, das könnt ihr als Staat machen, aber dann seid ihr halt kacke.
Ich würde das jetzt nicht unbedingt als Erfolg staatlicher Digitalisierungsmaßnahmen bezeichnen.
Wobei, mit was für einer Staatsform wollen wir uns denn hier vergleichen?
Mar 15, 2023 4 tweets 1 min read
Man kann ein Rechenzentrum bauen.

Man kann aber auch 100 Zeilen Terraform schreiben.

Und das Problem wäre gelöst.
Sorry, aber den Take, das wir wegen irgendwelchem Nationalismusshit keine moderne Infrastruktur nutzen können, ist wirklich einer der bescheuertsten der letzten Jahre.
Mar 14, 2023 5 tweets 2 min read
Also ich bin ja für ein Verbot von Waffen zu Hause.

Aber there we go:
Ausweitung der Gesundheitsdatennutzung für Ermittlungsbehörden noch vor Einführung der #ePA .

Habe ich hier schon vorausgesagt:
Mar 11, 2023 6 tweets 2 min read
OK, @DieTechniker gibt ihren Apps nicht nur irreführende Namen sonder lügt auf ihrer Website sogar über den technischen Datenschutz.
tk.de/techniker/leis… Die elektronische Patientenakte ist zwar Ende-zu-Ende verschlüsselt. Ihr verfügt aber nicht nur selbst über eure Schlüssel. Das wird auch deutlich, wenn ihr z.B. andere technische Funktionen des TK-Safes anschaut.
tk.de/techniker/leis…
Mar 11, 2023 21 tweets 3 min read
Ist es wirklich so schwer zu differenzieren, was der Unterschied zwischen einer halbwegs sicheren elektronischen Patient*innen-Akte und einer sehr schlecht gemachten ePa und dem Gesundheitsdatennutzungsgesetz ist? Bei einer gut gemachten ePA würde die Datenhoheit zu 100% bei den Patient*innen liegen. Und nein, dass würde nicht Bedeuteten, dass es keinen Notfalldatensatz geben könnte, der by default freigegeben wird.