Sammelthread ELENA - ELektronischer EinkommensNAchweis

[(Bier)Kelle]

... aber im Grunde sieht jeder Sachbearbeiter nur das, was er auch unbedingt sehen muss.

Ist konzeptionell bei ELENA nicht anders.
Jeder Sachbearbeiter sieht die Daten, die er zur Bearbeitung benötigt.

Durch das Erfordernis, dass ich als Antragsteller die einzelnen Informationen für die jeweiligen Stellen angeben und belegen muss, habe ich eine direkte Kontrolle über das, was ich bei der jeweiligen Stelle angebe.

Da Du in Zukunft jede Datenübergabe an die zu bearbeitende Behörde freigeben musst, sehe ich da keinen Unterschied.

Jemand der im Augenblick vorsätzlich rechtswidrig so viel über mich wissen will wie hier gespeichert werdensoll, muss (gesetzt den Fall ich bin nicht arbeitslos) mindestens drei Datenbanken hacken. Für die Information über Verfehlungen an meiner Arbeitsstelle wird das im Augenblick wahrscheinlich noch nicht mal überall gehen.

In Zukunft reichen dafür die Daten aus ELENA.

Du vergisst zwei schon bestehende zentrale Speicherorte dieser Daten:
- Dein zu Hause
- Dein Arbeitgeber

Beim Arbeitgeber müssen Personalunterlagen in einem abschließbaren Metallschrank aufbewahrt werden.
Für Deinen Haushalt gibt es keine Vorschriften, wie Du Deine Daten sicherst.

Wenn also der erste Angriffsweg "Social Engeneering" nicht den gewünschten Erfolg bringt, obwohl der immer noch am erfolgreichsten ist, wo würdest Du weitermachen?
Ein lapidarer Wohnungseinbruch oder ein Angriff auf eine Bundesbehörde?

Was den Bürokratieaufwand angeht bin ich mir gar nicht so sicher, dass der wirklich geringer wird. Die Sachbearbeiter werden nun ein weiteres Programm zu händeln haben. Dieses kann ausfallen. Oder die Daten von Arbeitgebern nicht oder nur unvollständig gemeldet worden sein.

Verzögerungen bei der Datenzustellung bzw. unvollständige Daten sind kein explizites Problem eines elektronischen Systems, das kommt in den besten Häusern vor.

Ich kann mir gut vorstellen, dass die Daten auch trotzdem noch von Hand in die bestehenden Programme der Arbeitsverwaltung umgetragen werden müssen.

Reine Hypothese.
Normalerweise erscheint dann in der normalen Oberfläche ein Button "Datenübernahme aus ..." und dann sind die Felder ausgefüllt.

Dieses "Es könnte..." "Und wer weiß..." erinnert mich immer an die Geschichte der Eisenbahn.
Da gab es 18irgendwas Leute, die vor Bahnfahrten warnten, da diese exorbitant hohen Geschwindigkeiten von bis zu 50 km/h zu Geisteskrankheiten bzw. zum Tod führen könnten.

Ich will ja hier nichts schön reden, nur fehlen mir bisher einfach mal Fakten, die das System untragbar machen.

gruss kelle!

 

[Marty]

Hm, wenn doch angeblich die Daten jetzt schon alle irgendwo von irgendwem gespeichert werden, warum dann nochmal speichern? Und wenn sie tatsächlich schon irgendwo gespeichert sind, warum muss ich dann ständig bei Anträgen alle diese Information wieder mitliefern und Bescheinigungen dafür beibringen?

Warum will denn meine Krankenversicherung jedes Jahr von mir umfangreiche Daten über Familie und deren Einkommen, wenn die das alles schon gespeichert haben? Wissen die nicht, dass mein Sohn 2 Jahre alt ist und noch gar keiner abhängigen Beschäftigung nachgehen kann?

Wieso wollte der Staat für das Elterngeld von meiner Frau deren Entgeltabrechnungen sehen, wo doch meine Frau beim Staat arbeitet und genau diese Abrechnung ausstellt?

Hoffen wir mal, dass der Nichtzugriff auf die Elena-Daten genau so unzuverlässig klappt wie heute schon der Zugriff auf längst vorhandene Daten.

Jeder, der schon mal mit einem Amt zu schaffen hatte, weiß, dass die nicht mal die Daten wiederfinden, die man ihnen eine Woche vorher gegeben hat.

Marty

 

[darkkurt]

Hm, wenn doch angeblich die Daten jetzt schon alle irgendwo von irgendwem gespeichert werden, warum dann nochmal speichern? Und wenn sie tatsächlich schon irgendwo gespeichert sind, warum muss ich dann ständig bei Anträgen alle diese Information wieder mitliefern und Bescheinigungen dafür beibringen?

Weil der Sachbearbeiter keinen Zugriff drauf hat? Was er ja auch nicht muss, weil es ihn ohne Antrag auch nichts angeht. Im Idealfall gehst du in Zukunft zum Amt, steckst dein Kärtchen in den Schlitz und musst keine Belege mühsam zusammenkratzen.

Warum will denn meine Krankenversicherung jedes Jahr von mir umfangreiche Daten über Familie und deren Einkommen, wenn die das alles schon gespeichert haben? Wissen die nicht, dass mein Sohn 2 Jahre alt ist und noch gar keiner abhängigen Beschäftigung nachgehen kann?

Für so was gibt es einen schönen Begriff: Das heißt "Bürokratie" und wird sich mit ELENA auch nicht ändern. Die Daten werden erfragt, archiviert und eingelagert. In Zukunft in eine Datenbank eingegeben und dort gelagert. Einziger Unterschied: Ein Server staubt ein, kein Aktenschrank.

Wieso wollte der Staat für das Elterngeld von meiner Frau deren Entgeltabrechnungen sehen, wo doch meine Frau beim Staat arbeitet und genau diese Abrechnung ausstellt?

Er hat keinen Zugriff drauf - auch mit ELENA nicht. Erst, wenn deine Frau ihn autorisiert. Läuft jetzt ja schon so: Wenn Sie es Vorlegt, gibt Sie ihre Daten peis, weil sie etwas vom Amt will.

Hoffen wir mal, dass der Nichtzugriff auf die Elena-Daten genau so unzuverlässig klappt wie heute schon der Zugriff auf längst vorhandene Daten.

Jeder, der schon mal mit einem Amt zu schaffen hatte, weiß, dass die nicht mal die Daten wiederfinden, die man ihnen eine Woche vorher gegeben hat.

Sicherlich... Hat bei der Hartz 4-Software schon prima funktioniert...

 

[Marty]

Weil der Sachbearbeiter keinen Zugriff drauf hat? Was er ja auch nicht muss, weil es ihn ohne Antrag auch nichts angeht. Im Idealfall gehst du in Zukunft zum Amt, steckst dein Kärtchen in den Schlitz und musst keine Belege mühsam zusammenkratzen.

Also existieren die Daten heute schon. Warum speichert man sie dann nochmal, man müsste doch nur den Zugriff auf bestehende Daten lösen.

Für so was gibt es einen schönen Begriff: Das heißt "Bürokratie" und wird sich mit ELENA auch nicht ändern.

Das heisst, auch dann muss ich vermutlich alle Belege liefern, wegen der Bürokratie. Wenn es nur um die Erlaubnis zum Zugriff ginge, könnte man das heute auch schon anders lösen.

Er hat keinen Zugriff drauf - auch mit ELENA nicht. Erst, wenn deine Frau ihn autorisiert. Läuft jetzt ja schon so: Wenn Sie es Vorlegt, gibt Sie ihre Daten peis, weil sie etwas vom Amt will.

Das funktioniert heute doch auch nicht. Wenn ich der Krankenversicherung einen Brief schreibe "Sie haben meine Daten schon alle vom letzten Jahr! Ich erlaube Ihnen, diese Daten für diesen Fall zu nutzen.", dann kommt ein Brief zurück, sie müssten die jedes Jahr neu anfragen. Dann teile ich ihnen wieder Zahlen mit, die sie sowieso schon haben (auch aktuell). Wieso sollte sich da in Zukunft was ändern, nur weil die Daten in einer Zentrale liegen.

Entweder hat man die Daten heute schon, dann muss man den Zugriff regeln. Oder man hat die Daten noch nicht, dann muss man erklären, warum man sie überhaupt braucht und wo sich dadurch Sicherheitsrisiken ergeben. Aber nicht sagen, sie hätten die Daten eh schon, da wäre es doch egal.

Marty

 

[birnchen]

Hm, wenn doch angeblich die Daten jetzt schon alle irgendwo von irgendwem gespeichert werden, warum dann nochmal speichern? Und wenn sie tatsächlich schon irgendwo gespeichert sind, warum muss ich dann ständig bei Anträgen alle diese Information wieder mitliefern und Bescheinigungen dafür beibringen?

Warum muß ich bei jeder neuen Stelle mein Abizeugnis und mein Diplomzeugnis vorlegen, wo ich doch schon einen Titel habe? Ist auch alles irgendwo gespeichert und wollen die trotzdem immer wieder haben.

 

[(Bier)Kelle]

Entweder hat man die Daten heute schon, dann muss man den Zugriff regeln. Oder man hat die Daten noch nicht, dann muss man erklären, warum man sie überhaupt braucht und wo sich dadurch Sicherheitsrisiken ergeben. Aber nicht sagen, sie hätten die Daten eh schon, da wäre es doch egal.

Das mit den Daten haben habe ich aufgebracht, um den Leuten einfach mal zu zeigen, dass es heute die gleichen Gefahren bestehen,. bzw. schon seit Jahrzehnten, es da aber weder Beschwerden noch große Probleme gab.

Der Haken, wo Elena ansetzen soll, ist doch der, dass bei jeder Berechnung einer (Sozial)Leistung, die benötigten Daten neu angefragt werden (müssen), und diese für genau nur den Berechnungsfall gespeichert werden dürfen.

Und das halt mit dem Overhead, elektronische Daten zu analogisieren um sie dann wieder zu digitalisieren.

Bei Elena wird halt eine zentrale Datenbank geschaffen, aus der die Sachbearbeiter bei Bedarf und der entsprechenden Erlaubnis die benötigten Daten ziehen können.

Danach liegt dieser Teil der Daten wieder bei einer Behörde, und darf wiederum von keinem anderen angefasst werden.

Würde eine Behörde zur Berechnung des Elterngeldes für Deine Frau einfach die Gehaltsabrechnung vom AG anfordern, würde diese Behörde eklatant gegen den Datenschutz verstoßen, bzw. gegen das Recht Deiner Frau auf informationelle Selbstbestimmung.

gruss kelle!

 

[Marty]

Warum muß ich bei jeder neuen Stelle mein Abizeugnis und mein Diplomzeugnis vorlegen, wo ich doch schon einen Titel habe? Ist auch alles irgendwo gespeichert und wollen die trotzdem immer wieder haben.

Beim Staat? Der hat mein Abizeugnis gespeichert?

Würde eine Behörde zur Berechnung des Elterngeldes für Deine Frau einfach die Gehaltsabrechnung vom AG anfordern, würde diese Behörde eklatant gegen den Datenschutz verstoßen, bzw. gegen das Recht Deiner Frau auf informationelle Selbstbestimmung.

Wenn meine Frau diesem Zugriff vorher zustimmen würde? Warum?

Ob sie jetzt bei Elena zustimmt oder bei den eh schon bestehenden Datenbanken.

Marty

 

[darkkurt]

Beim Staat? Der hat mein Abizeugnis gespeichert?

Klar - Wo hast du denn sonst Abi gemacht? Geh einfach mal zu deiner Alten Schule - die haben sicherlich noch eine Akte von Dir in einem staubigen Keller liegen...

 

[(Bier)Kelle]

Ob sie jetzt bei Elena zustimmt oder bei den eh schon bestehenden Datenbanken.

Naja, Deine Frau ist immer noch ein Sonderfall als Angestellte des Landes.

Wenn man so etwas effektiv machen will, benötigt man halt eine Datenquelle für alle möglichen Leistungsempfänger.

gruss kelle!

 

[baffi]

[...]
Wenn also der erste Angriffsweg "Social Engeneering" nicht den gewünschten Erfolg bringt, obwohl der immer noch am erfolgreichsten ist, wo würdest Du weitermachen?
Ein lapidarer Wohnungseinbruch oder ein Angriff auf eine Bundesbehörde?

Der Zugriff auf elektronisch gespeicherte Daten hat den Vorteil dass man durch eine rechtswidrige Tat die Datensätze sehr sehr vieler Menschen erlangt, was sie im Endeffekt erst wertvoll macht. Ich denke daher, es wird versucht werden an diese Daten zu kommen.

Reine Hypothese.
Normalerweise erscheint dann in der normalen Oberfläche ein Button "Datenübernahme aus ..." und dann sind die Felder ausgefüllt.

So habe ich auch mal gedacht. Dann habe ich zwei Jahre in der Arbeitsverwaltung gearbeitet...

 

[(Bier)Kelle]

Der Zugriff auf elektronisch gespeicherte Daten hat den Vorteil dass man durch eine rechtswidrige Tat die Datensätze sehr sehr vieler Menschen erlangt, was sie im Endeffekt erst wertvoll macht. Ich denke daher, es wird versucht werden an diese Daten zu kommen.

Mir fehlt da gerade dass passende Szenario.
Klar, wenn ich baffi einstellen will, und vorher wissen will, ob er nen renitenter Gewerkschaftler ist oder dauernd krank feiert, dann sind die Daten für mich interessant.

Aber massenweise Daten?

Da besteht erstmal die Gefahr, dass man mehr Datenmüll als alles andere hat.

Sicherlich wären die Daten in Teilen zur Neukundengewinnung interessant, gerade was Besserverdienende angeht, so Richtung günstiges Konto, private KV...

Aber ich weiß was ich machen würde, wenn mir Bank XY schreibt:
Für Leute mit einem Netto Einkommen von 2.000 € monatlich haben wir DAS Sonderangebot.
Warum schreiben die mich an? Da muss was im argen liegen.

Spaßig wäre es dann, wenn sie nen Bestandskunden wegen Verwechslung ne Werbung als Neukunden zuschicken...

Sicherlich kann man nie einen Angriff ausschließen.
Man kann zur Gefahrenabschätzung aber auch einfach mal schauen:

Wie viele erfolgreiche Angriffe gegen zentral gehaltene Daten des Bundes, Sozialversicherungen etc. gab es bisher?

Wer kann diese Daten, gerade in Masse, sinnvoll verwenden?

Welche Gefahr besteht, wenn Daten öffentlich werden?

Allein schon das Kuddelmuddel was Marty beschreibt, zeigt doch, dass der gelebte Datenschutz zu Unverständnis führt, weil es für den Bürger umständlich wird.

So habe ich auch mal gedacht. Dann habe ich zwei Jahre in der Arbeitsverwaltung gearbeitet...

Ich glaube immer an das gute im Software Entwickler *schwör*

gruss kelle!

 

[baffi]

Ich glaube immer an das gute im Software Entwickler *schwör*

Im Entwickler? Ich auch.

Aber:

Dann kommt der Chef der Entwicklungsabteilung,

dann die Marketingabteilung,

dann der EDV-Experte des Großkunden,

und schließlich der Chef des Großkunden.

Nachdem alles, was die wollten drin ist, versagt leider oft das beste Software-Konzept...

 

[(Bier)Kelle]

Der Zugriff auf elektronisch gespeicherte Daten hat den Vorteil dass man durch eine rechtswidrige Tat die Datensätze sehr sehr vieler Menschen erlangt...

Ich habe eben mal kurz durchgerechnet...

Um so eine Datenbank aufbauen zu können, braucht man pro Arbeitnehmer einen Stammdatensatz.
Sagen wir, der einfacherheit halber, pro Datensatz 1 KiloByte.
Macht schonmal 40 GB an Daten.

Dazu braucht man pro Arbeitgeber einen Datensatz.
Keine Ahnung, wie viele wir davon in Deutschland haben.
Sagen wir mal 5 GB Daten.

Sind schonmal 45 GB an Daten, die man klauen muss, ohne dass man an die Verdienstdaten etc. gekommen ist.

Und dann musst Du pro Monat über 40 Millionen Datensätze ziehen, damit Du die ersten Daten hast.

Das ist noch ein einfaches Datenmodell, wo noch nichtmal alle Daten eines Gehaltszettels enthalten sind.

Mein Eindruck nach der Rechnerei:
Ein Datenmoloch, das sich durch die Größe selbst vor Diebstahl bewahrt.
Und wenn man dann doch die Daten hat, kostet die Hardware zum Betrieb dessen etwas mehr, als nen Aldi PC.
Und optimalerweise ist der Hacker an nen PseudoSystem geraten, was als Falle ausgestellt wurde...

gruss kelle!

 

[Marty]

Klar - Wo hast du denn sonst Abi gemacht? Geh einfach mal zu deiner Alten Schule - die haben sicherlich noch eine Akte von Dir in einem staubigen Keller liegen...

Eine Akte im Keller ist etwas anderes als eine Datenbank.

Naja, Deine Frau ist immer noch ein Sonderfall als Angestellte des Landes.

Naja, es gibt ja einige Millionen "Sonderfälle". Und wenn das mit denen schon nicht klappt (man hätte es mit denen ja völlig problemlos schon machen können), wieso sollte es dann mit allen klappen?

Mir fehlt da gerade dass passende Szenario.

Chef vom Finanzamt: Heute schreiben wir doch mal alle an, die über 8.000 Euro brutto verdienen und keine Kapitalerträge auf der Steuererklärung haben und fragen mal nach. Wer so viel verdient, legt auch Geld an.

Eine Bewerbung im öffentlichen Dienst wird dann erstmal geprüft auf Streiktage und Gewerkschaftszugehörigkeit, man will ja keine renitenten Staatsdiener.

Utopisch? Vielleicht. Unvorstellbar? Nein.

Sind schonmal 45 GB an Daten, die man klauen muss, ohne dass man an die Verdienstdaten etc. gekommen ist.

Und was sind das für Mengen, wo es heute Festplatten gibt, die locker terrabytes aufnehmen für unter 100 Euro?

Und wenn man dann doch die Daten hat, kostet die Hardware zum Betrieb dessen etwas mehr, als nen Aldi PC.

Also, bei mir läuft ein SAP-System mit Oracle-Datenbank und 100 GB Daten auf solch einem Quad-Core "Aldi-PC" mit 4 GB Ram.

Das jemand an die Daten kommt, ist unwahrscheinlich. Zumindest jemand "Externes". Aber mir reicht es schon, wenn zuviele staatliche Stellen Zugriff haben könnten. Wer garantiert mir denn, das nur mit Chipkarte ein Zugriff geht? Jeder Programmierer weiß, dass das nicht geht.

Marty

 

[(Bier)Kelle]

Naja, es gibt ja einige Millionen "Sonderfälle". Und wenn das mit denen schon nicht klappt (man hätte es mit denen ja völlig problemlos schon machen können), wieso sollte es dann mit allen klappen?

Weil die bisherigen Sonderfälle diese Option der zentralen Datenabfrage einfach nicht vorgesehen haben?

Ganz anderes Konzept eben...

Utopisch? Vielleicht. Unvorstellbar? Nein.

Beides heute schon möglich, von daher die gleiche Gefahr, nur anderer Namen.

Und was sind das für Mengen, wo es heute Festplatten gibt, die locker terrabytes aufnehmen für unter 100 Euro?

Vom Festplattenvolumen her ein Witz, ganz klar.

Es ging mir um diese Bedenken "Da kommt ein Hacker an, und kopiert sich zwischen 12 und Mittag mal die kompletten Daten."

Aber mir reicht es schon, wenn zuviele staatliche Stellen Zugriff haben könnten. Wer garantiert mir denn, das nur mit Chipkarte ein Zugriff geht? Jeder Programmierer weiß, dass das nicht geht.

Wer garantiert Dir denn, dass Deine Lohnbuchhalterin mir nicht mal nach zwei Gläsern Sekt verrät, wie viel Kohle Du verdienst?

Ich mein, mit "könnte" bekommt man jedes "System" in Frage gestellt.
Vom Spaziergang übern S*x bis hin zu kompletten Firmen.
Überall könnte was passieren.

gruss kelle!

 

[Marty]

Wer garantiert Dir denn, dass Deine Lohnbuchhalterin mir nicht mal nach zwei Gläsern Sekt verrät, wie viel Kohle Du verdienst?

Lohnbuchhalter haben wir exakt zwei. Und wieviele Menschen haben potentiell Zugriff auf Elena?

Marty

 

[(Bier)Kelle]

Und wieviele Menschen haben potentiell Zugriff auf Elena?

Sowohl legal als illegal nicht wesentlich mehr als heutzutage würde ich so schätzen.

Die Anzahl der Beamten erhöht sich ja nicht, und die Anzahl der Sachbearbeiter sollte ja eigentlich zurück gehen, von daher eher weniger in der Tendenz.

gruss kelle!

 

[DocTrax]

Danach liegt dieser Teil der Daten wieder bei einer Behörde, und darf wiederum von keinem anderen angefasst werden.

Behörden sind in der Beziehung die Unsichersten, deshalb sag ich ja: erzähl es schon mal jedem. Sogar die Liechtensteiner Banken sind sicherer und wie sicher die sind wissen wir ja.

 

[(Bier)Kelle]

Behörden sind in der Beziehung die Unsichersten...

Wie wäre es mal mit Fakten?

Wie oft wurden in den letzten 60 Jahren zentrale Datenbestände der Republik gehackt und öffentlich gemacht?

gruss kelle!

 

[DocTrax]

Wie oft wurden in den letzten 60 Jahren zentrale Datenbestände der Republik gehackt und öffentlich gemacht?

Zentrale Datenbestände sind ein Novum, man kann sich nur an dezentralen Beständen orientieren.