Anfang Januar 2025 ist der Anbieter Solutio damit aufgefallen, dass er auf seinem Charly Praxisverwaltungssystem im Rahmen eines Updates die Fremdsoftware WizTree auf den Servern installierte. Hat einigen Staub aufgewirbelt. Nun hat Solutio vor einigen Tagen eine Stellungnahme abgegeben, was ggf. bei Update auf den Zielsystemen installiert wird. Ich greife es mal hier im Blog auf, vielleicht hat noch nicht jeder Administrator solcher Systeme das mitbekommen.
Rückblick: Plötzlich Wiztree installiert
Anfang Januar 2025 meldete sich ein Blog-Leser, der die IT einer Zahnarztpraxis als Dienstleister betreut. Ihm war aufgefallen, dass zum 8. Januar 2025 eine seltsame Software-Installation auf zwei Servern erfolgt war.
Auf diesen Servern erfolgte am 07.01.2025 zwischen 19:30 – 22:30 Uhr ein Update des zahnärztlichen PVS Systems (Solutio Charly 9.32.1). So weit so normal und kein Grund zur Beunruhigung.
Beide Server hätten dann in der Nacht um 3:01 und 3.02 Uhr die Software "Wiztree v.4.23" des Herstellers "Antibody Software" installiert, ohne dass ein Benutzereingriff erfolgte, schrieb mir der Blog-Leser. Bei Wiztree handelt es sich um einen Disk Space Analyzer des oben genannten Herstellers.
Was den Leser beunruhigte, war der Umstand, dass die Software "Wiztree v.4.23" des Herstellers "Antibody Software" im zeitlichen Rahmen eine PVS-Updates gleich auf zwei Servern aufschlug. Es gab den Verdacht, dass die Software mit dem Update des Praxisverwaltungssystems Charly auf die Windows Server gekommen sein könnte.
Zahlreiche Betroffene, Bestätigung des Herstellers
Nachdem ich den Sachverhalt im Blog-Beitrag Wiztree Software-Installation bei Praxis-Verwaltungssystem? aufgegriffen hatte, meldeten sich weitere Betroffene in den Kommentaren. Der Vorfall führte zu größeren Diskussionen unter der Leserschaft, weil die unangekündigte Installation von Fremdsoftware ein No-Go im Bereich medizinischer IT-Systeme darstellen sollte.
In diesem Kommentar hat sich die solutio GmbH & Co. KG dann geäußert und bezog Stellung zum Vorgang. Es wurde eingestanden, dass die Wiztree-Installation nur in einer technischen Dokumentation für den CharlyUpdater ab Version 9.31.6 erwähnt sei.
Wenn ich diesen Benutzerkommentar richtig verstanden habe, wurde diese Ergänzung aber erst nachträglich zur Dokumentation hinzugefügt. Kann passieren, darf aber im Umfeld von medizinischer IT eigentlich nicht passieren, da dort die für den Datenschutz Verantwortlichen eigentlich wissen müssen, was auf den Systemen an Software installiert wird und läuft und welche Daten wohin übertragen werden.
Solution passt die Dokumentation an
Über eine geschlossene Facebook Charly-Anwendergruppe habe ich die Tage mitgekommen, dass der Hersteller Solution zum 28. Januar 2025 eine Erklärung veröffentlicht hat, was bei Updates des PVS Charly noch an Fremdsoftware installiert wird.
Im Rahmen von Updates des Praxisverwaltungssystems Charly werden diverse Hilfsprogramme mit auf den Zielsystemen installiert. Neben Wiztree (zur Erfassung der Festplattenbelegung) werden auch 7zip (zum Entpacken), AWSToolS3 (Backend für den Datenaustausch in den charly-Servern), NuGet-Package (bereitstellen von AWS-Funktionalität für die PowerShell), Diskspd (Festplattengeschwindigkeit und -Zustand ermitteln) sowie Windows ADK (SO-Images generieren) auf die Systeme geschafft und verwendet.
Interessierte Nutzer können die Details in der oben verlinkten News sowie in der technischen Dokumentation von Solutio nachlesen. Das Ganze ist in meinen Augen max. ungünstig bezüglich der Information gelaufen und hinterlässt kein gutes Gefühl der Art "alle haben die Prozesse im Griff und für Datenschutz Verantwortliche können jederzeit belegen, was auf ihren Systemen passiert und welche Daten wohin fließen". Oder wie seht ihr das? Jedenfalls ist da noch Luft nach oben – wer weiß, ob ohne den initialen Blog-Beitrag überhaupt was in der Dokumentation nachgezogen worden wäre.
MVP: 2013 – 2016
Naja Hilfsprogramme werden nunmal für manche Funktionen benötig, soweit so gut, ist ja heute üblich ebenso wie man ansatt Funktionen zu proggen die man benötigt ganze Bibliotheken einbindet… nur sollte das halt ordentlich dokumentiert sein! War wohl hier nicht der Fall und das in ner "kritischen" Anwendung. Nicht so prall.
Ich sags mal so kann passieren, darf nicht passieren… bei mir gilt da die ThreeStrikes Regel… nach dem Dritten Vergehen bist du raus.
Bin aber auch nicht in der Medizin Branche und hab da keine Ahnung was für Alternativen es da gibt… wird aber sicher nicht nur eine Lösung geben, das wäre sehr unwahrscheinlich.
Naja fast, ich empfehle dem Hersteller wärmstens, sich mal einen ITSiBe/CISO zuzulegen, der sich intensiver mit diversen Themen auseinander setzt, man kann nur froh sein das einiges entweder noch in Warteschleife oder in Übergangsphase steckt.
Bei 130+ MA stehen NIS2/CRA/DSGVO/HinSchG und das neue EU Produkthaftung im Bereich Softwareentwicklung schon mal besser auf der TODO Liste, aus dem Päckchen ergibt sich dann auch ganz sicher ISO 27001/ISMS/Software-Bill-of-Material/etc…
Ich hab mir nur 30 Minuten, Internet Seite/paar Dokumentationen anschauen gegönnt, und ein Optimierungspotential nach dem Nächsten gefunden, und wenn man von außen schon soviel findet, was finde ich dann erst innen drin?
Was gut gelöst wurde ist z.b. die JRE Runtime, dort hat man einen guten Weg gefunden, im Vergleich zu dem Klassiker, das hat mich positiv überrascht, aber gut, meine Welt dreht sich auch um Rust und nicht um Java.
Was ich noch positiv hervorheben möchte, ist das der Hersteller sich im anderen Artikel dazu geäußert hat und es nun ein entsprechendes Update gibt, das hat quasi Seltenheitswert und sollte eigentlich bei allen so sein.
Denn egal welche Software, egal wie gut programmiert und nach wie vielen Normen diese entwickelt wurde, am Ende sitzen immer nur Menschen vor dem Rechner (noch^^) und da passieren nun auch mal leider Fehler. (total normal).
Bleibt dann nicht das Problem mit der Lizenzthematik? Ich meine mich zu erinnern, dass im letzten Beitrag in den Kommentaren darauf hingewiesen wurde, dass die Anwendung WizTree für den privaten Einsatz kostenlos ist, für den gewerblichen Einsatz jedoch eine Lizenz zu erwerben ist.
Jo aber die hat der Hersteller zu erwerben und wo steht das der die nicht besitzt?
Mich würde interessieren welche Lizenz bei den Installationen oben rechts im Programmfenster angezeigt wird.
Ich habe dort "Unterstützer-Lizenz – auf Lebenszeit" :-)
Wenn eine Firma augenscheinlich nichtmal in der Lage ist, eine "technische Dokumentation" DSGVO konform zu hosten, dann liegt es mutmasslich auch anderweitig im Argen.
Hallo
Wiztree ist eine eigenständige Software. Bei einem Audit muss der Zahnarzt für alle Lizenzen geradestehen. Der Arzt benötigt eine sogenannte Lizenzüberlassungserklärung von Solutio. So wird das tausendfach gelöst etwa mit der Oracle Datenbank und DMS in der Automobilindustrie.
Es gibt auch Softwarepakte die eine All Inkl. Lizenz haben… das ist abhängig was für Vereinbarungen der Hersteller mit den Software Eigentümern abgeschlossen hat.
(allerdinsg hast du recht das ist dann auch alles aufgeschlüsselt was die All Inkl. Lizenz abdeckt), sollte dann aber auch kein Problem bei einem Audit darstellen!
Was mich am neisten verwirrt an der ganzen Nummer:
Mit einem sauber gemachten Windows Installer sollte es soch problemlos möglich sein, auch völlig ohne extra "wieviel Platz ist vorhanden" und "Archive auspacken" Drittfirma Tools auszukommen und das alles sozusagen mit Bordmitteln zu erledigen?