{"id":288134,"date":"2023-11-11T22:04:00","date_gmt":"2023-11-11T21:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288134"},"modified":"2024-06-17T14:12:18","modified_gmt":"2024-06-17T12:12:18","slug":"cyber-security-i-massive-sicherheitslcken-in-deutschen-gesundheitsmtern-keinen-interessiert-es","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/11\/cyber-security-i-massive-sicherheitslcken-in-deutschen-gesundheitsmtern-keinen-interessiert-es\/","title":{"rendered":"Cyber-Security I: Massive Sicherheitsl&uuml;cken in deutschen Gesundheits&auml;mtern &#8211; keinen interessiert es"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>In deutschen Gesundheits\u00e4mtern gibt es massive Sicherheitsl\u00fccken in den IT-Systemen, die zwar bekannt sind, bisher aber nicht geschlossen wurden. Konkret geht es um die dort eingesetzte Software Mikropro Health. Die Verantwortlichen belieben dar\u00fcber hinweg zu sehen oder die Sicherheitsprobleme weg zu diskutieren. Auch der Landesdatenschutzbeauftragte von Rheinland-Pfalz siehe da vorerst kein Problem. Es ist also absehbar, dass es da fr\u00fcher oder sp\u00e4ter zu einem Datenskandal oder Cybervorfall kommt, von dem eventuell vertrauliche Gesundheitsdaten betroffen sind.<\/p>\n<p><!--more--><\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20240117091025\/https:\/\/www.mikroprojekt.de\/oeffentlicher-dienst\/gesundheitsamt\/mikropro-health\/\" target=\"_blank\" rel=\"nofollow noopener\">Mikropro Health<\/a> ist eine Software der <a href=\"https:\/\/www.mikroprojekt.de\/\" target=\"_blank\" rel=\"noopener\">Mikroprojekt GmbH<\/a>, die f\u00fcr Gesundheits\u00e4mter entwickelt wurde. Laut Webseite der Firma k\u00f6nnen Gesundheits\u00e4mter mit der Software sehr brisante pers\u00f6nliche Informationen wie Medizinalkarteien des Amts\u00e4rztlichen Diensts, R\u00f6ntgen- und Tuberkuloseuntersuchungen, etc. speichern bzw. verwalten.<\/p>\n<p><img decoding=\"async\" title=\"Mikropro Health \" src=\"https:\/\/i.postimg.cc\/Y0p7rRjf\/image.png\" alt=\"Mikropro Health \" \/><\/p>\n<p>Daher sollte man davon ausgehen, dass diese Software besonders gesichert ist. Diese Annahme ist aber weit gefehlt, wie die Zeit aufdeckt (Artikel hinter einer Paywall). Golem hat die Kernaussagen in <a href=\"https:\/\/www.golem.de\/news\/keiner-kuemmert-sich-darum-gesundheitsaemter-haben-wohl-massive-sicherheitsluecken-2311-179328.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> zusammen gefasst.<\/p>\n<p><a href=\"https:\/\/www.golem.de\/news\/keiner-kuemmert-sich-darum-gesundheitsaemter-haben-wohl-massive-sicherheitsluecken-2311-179328.html\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Cybersicherheit in Gesundheits\u00e4mtern\" src=\"https:\/\/i.postimg.cc\/76z1H1j6\/image.png\" alt=\"Cybersicherheit in Gesundheits\u00e4mtern\" \/><\/a><\/p>\n<p>Bei der Lekt\u00fcre des Themas kristallisieren sich gleich mehrere Problemkreise in den Gesundheits\u00e4mtern heraus, die sich zum Sicherheitsrisiko summieren.<\/p>\n<ul>\n<li>In den Kommunen, die als Tr\u00e4ger der Gesundheits\u00e4mter fungieren, fehlt schlicht das Geld und das Wissen, um die hausinterne IT sicher zu betreiben. Also werden statt IT-Fachpersonal Verwaltungsfachangestellte mit der Betreuung der IT der Gesundheits\u00e4mter betraut.<\/li>\n<li>Dieses Personal muss die in den Gesundheits\u00e4mtern eingesetzte einheitliche Plattform-Software Mikropro Health administrieren. Diese Software dient als einheitliche Datenverarbeitungsplattform, entspricht aber nicht mehr dem Stand der Technik und weist Schwachstellen auf.<\/li>\n<\/ul>\n<p>Das mit den Sicherheitsl\u00fccken hat eine externe Analyse der Software ergeben, die Mikropro Health gleich mehrere Schwachstellen attestiert. So werden die Zugangsdaten eines Benutzerkontos zur Ersteinrichtung aus dem Quellcode bezogen. Das Konto kann auf alle Daten (lesend und schreibend) zugreifen, weitere Konten erstellen und diesen umfassende Rechte zuweisen. Nur wenn der Administrator bei der Ersteinrichtung das Passwort ge\u00e4ndert hat, ist diese Schwachstelle gestopft.<\/p>\n<p>Die Software Mikropro Health speichere die Passw\u00f6rter der Nutzer bei bestimmten Anwendungen standardm\u00e4\u00dfig im Klartext, hei\u00dft es weiter in der Analyse, und die in Mikropro benutzte Datenbank l\u00e4sst in der Standardkonfiguration beliebige SQL-Abfragen zu. Eine \u00dcberpr\u00fcfung, ob der Nutzer \u00fcberhaupt dazu berechtigt sei, ist nicht vorgegeben. Benutzer mit Datenbankzugriff k\u00f6nnen also auf alle Daten zugreifen und diese auch \u00e4ndern oder l\u00f6schen. \u00c4ndern l\u00e4sst sich dies vom Administrator, dem aber \u00fcblicherweise die daf\u00fcr erforderlichen Kenntnissen fehlen.<\/p>\n<p>Weiterhin ist das Berechtigungskonzept der Software schlicht kaputt, hei\u00dft es. Denn die Fachbereiche eines Gesundheitsamts k\u00f6nnen auf die Daten aller anderen Fachbereiche zugreifen und dieses Einsehen, hei\u00dft es bei Zeit Online.<\/p>\n<p>Laut Bericht kann auch der Support des Herstellers (<a href=\"https:\/\/www.mikroprojekt.de\/\" target=\"_blank\" rel=\"noopener\">Mikroprojekt GmbH<\/a>) auf alle Daten der Gesundheits\u00e4mter zugreifen. Zur Fehlersuche werde h\u00e4ufig die \u00dcbertragung der gesamten Datenbank in unverschl\u00fcsselter Form angefordert. Aus DSGVO-Gr\u00fcnden eigentlich unzul\u00e4ssig, aber Beh\u00f6rden droht dort keinerlei Strafe.<\/p>\n<p>So ist der Datenschutzbeauftragte von Rheinland-Pfalz, wo die von Zeit Online zitierten Probleme festgestellt wurden, recht locker. Der rheinland-pf\u00e4lzische Landesdatensch\u00fctzer Dieter Kugelmann sieht laut Zeit Online keine Probleme. Der Beh\u00f6rde l\u00e4gen keine Hinweise zu Schwachstellen vor, l\u00e4sst er mitteilen, und hat bislang keinen Grund, datenschutzrechtliche Bedenken gegen die Digitalisierungsstrategie der Landesregierung zu \u00e4u\u00dfern. Der Landesdatenschutzbeauftragte schiebt die Verantwortung f\u00fcr die Datensicherheit auf die Kreisverwaltungen ab, da diese f\u00fcr <em>\"die Datensicherheit verantwortlich\" <\/em>seien.<\/p>\n<p>Das Thema ist nicht auf Rheinland-Pfalz beschr\u00e4nkt, sondern betrifft auch Gesundheits\u00e4mter in anderen Bundesl\u00e4ndern. Zeit Online schreibt, dass die eingesetzte Technik veraltet sei und die Verantwortlichen vor Sicherheitsl\u00fccken gewarnt worden waren. \"Sie wussten von ihnen \u2013 und \u00e4nderten dennoch nichts an ihren Pl\u00e4nen\", hei\u00dft es.<\/p>\n<p><strong>Artikelreihe:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/11\/cyber-security-i-massive-sicherheitslcken-in-deutschen-gesundheitsmtern-keinen-interessiert-es\/\">Cyber-Security I: Massive Sicherheitsl\u00fccken in deutschen Gesundheits\u00e4mtern \u2013 keinen interessiert es<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/12\/cyber-security-ii-it-planungsrat-empfiehlt-kommunal-it-von-nis-2-richtlinie-auszunehmen\/\">Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a><\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/10\/30\/stillstand-nach-cyberangriffen-auf-kommunen-in-sdwestfalen-und-parkhuser-in-osnabrck\/\">Stillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/06\/cyberangriff-auf-sdwestfalen-it-trifft-mindestens-103-kommunen\/\">Cyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/10\/neues-zum-cyberangriff-auf-sdwestfalen-it\/\">Neues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In deutschen Gesundheits\u00e4mtern gibt es massive Sicherheitsl\u00fccken in den IT-Systemen, die zwar bekannt sind, bisher aber nicht geschlossen wurden. Konkret geht es um die dort eingesetzte Software Mikropro Health. Die Verantwortlichen belieben dar\u00fcber hinweg zu sehen oder die Sicherheitsprobleme weg &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/11\/cyber-security-i-massive-sicherheitslcken-in-deutschen-gesundheitsmtern-keinen-interessiert-es\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-288134","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=288134"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288134\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=288134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=288134"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=288134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}