{"id":295146,"date":"2024-05-09T00:03:00","date_gmt":"2024-05-08T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295146"},"modified":"2024-06-17T14:12:19","modified_gmt":"2024-06-17T12:12:19","slug":"nachlese-software-sicherheitslcken-in-in-deutschen-gesundheitsmtern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/09\/nachlese-software-sicherheitslcken-in-in-deutschen-gesundheitsmtern\/","title":{"rendered":"Nachlese: Software-Sicherheitslücken in Mikropro Health in deutschen Gesundheitsämtern"},"content":{"rendered":"

\"SicherheitIm November 2023 wurde ruchbar, dass es bei der in deutschen Gesundheits\u00e4mtern eingesetzten Software Mikropro Health der Mikroprojekt GmbH massive Sicherheitsl\u00fccken gibt. Das war zwar bekannt, Abhilfe war aber nicht in Sicht, Datensch\u00fctzer aus Rheinland-Pfalz gaben sich entspannt (Schwachstellen seien keine bekannt). Ein Blog-Leser hat mich die vergangenen Monate \u00fcber seine Anfragen bei Frag den Staat an die zust\u00e4ndigen Stellen informiert. Vor einigen Tagen hat der zust\u00e4ndige Minister nun die Sicherheitsl\u00fccken eingestanden. Zeit f\u00fcr eine kurze Nachlese.<\/p>\n

<\/p>\n

Software Mikropro Health in Gesundheits\u00e4mtern<\/h2>\n

\"\"Im Blog-Beitrag Cyber-Security I: Massive Sicherheitsl\u00fccken in deutschen Gesundheits\u00e4mtern \u2013 keinen interessiert es<\/a> hatte ich im November 2023 \u00fcber massive Sicherheitsl\u00fccken in den IT-Systemen, die in deutschen Gesundheits\u00e4mtern eingesetzt werden, berichtet. Der Blog-Beitrag ging auf einen Artikel von ZEIT Online (leider hinter einer Paywall) ein, der die Probleme benannte. Konkret geht es um die dort eingesetzte Software Mikropro Health<\/a>. Das ist eine Software der Mikroprojekt GmbH<\/a>, die f\u00fcr Gesundheits\u00e4mter entwickelt wurde. Laut Webseite der Firma k\u00f6nnen Gesundheits\u00e4mter mit der Software sehr brisante pers\u00f6nliche Informationen wie Medizinalkarteien des Amts\u00e4rztlichen Diensts, R\u00f6ntgen- und Tuberkuloseuntersuchungen, etc. speichern bzw. verwalten.<\/p>\n

\"Mikropro<\/p>\n

Problem am Ganzen ist, dass die Software Mikropro Health gleich mehrere Schwachstellen aufweist – attestiert durch eine Analyse der Software. So werden die Zugangsdaten eines Benutzerkontos zur Ersteinrichtung aus dem Quellcode bezogen, hie\u00df es in der Analyse, aus der ZEIT Online zitierte. Das Konto kann auf alle Daten (lesend und schreibend) zugreifen, weitere Konten erstellen und diesen umfassende Rechte zuweisen. Nur wenn der Administrator bei der Ersteinrichtung das Passwort ge\u00e4ndert hat, ist diese Schwachstelle gestopft.<\/p>\n

Die Software Mikropro Health speichere die Passw\u00f6rter der Nutzer bei bestimmten Anwendungen standardm\u00e4\u00dfig im Klartext, hei\u00dft es weiter in der Analyse, und die in Mikropro benutzte Datenbank l\u00e4sst in der Standardkonfiguration beliebige SQL-Abfragen zu. Eine \u00dcberpr\u00fcfung, ob der Nutzer \u00fcberhaupt dazu berechtigt sei, ist nicht vorgegeben. Benutzer mit Datenbankzugriff k\u00f6nnen also auf alle Daten zugreifen und diese auch \u00e4ndern oder l\u00f6schen. \u00c4ndern l\u00e4sst sich dies vom Administrator, dem aber \u00fcblicherweise die daf\u00fcr erforderlichen Kenntnissen fehlen.<\/p>\n

Weiterhin ist das Berechtigungskonzept der Software schlicht kaputt, hei\u00dft es. Denn die Fachbereiche eines Gesundheitsamts k\u00f6nnen auf die Daten aller anderen Fachbereiche zugreifen und dieses einsehen. Aufgedeckt hat es Zeit Online (Paywall) und die Redaktion von Golem hatte es aufbereitet.<\/p>\n

Von mir gab es seinerzeit zeitnah den Betrag Cyber-Security I: Massive Sicherheitsl\u00fccken in deutschen Gesundheits\u00e4mtern \u2013 keinen interessiert es<\/a>, in dem ich weitere Probleme wie \u00fcberfordertes Personal in den Gesundheits\u00e4mtern adressiert hatte. Normalerweise gehst Du als simpel denkender Mensch davon aus, dass aufgezeigte Schwachstellen umgehend zur Nachbesserung des Herstellers f\u00fchren. Ich hatte ja gerade im Beitrag Sicherheitsl\u00fccke: Festes Passwort f\u00fcr Datenbankzugriff bei EVA-Software (VW-, Audi-H\u00e4ndler)<\/a> einen Fall bei VW skizziert, der zeigt, wie man professionell mit so etwas umgeht. Die Schwachstellen sind in der VW-Software beseitigt.<\/p>\n

Im Gesundheitswesen oder zumindest im oben angerissenen Bereich der Gesundheits\u00e4mter und der Software Mikropro Health ticken die Uhren anders. Der rheinland-pf\u00e4lzische Landesdatensch\u00fctzer, Dieter Kugelmann, sah noch im November 2023, laut Zeit Online, keine Probleme. Der Beh\u00f6rde l\u00e4gen keine Hinweise zu Schwachstellen vor, l\u00e4sst er mitteilen, und hat bislang keinen Grund, datenschutzrechtliche Bedenken gegen die Digitalisierungsstrategie der Landesregierung zu \u00e4u\u00dfern.<\/p>\n

Der Landesdatenschutzbeauftragte schiebt die Verantwortung f\u00fcr die Datensicherheit auf die Kreisverwaltungen ab, da diese f\u00fcr \"die Datensicherheit verantwortlich\" <\/em>seien (was formal korrekt ist). Das Thema ist nicht auf Rheinland-Pfalz beschr\u00e4nkt, sondern betrifft auch Gesundheits\u00e4mter in anderen Bundesl\u00e4ndern.<\/p>\n

Ein Leser versucht nachzuhaken<\/h2>\n

Ich habe es bisher im Blog nicht thematisiert, weil ich das Thema nicht im Blog \"fassen konnte\" – die oben zitierten Kernaussagen waren ja im von mir verlinkten Blog-Beitrag dokumentiert. Aber ein Leser hatte mich Anfang 2024 im Hinblick auf das Thema kontaktiert. Er versuchte die oben angerissene Problematik bei Landesdatenschutzbeauftragten und beim deutschen Bundesdatenschutzbeauftragter (Beauftragter f\u00fcr Datenschutz und Informationsfreiheit, BfDI) nochmals anzubringen. Die Anfrage beim BfDI l\u00e4sst sich bei Frage den Staat abrufen<\/a>.<\/p>\n

Ministerium in Rheinland-Pfalz feiert die Digitalisierung<\/h3>\n

Das Ministerium f\u00fcr Wissenschaft und Gesundheit in Rheinland-Pfalz hatte noch Ende 2023 ein Schreiben an die Landr\u00e4te geschickt, in der die Digitalisierung des Gesundheitswesens als im Plan gefeiert wurde. Das breit verteilte Schreiben liegt mir vor. Das Rundschreiben liest sich wie \"alles erfolgreich, gehen Sie weiter, es gibt nichts zu sehen\". Geht man die Details durch, sieht das f\u00fcr mich so ganz und gar nicht gut aus, und die Integration von SPDI in Mikropro Health aus Datenschutzsicht ist aus meiner Sicht eine Katastrophe. Das K\u00fcrzel SPDI steht dabei wohl f\u00fcr \"Sozialpsychiatrische Dienste\", d.h. Daten aus diesem Bereich flie\u00dfen in die Software Mikropro Health ein, was ich angesichts oben ausgef\u00fchrter Sicherheitsm\u00e4ngel f\u00fcr fatal halte.<\/p>\n

Weitere pikante Details<\/h3>\n

Auf der Seite Frage den Staat finden sich bei der Suche nach \"Gesundheitsamt<\/a>\" eine Reihe Anfragen an Gesundheits\u00e4mter, die sich um Datensicherheit drehen – aber auch das SORMAS-System betreffen. Spannend fand ich folgende zwei Anfragen:<\/p>\n