Category Archives: Open Source

Böses WhatsApp

Ein Sturm der Empörung läuft gerade über sämtliche Gruppenchats bei WhatsApp. Egal ob Freunde, Kollegen oder Freizeitclub:

“… ab morgen bin ich raus, ich schmeiß dieses böse WhatsApp runter und bin nur noch über [dazu kommen wir noch] erreichbar!”

Aber was ist passiert? Facebook hat WhatsApp und seine 450 Millionen Nutzer für 19 Milliarden Dollar gekauft. Nun kommt die große Angst, dass Facebook eifrig Werbung schaltet und fleißig mitschneidet inkl. Direktzugriff für die NSA.

Und davor? Dass WhatsApp einfach das komplette Smartphone-Adressbuch abgreift oder berüchtigt ist für seine Sicherheitslücken (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, …) hat bisher niemanden gestört.

Und jetzt? Also nichts wie raus und rüber zu … scheinbar gibt es keine andere Alternative mehr als Threema. Schlüssiges Sicherheitskonzept und dann auch noch mit Servern in der Schweiz, wo bisher auch das Schwarzgeld sicher gewesen ist. Abgesehen davon, dass man nie wissen kann, auf was für Ideen die Eidgenossen für ihren nächsten Volksentscheid kommen, ist das Problem aber ein ganz anderes.

Der große Wunsch ist die Sicherheit und die Wahrung der Privatsphäre. Threema verspricht dies durch Ende-zu-Ende-Verschlüsselung der Nachrichten. Es bedient sich dabei öffentlicher kryptographischer Algorithmen (asymmetric ECC lt. FAQ). D.h. die Funktionsweise des Algorithmus ist der Allgemeinheit frei zugänglich. Durch die im Algorithmus verwendeten individuellen Schlüssel wird sicher gestellt, dass die zu schützenden Informationen auch vertraulich bleiben. Mit anderen Worten hat jeder seine Schlüssel zum eigenen Geheimnis, aber der “Bauplan” des verwendeten Schlosses ist öffentlich. Für kryptographische Algorithmen hat sich dieses Konzept seit Jahrzehnten bewährt und durchgesetzt. Unabhängige, externe Experten haben so jederzeit Einsicht in die Algorithmen und können mögliche Sicherheitslücken oder Schwachstellen identifizieren. Die Sicherheit des jeweiligen Algorithmus wird so von der Allgemeinheit validiert, verbessert oder widerlegt. Das schafft erst das Vertrauen und garantiert den Schutz der Privatsphäre.

Zurück zu Threema, WhatsApp oder jeder anderen proprietären Software, die sicheres Messaging verspricht. Die kryptographischen Algorithmen sind in die schicke Software (App) eingebunden, die auf dem Smartphone installiert wird. Die Software an sich kann aber nicht eingesehen werden und essentielle Fragen wie, haben die Entwickler eventuell Fehler gemacht und existieren somit Sicherheitslücken oder ist gar absichtlich ein Backdoor natürlich nur zur Terrorbekämpfung eingebaut, bleiben unbeantwortet.

Und jetzt? Um wirklich sicher zu sein, dass eine sichere Messaging-App auch hält was sie verspricht, sollte genauso eingesehen werden können, wie diese programmiert ist und funktioniert. Im allgemeinen “Threema-Hype” sollte nicht übersehen werden, dass es auch ausgereifte Alternativen unter einer Freien Software bzw. Open Source Lizenz gibt, denen genau diese Idee zu Grunde liegt. Joshua Lund hat hierzu eine ausführliche Aufstellung und Vergleich verfügbarer Apps. Wer nicht so viel lesen will, sollte mal einen Blick auf surespot oder ChatSecure werfen.

Ok und am Ende braucht man ab sofort X unterschiedliche Messaging-Apps, je nach Präferenz der Kontakte? Genau, aber vielleicht sollte man dieses Mal sich erst selbst für die Lösung entscheiden, der man am meisten vertraut und nicht erst durch den Druck der Masse sich zu einer schlechten Alternative nötigen lassen. Wer wollte schon damals freiwillig WhatsApp installieren?

Ok und wie bewahrt man bei X Messaging-Apps noch den Überblick über die eigentlichen Konversationen? Das Gute an Freier Software bzw. Open Source ist, dass der zugehörige Source Code und das verwendete Kommunikationsprotokoll eingesehen werden kann. Damit ist neben der Gewährleistung der Sicherheit auch die Möglichkeit gegeben, eines Tages eine Messaging-App zu schreiben, die verschiedene Dienste in einer Benutzeroberfläche vereint.

Und zum Schluss noch mal alle:

Böses WhatsApp, hoffentlich machen wir dieses Mal alles richtig?

surespot LogoUpdate: Bei surespot (Google Play Store | Apple App Store) bin ich unter dem Benutzernamen “apfelkraut” zu erreichen. Und die Gruppenchat-Funktion sollte nicht mehr all zu lange auf sich warten lassen, also ganz ruhig.

Use of Open Source Software in Health Care Delivery – Results of a Qualitative Field Study

The article about my previous research has finally been published in the IMIA Yearbook 2013. It is meant to provide a practitioner’s perspective on the use of medical free/libre and open source software (FLOSS) in clinical routine. In this context I examined and presented the opinions and experiences of chief information officers (CIO) working at larger hospitals. The abstract reads like this:

Objectives: To assess and analyze the attitude of health IT executives towards the utilization of specialized medical Open Source software (OSS) in Germany’s and other European countries’ health care delivery.

Methods: After an initial literature review a field study was carried out based on semi-structured expert interviews. Eight German and 11 other European health IT executives were surveyed. The results were qualitatively analyzed using the grounded theory approach. Identified concepts were reviewed using SWOT analysis.

Results: In total, 13 strengths, 11 weaknesses, 3 opportunities, and 8 threats of the utilization of OSS in a clinical setting could be identified. Additionally, closely related aspects like general software procurement criteria, the overall attitude of health IT executives, users, and management towards OSS and its current and future use could as well be assessed.

Conclusions: Medical OSS is rarely used in health care delivery. In order to capitalize the unique advantages of OSS in a clinical setting, complex requirements need to be addressed. Short-comings of OSS describe an attractive breeding ground for new commercial offerings and services that need yet to be seen.

Schmuhl, H., Heinze, O., & Bergh, B. (2013). Use of Open Source Software in Health Care Delivery – Results of a Qualitative Field Study. Contribution of the EFMI LIFOSS Working Group. Yearbook of medical informatics, 8(1), 107–13.

The full text article available via: Apfelkraut.org | PubMed | Schattauer

I am looking forward to your feedback!

Zu unserer Sicherheit

Es fehlen einem erst mal die Worte, nachdem man das ZDF Interview (YouTube, Tran­skript) von Bierdimpfl CSU-Politiker und “Innenminister” Hans-Peter Friedrich vom 12.07.2013 gesehen hat. Ihm scheint auch nicht ganz wohl bei der Sache zu sein. Trotzdem sollen an dieser Stelle – zu unserer Sicherheit – ein paar Informationen im Kontext des “Überwachungsskandals” zusammengetragen werden und wie wir uns selbst schützen können:

PRISM Logo
PRISM Logo, welches stark an ein Schallplattencover erinnern. Man könnte es auch “The Dark Side of the Earth” nennen.

Auch wenn das Überwachungsprogramm PRISM in aller Munde ist, ist es nur eines von vielen. Da wären noch Tempora, Fairview, Stormbrew, Blarney, Oakstar, … Eine kommentierte ausführliche Übersicht gibt es bei Netzpolitik.org. Heise Online hat ebenfalls eine Zusammenfassung.

Nach einem Bericht der Monterey Herald hat die U.S. Army in ihrem Netzwerk, also für sämtliche Mitarbeiter weltweit, den Zugriff auf die Webseiten des Guardians blockiert, nachdem dort die ersten Berichte zu PRISM veröffentlicht wurden. “Netzwerk-Hygiene” nennt sich das. (via Heise Online)

Continue reading

Towards Open Collaborative Health Informatics – The Role of Free/Libre Open Source Principles

A general overview article about free/libre and open source software in the context of health care to which I strongly contributed as co-author has recently been published in the IMIA Yearbook 2011. The abstract reads like this:

Objectives: To analyze the contribution of Free/Libre Open Source Software in health care (FLOSS-HC) and to give perspectives for future developments.

Methods: The paper summarizes FLOSS-related trends in health care as anticipated by members of the IMIA Open Source Working Group. Data were obtained through literature review and personal experience and observations of the authors in the last two decades. A status quo is given by a frequency analysis of the database of Medfloss.org, one of the world’s largest platforms dedicated to FLOSS-HC. The authors discuss current problems in the field of health care and finally give a prospective roadmap, a projection of the potential influences of FLOSS in health care.

Results: FLOSS-HC already exists for more than 2 decades. Several projects have shown that FLOSS may produce highly competitive alternatives to proprietary solutions that are at least equivalent in usability and have a better total cost of ownership ratio. The Medfloss.org database currently lists 221 projects of diverse application types.

Conclusions: FLOSS principles hold a great potential for addressing several of the most critical problems in health care IT. The authors argue that an ecosystem perspective is relevant and that FLOSS principles are best suited to create health IT systems that are able to evolve over time as medical knowledge, technologies, insights, workflows etc. continuously change. All these factors that inherently influence the development of health IT systems are changing at an ever growing pace. Traditional models of software engineering are not able to follow these changes and provide up-to-date systems for an acceptable cost/value ratio. To allow FLOSS to positively influence Health IT in the future a “FLOSS-friendly” environment has to be provided. Policy makers should resolve uncertainties in the legal framework that disfavor FLOSS. Certification procedures should be specified in a way that they do not raise additional barriers for FLOSS.

Karopka, T., Schmuhl, H., Marcelo, A., Molin, J. D., & Wright, G. (2011). Towards Open Collaborative Health Informatics – The Role of Free/Libre Open Source Principles. Contribution of the IMIA Open Source Health Informatics Working Group. Yearbook of medical informatics, 6(1), 63–72.

The full text article available via: Apfelkraut.org | PubMed | Schattauer

I am looking forward to your feedback!