{"id":313962,"date":"2025-07-30T00:04:03","date_gmt":"2025-07-29T22:04:03","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313962"},"modified":"2025-08-01T09:44:42","modified_gmt":"2025-08-01T07:44:42","slug":"sicherheit-beim-zahnarzt-pvs-z1","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/30\/sicherheit-beim-zahnarzt-pvs-z1\/","title":{"rendered":"Zahnarzt Praxis-Verwaltung-System (PVS): Sicherheitsl\u00fccken beim CGM Z1 – Teil 1"},"content":{"rendered":"

\"GesundheitVon der Firma CompuGroup Medical (CGM) wird auch ein Praxis-Verwaltungssystem (PVS) f\u00fcr Zahn\u00e4rzte vertrieben. Das System ist laut Firmenaussage bei \u00fcber 7.000 Zahn\u00e4rzten im Einsatz. Eine anonym bleiben wollende Quelle informierte mich Anfang des Jahres \u00fcber potentielle Sicherheitsprobleme in dieser Software. Inzwischen hat es ein Software-Update gegeben, mit dem diese Probleme ausger\u00e4umt sein sollten. Ich fasse mal den Sachverhalt in einigen Blog-Beitr\u00e4gen zusammen.<\/p>\n

<\/p>\n

Die Zahnarzt-Software Z1<\/h2>\n

\"\"Kurz zur Einordnung: Die CompuGroup Medical<\/a> SE & Co. KGaA (CGM) ist ein b\u00f6rsennotiertes Softwareunternehmen mit Sitz in Koblenz. Die Gruppe entwickelt Software f\u00fcr das Gesundheitswesen. Dazu geh\u00f6rt auch Anwendungssoftware zur Unterst\u00fctzung \u00e4rztlicher und organisatorischer T\u00e4tigkeiten in Arztpraxen, Apotheken, medizinischen Laboratorien und Krankenh\u00e4usern. Das Unternehmen besch\u00e4ftigte 2024 nach eigenen Angaben ca. 8.700 Mitarbeiter in 19 L\u00e4ndern und vertrieb seine Produkte in 60 L\u00e4nder.<\/p>\n

\"CGM<\/a><\/p>\n

Eines dieser Systeme ist die CGM Z1 Praxis-Verwaltungssoftware f\u00fcr Zahn\u00e4rzte<\/a>, die laut Firmenaussage bei mehr als 7000 Zahn\u00e4rzten im Einsatz ist. CGM ist wohl Marktf\u00fchrer in diesem Bereich.<\/p>\n

Hinweis einer Quelle auf Probleme<\/h2>\n

\"\"Zum 10. M\u00e4rz 2025 erhielt ich eine Mail einer anonym bleiben wollenden Quelle, die f\u00fcr einen IT-Dienstleister t\u00e4tig ist. Diese schrieb mir, dass sie im Rahmen seiner T\u00e4tigkeit regelm\u00e4\u00dfig Ber\u00fchrungspunkte mit Zahnarztpraxen habe.<\/p>\n

Einer der Marktf\u00fchrer in diesem Bereich sei die Firma CompuGroup Medical, kurz CGM, u.a. b\u00f6rsennotiert. Diese biete das oben erw\u00e4hnte PVS Z1 f\u00fcr Zahn\u00e4rzte an, welches von weit mehr als 7.000 Zahn\u00e4rzten genutzt werde. Die Z1 Praxisverwaltungssoftware decke alle Vorg\u00e4nge in einer Arztpraxis \u2013 Patientenakten, Abrechnung, je nach Ausbaustufe auch Terminverwaltung, Wartezimmervorg\u00e4nge etc. pp. \u2013 ab.<\/p>\n

Setup der Software als Problemfall<\/h3>\n

Im Rahmen ihrer T\u00e4tigkeit mit dieser Software habe die Quelle einige problematische Feststellungen gemacht, gibt sie an und teilte mir ihre Beobachtungen mit. Laut Quelle vertreibt die CGM offiziell keine Installationsanleitungen f\u00fcr die Software Z1. Die Quelle vermutet, damit nur \"geschulte\" Fachpartner\/Vertriebler o.\u00e4. in der Lage sind, die Software zu installieren. Erfahrene IT-Mitarbeiter sollten aber mit der Zeit dahinter kommen, wie das Setup dieser Software in den Praxen abl\u00e4uft, schrieb die Quelle.<\/p>\n

\"Z1<\/p>\n

Es gibt einen Installer f\u00fcr die Software, die seinerseits auf einen erforderlichen MS-SQL-Server zugreift (siehe obigen Sceenshot), f\u00fcr den wiederum auf jedem System ein DSN daf\u00fcr eingerichtet sein muss. Die Quelle schrieb, dass sie mangels offizieller Installationsanweisungen und -scripte mal genauer geschaut habe, wie die Z1-Installationen, zu denen sie beruflich Zugang hatte, eingerichtet wurden.<\/p>\n

Feste Zugangsdaten im Setup<\/h3>\n

Die Quelle gibt an, dass sie erschreckenderweise festgestellt habe, dass sowohl der Superadmin sa<\/em>, als auch der Client-Nutzer z1<\/em> das immer das gleiche Passwort f\u00fcr den Zugriff auf die SQL-Datenbank haben. Das Setup der Z1-Software erwarte dies im Regelfall auch so, denn das Passwort finde sich als fester String in den Setup-Dateien.<\/p>\n

Das ist kein Problem, wenn diese Daten nach der Installation vom IT-Supporter f\u00fcr die Praxis individualisiert werden. Die Quelle schrieb, dass mit entsprechender Fachkenntnis und manuellem Aufwand es m\u00f6glich sei, diese Passw\u00f6rter abzu\u00e4ndern. Die Quelle vermutet, aus Beobachtungen in den Praxen, das dies nur in einem Bruchteil der 7000 Praxen passiert sein d\u00fcrfte.<\/p>\n

Backup der Z1-Instanzen unverschl\u00fcsselt<\/h3>\n

Ferner hat die Quelle sich ein Backup der Z1-Instanzen angeschaut. Das Backup sei im Wesentlichen eine SQL-Datei, welche als Dump alle Statements zum Wiederherstellen der Datenbank umfasst, schrieb mir die Quelle. Dabei seien nat\u00fcrlich alle Patientendaten und Diagnosen sowie alles, was irgendwie in der Datenbank steht (Stichwort Patientenakte) im Klartext enthalten. Das ist nat\u00fcrlich ein potentielles Problem, wer Zugriff auf diese Backups bekommt, dem liegen alle Patientendaten offen.<\/p>\n

Die Wiederherstellung eines Backups sein nur m\u00f6glich, schrieb die Quelle, wenn man daf\u00fcr ein Passwort von der Hotline erh\u00e4lt. Ansonsten weigert sich das Z1-Tool, eine Datensicherung einzulesen. Das Passwort lie\u00df sich auf technischen Wegen beschaffen, es ist vierstellig und recht trivial, merkt die Quelle an.<\/p>\n

Zugriff auf SQL-Server per Netzwerk<\/h3>\n

Der Schluss der Quelle war: sofern eine Person \u2013 es m\u00fcsse nicht einmal ein Angreifer sein \u2013 Zugang zu einem Netzwerk bekommt, in welchem die Z1-Software genutzt wird, ist nach seinem Verst\u00e4ndnis T\u00fcr und Tor zum Zugriff auf die SQL-Datenbank mit allen Informationen m\u00f6glich.<\/p>\n

Ein kurzer nmap-Scan reiche aus, um den MSSQL-Server zu finden, und sich an diesem mit den Standard-Zugangsdaten zu authentifizieren. Alle weiteren Passw\u00f6rter, die Z1 selbst zur allt\u00e4glichen Anmeldung vom Nutzer einfordert, sind dann nicht mehr relevant.<\/p>\n

Es h\u00e4ngt am IT-Dienstleister<\/h2>\n

Die Quelle hat mir dann noch einige \u00dcberlegungen zum Sachverhalt mitgeteilt, die ich nachfolgend mal zusammenfassen m\u00f6chte.<\/p>\n

Dienstleister erforderlich<\/h3>\n

(Zahn-)\u00c4rzte haben oft nicht die Zeit und das Fachwissen, eine solche Installation vollumf\u00e4nglich allein zu betreuen und sind daher auf die Mitwirkung eines entsprechenden Dienstleisters angewiesen. Als offizielle Partner gibt es davon in Deutschland sehr wenige.<\/p>\n

Sehr problematischer Setup-Ansatz<\/h3>\n

In jedem Fall widersprechen hart codierte Passw\u00f6rter einer guten Sicherheitspraxis. Immer wenn bei der Installation gepatzt wird, verbleiben die Standard-Passw\u00f6rter in der Installation. Wer die kennt, hat per Netzwerk Zugriff auf die Datenbank. Liegen die Daten unverschl\u00fcsselt vor, k\u00f6nnen Unbefugte alles einsehen – die in der Software abgefragten Passw\u00f6rter sind nutzlos.<\/p>\n

Gro\u00dfes Problem bei Backup\/Wiederherstellung<\/h3>\n

Auch das mehr oder weniger unverschl\u00fcsselt angefertigte Backup ist ein Problem. Unbefugte k\u00f6nnen bei Zugriff auf Backup-Dateien direkt an die Patientendaten gelangen. Der Anwender muss also besondere Ma\u00dfnahmen treffen, um angefertigte Backups vor dem Zugriff unbefugter Dritter zu sch\u00fctzen.<\/p>\n

Die Quelle wies noch auf ein weiteres Problem hin. Es gebe vor allem eine Einschr\u00e4nkung bei der Wiederherstellung. Was, wenn die Hotline im Notfall nicht erreichbar ist, weil z.B. Wochenende ist?<\/p>\n

Unerfreuliches Fazit, was tun?<\/h2>\n

Der Schluss der Quelle lautete, dass bei dem oben skizzierten Ansatz so ziemlich gegen alle Grunds\u00e4tze:<\/p>\n