{"id":313982,"date":"2025-07-31T00:04:46","date_gmt":"2025-07-30T22:04:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313982"},"modified":"2025-09-29T13:45:11","modified_gmt":"2025-09-29T11:45:11","slug":"zahnarzt-praxis-verwaltung-system-pvs-sicherheitsluecken-beim-cgm-z1-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/31\/zahnarzt-praxis-verwaltung-system-pvs-sicherheitsluecken-beim-cgm-z1-teil-2\/","title":{"rendered":"Reaktionen von CGM auf Meldung der Sicherheitsl\u00fccken beim Z1-PVS \u2013 Teil 2"},"content":{"rendered":"

\"GesundheitIn Teil 1<\/a> hatte ich ja von Unzul\u00e4nglichkeiten beim Setup des von der Firma CompuGroup Medical (CGM) angebotenen Praxis-Verwaltungssystems (PVS) bei Zahn\u00e4rzten berichtet, auf welche mich eine ungenannt bleiben wollende Quelle hingewiesen hat. In Teil 2 skizziere ich, wie ich den Sachverhalt versucht habe zu kl\u00e4ren und was das Unternehmen dazu schreibt.
\n<\/p>\n

\"\"Wie bereits in Teil 1 erw\u00e4hnt, \u00e4u\u00dferte die Quelle Bedenken, durch eine Offenlegung Repressalien oder beruflichen Konsequenzen zu erleiden. Ich habe daher als Vertreter der Medien die Aufgabe \u00fcbernommen, den Fall weiter zu verfolgen.<\/p>\n

Aber wie geht man dabei vor? In manchen F\u00e4llen rufe ich direkt beim Hersteller an und bitte um eine Kontaktaufnahme der Sicherheitsverantwortlichen. Habe ich bei einer Sparkassen-Software so gehandhabt, bei der \u00e4hnliche SQL-Passwort-Probleme auftraten. Habe ich auch bei VW so gehandhabt, wo eine H\u00e4ndler-Software \u00e4hnliche Probleme zeigte.<\/p>\n

In anderen F\u00e4llen schalte ich den zust\u00e4ndigen Datenschutzbeauftragten ein. Das war bei Bauhaus nach einem Leak beispielsweise der Fall, nachdem ich bei einem Anruf bei der Zentrale nicht weiter kam.<\/p>\n

Einschaltung des LfD von Rheinland-Pfalz<\/h2>\n

Im Fall von CGM, die den Hauptsitz in Koblenz haben, beschloss ich bei der Presseabteilung des Beauftragten f\u00fcr Datenschutz und Informationssicherheit (LfD) von Rheinland-Pfalz nachzufragen, ob sie sich als Zust\u00e4ndig erachten, einen bestimmten Sachverhalt mit dem verantwortlichen Unternehmen zu kl\u00e4ren.<\/p>\n

In einer kurzen Mail vom 11. M\u00e4rz 2025 umriss ich den Sachverhalt, dass eine ungenannt bleiben wollende Quelle einige problematische Sachverhalte bei der von CGM vertriebenen Software Z1 f\u00fcr Zahn\u00e4rzte festgestellt und mit mitgeteilt habe.<\/p>\n

Erw\u00e4hnt wurde in der Mail an den LfD, dass laut meiner Quelle die Zahnarzt-Software Z1 der CompuGroup Medical in der Standard-Installation mit festen Zugangsdaten f\u00fcr die verwendete SQL-Datenbank ausgeliefert werde. Mit Kenntnis der Zugangsdaten, die sich \u00fcber die Installationsprozeduren ermitteln lassen, w\u00e4re es Dritten ein leichtes, auf die betreffenden Datenbank zuzugreifen.<\/p>\n

Das sei einerseits ein gravierendes Sicherheitsproblem, andererseits d\u00fcrfte dies auch DSGVO-relevant werden, wenn auf Patientendaten zugegriffen werden k\u00f6nnte, erw\u00e4hnte ich in der Mail. Denn die in der Zahnarztsoftware Z1 von CGM eingebauten Sicherheitsabfragen w\u00fcrden nicht mehr greifen, wenn Unbefugte auf die SQL-Datenbank Zugriff haben.<\/p>\n

Zudem erw\u00e4hnte ich, dass es sich andeutet, dass Backups der Datenbank SQL-Dumps enthalten, die nur durch triviale vierstellige PINs gesichert sind. Ich habe alles bewusst im vagen gehalten, da ich keine Kommunikation \u00fcber eine verschl\u00fcsselte Verbindung f\u00fchren konnte. Zudem gab es den Hinweis, das ich die nur Informationen nur aus einer anonymen Quelle bekommen habe, aber zu gegebener Zeit \u00fcber den Sachverhalt in meinem Blog zu berichten plane. Die R\u00fcckmeldung des LfD von Rheinland-Pfalz war, dass sie sich als Zust\u00e4ndig erachten und bei der CompuGroup Medical nachfragen.<\/p>\n

R\u00fcckmeldung mit Antwort der CGM<\/h2>\n

Es gab zum 11. und 14. M\u00e4rz 2025 zwei Kontakte mit dem LfD, wo noch Informationen nachgefragt wurden, sowie die Information, dass man von CGM eine Stellungnahme angefordert habe und um Geduld bitte. Zum 20. Mai 2025 erreichte mich eine Zwischennachricht des LfD mit den Einlassungen der CGM. Ich stelle diese Aussagen mal von mir weitgehend unkommentiert hier im Blog ein.<\/p>\n

Hinterlegte Zugangsdaten zur Datenbank<\/h3>\n

Zum Thema, dass ggf. feste Zugangsdaten f\u00fcr die Datenbank beim Setup eingerichtet werden, antwortete der LfD: Die von Ihnen bzw. Ihrer Quelle aufgestellte Behauptung, dass in der Standard-Installation des Produktes \"Z1\" bzw. \"Z1.PRO\" des Herstellers CGM die Zugangsdaten f\u00fcr die verwendete SQL-Datenbank festgelegt seien, kann ich so nicht best\u00e4tigen bzw. nachvollziehen. <\/em><\/p>\n

Der LfD formulierte diese Antwort auf Basis der Ausf\u00fchrungen der CGM. In der Antwort des LfD hie\u00df es, dass im Rahmen der Installation ein Kennwort f\u00fcr den administrativen Datenbankzugriff und ein Kennwort f\u00fcr den Z1-Datenbankzugriff erfasst werde. Die Ausgestaltung dieser Kennw\u00f6rter obliege der Person, die die Installation durchf\u00fchrt.<\/p>\n

Regelm\u00e4\u00dfig d\u00fcrfte es sich hierbei um einen im Auftrag der verantwortlichen Arztpraxis t\u00e4tigen Dienstleister handeln. Im hierf\u00fcr vorgesehenen Installationsdialog werde auf die Kritikalit\u00e4t der Kennw\u00f6rter hingewiesen und die Empfehlungen des BSI angegeben. Ein systemseitig festgelegtes oder in der Installationsdokumentation vorgegebenes Kennwort existiert nach Angaben der CGM nicht.<\/p>\n

Der Dienstleister tr\u00e4gt die Verantwortung<\/h3>\n

In der R\u00fcckmeldung wurde also der f\u00fcr die Installation verantwortliche Dienstleister in die Pflicht genommen, was erst einmal aus rechtlicher Sicht so festlegbar ist. Ob das aus sicherheitstechnischer Sicht klug ist, steht auf einem anderen Blatt.<\/p>\n

Hinsichtlich des technischen Sachverhalts, dass beim Setup ein Passwort angefragt werde, gab es allerdings eine Diskrepanz zwischen den Aussagen in der oben zitierten Stellungnahme und den Beobachtungen meiner Quelle.<\/p>\n

\"Z1<\/p>\n

Die Quelle schrieb mir, dass nach ihrer Kenntnis beim Installationspaket ein Tool dabei sei, welches die ODBC-Quelle exakt immer gleich anlegt und entsprechende (Vorgabe-)Daten erwartet (siehe Maske in obiger Abbildung, wo kein Feld zur Passwort-Vergabe zu sehen ist).<\/p>\n

Der Dienstleister k\u00f6nne nat\u00fcrlich vorab manuell die SQL-Datenbank als Datenquelle mit anderen Passw\u00f6rtern einrichten, schrieb meine Quelle. Allerdings ist die Vermutung, dass dies kein Dienstleister so handhabt. In den Praxen, in denen die Quelle\u00a0 Zugang zu den Netzwerken erhielt, war das jedenfalls nicht durchgef\u00fchrt worden, sondern die Standard-Zugangsdaten galten.<\/p>\n

Den Widerspruch konnte ich nicht aufl\u00f6sen und der LfD deutete an, dass er noch Zeit zur weiteren Kl\u00e4rung brauche. Meine Quelle widersprach den obigen Ausf\u00fchrungen und bot mir noch an, mir selbst einen \u00dcberblick zu verschaffen, indem ich mir die Setups ansehe – was ich aber aus diversen Gr\u00fcnden nicht angenommen habe. Die Beschreibungen der Quelle klangen jedenfalls plausibel und nachvollziehbar (aus Sicherheitsgr\u00fcnden lege ich hier keine Details offen).<\/p>\n

Die Quelle best\u00e4tigte aber, dass ein Dienstleister die Vorgaben f\u00fcr Benutzer und Passwort zum Zugriff auf die Datenbank (Oracle SQL oder Microsoft Access) in der Datenbank und anschlie\u00dfend in der ODBC-Datenquelle aller Clients selbst anpassen k\u00f6nne. Nur mache das halt niemand, zumindest nicht in den Praxen, in denen die Quelle Zugriff erhielt.<\/p>\n

Das Thema Verschl\u00fcsselung<\/h3>\n

Der zweite Punkt, den ich in Teil 1 sowie in der Mail an den LfD angesprochen habe, war die unverschl\u00fcsselte Speicherung der Daten in den angefertigten Backups. Hier lie\u00df mich die Antwort des LfD etwas ratlos zur\u00fcck. Denn in der Antwort hie\u00df es: Weiterhin schreiben Sie, dass keine Verschl\u00fcsselung stattfinde. Hierbei ist zwischen einer Transportverschl\u00fcsselung der Kommunikation zwischen dem Client und der Datenbank und einer Inhaltsverschl\u00fcsselung der in der Datenbank abgelegten Inhalte zu unterscheiden.<\/em><\/p>\n

Eine Transportverschl\u00fcsselung sei standardm\u00e4\u00dfig f\u00fcr alle von der Software unterst\u00fctzten und die Systemanforderungen erf\u00fcllenden Datenbanken vorgesehen, hie\u00df es. Allerdings k\u00f6nne nicht generell ausgeschlossen werden, dass in Einzelf\u00e4llen auf Seiten einer Arztpraxis veraltete Datenbankversionen im Einsatz seien, die diese Anforderungen nicht erf\u00fcllen. Solche F\u00e4lle seien der CGM allerdings nicht bekannt.<\/p>\n

Es werde nicht davon ausgegangen, dass jenseits seltener Einzelf\u00e4lle entsprechende Datenbanken noch im Einsatz sind, da Microsoft den
\nSupport dieser Datenbanken abgek\u00fcndigt habe. Seitens CGM seien zudem routinem\u00e4\u00dfig Systemkompatibilit\u00e4tschecks in die Updateroutinen der Software-Applikation integriert worden.<\/p>\n

Im Rahmen dieser Checks pr\u00fcfe das System automatisiert auch, ob die angebundene Datenbank den systemseitig vorausgesetzten Standards entspreche. Sofern das System eine veraltete Datenbank feststelle, erhalte die verantwortliche Praxis im Rahmen der Best\u00e4tigung des durchgef\u00fchrten Updatevorgangs auch einen Hinweis auf die abgelaufene Version der
\nDatenbank mit dem Hinweis, diese zu aktualisieren. Diese Meldung erscheine auf dem Bildschirm des jeweiligen Anwenders der Software-Applikationen. Mit der Aktualisierung der Datenbank auf die aktuelle Version k\u00f6nne die Transportverschl\u00fcsselung durch einen Servicetechniker aktiviert werden.<\/p>\n

Die Quelle, der ich die Information zukommen lie\u00df, merkte dazu an, dass er die Transportverschl\u00fcsselung nicht in Abrede stellen will. Bei Praxen, die der Quelle bekannt sind, wurde \"Standard\" installiert. Da sei die Transportverschl\u00fcsselung auf aktuelleren System per default aktiv, nicht aber die Inhaltsverschl\u00fcsselung. Aus der Update-Doku zu Version 2.91 sei zu entnehmen, dass nun neuerdings zwei Checks durchgef\u00fchrt werden. Auf das Update gehe ich in Teil 3 nochmals ein.<\/p>\n

Definitiv sei\u00a0 aber auch die Warnmeldung, dass diese auf dem jeweiligen System nicht aktiviert ist, neu. Die Warnmeldung erscheine w\u00e4hrend des Updates. Aussage der Quelle: \"Das ist komischerweise, ganz spontan nach der Meldung beim LfD passiert. Vorher passierte viele Jahre nichts. Meine Interpretation: Irgend etwas wurde da, durch die \u00fcber den LfD eingeleitete Kommunikation, bei CGM wohl angesto\u00dfen.<\/p>\n

Aussagen zur Inhaltsverschl\u00fcsselung<\/h3>\n

In der Antwort des LfD hie\u00df es, dass alle Versionen der\u00a0 Software\u00a0 (Z1,\u00a0 Z1.PRO) mit einer dem Stand der Technik entsprechenden Verschl\u00fcsselung\u00a0 \"at\u00a0 Rest\" der angebundenen Datenbank kompatibel seien. Die tats\u00e4chliche Verschl\u00fcsselung der Datenbank liege jedoch grunds\u00e4tzlich in der Verantwortung des Betreibers des Produkts, also der\u00a0 Arztpraxis. Entscheide diese sich, sowohl Software-Applikation, als auch\u00a0 Datenbank \u00fcber CGM zu beziehen, erhalte sie eine Installation mit verschl\u00fcsselter Datenbank.<\/p>\n

Auch die Installationsanleitung sehe die Aktivierung einer \"at Rest\" Datenbankverschl\u00fcsselung durch die Praxis\u00a0 bzw. den beauftragten Servicetechniker vor. Allerdings sei auch hier nicht auszuschlie\u00dfen, dass\u00a0 noch unverschl\u00fcsselte Datenbanken im Einsatz seien. Gr\u00fcnde hierf\u00fcr\u00a0 k\u00f6nnten eine veraltete IT-Infrastruktur, Performanceprobleme oder schlicht Unterlassung sein, auf die CGM keinen Einfluss habe. Auch hier werde im Falle einer Feststellung seitens CGM, dass unverschl\u00fcsselte Datenbanken im Einsatz sind – etwa im Rahmen von\u00a0 Service-\u00dcberpr\u00fcfungen oder Updateroutinen – dem Betreiber die Konfiguration
\neiner Datenbankverschl\u00fcsselung empfohlen.<\/p>\n

Auch hier lautete die Botschaft, die mich \u00fcber den LfD erreichte, nichts passiert, und im Grunde ist die Praxis bzw. der Betreiber verantwortlich. Die Quelle merkte dazu nur an: \"Nonsens. Die Meldung erscheint nur w\u00e4hrend des Updates, das der Anwender nicht ausf\u00fchrt, sondern aufgrund der f\u00fcr die meisten Praxen zu hohen Komplexit\u00e4t der Systembetreuer.\" Die Quelle nannte mir auch den konkreten Wortlaut:<\/p>\n

Datenbankverschl\u00fcsslung<\/p>\n

Das Z1-Update hat festgestellt, dass auf Ihrem System keine Datenbankverschl\u00fcsselung eingerichtet wurde. Microsoft empfiehlt aus Sicherheitsgr\u00fcnden die Datenbankverschl\u00fcsselung zu aktivieren. Dies kann auch noch nachtr\u00e4glich von Ihrem Techniker (Dienstleister vor Ort) vorgenommen werden, wenn Sie \u00fcber eine entsprechende SQL-Server-Version\/-Edition verf\u00fcgen. Ansonsten muss der SQL Server upgegradet werden. Bitte wenden Sie sich hierzu bitte an Ihren Techniker. Wenn die CGM Dentalsystem GmbH den technischen Service bei Ihnen vornimmt, kann mit Best\u00e4tigen von \"ja\" das Kontaktformular ge\u00f6ffnet werden, um einen Termin f\u00fcr den technischen Support zu buchen\".<\/p><\/blockquote>\n

Die Quelle schrieb, dass man am doppelten \"Bitte\" und der falschen Wort-Trennung in manchen F\u00e4llen merke, dass es mit dem Warndialog offenbar schnell gehen musste. Die Quelle war sich absolut sicher, dieses Fenster vorher noch nie gesehen zu haben. Die Warnung sei erstmalig beim Update auf Version 2.91 angezeigt worden.<\/p>\n

Absicherung der Datenbank Backups\/Dumps<\/h3>\n

In der Antwort des LfD, verfasst auf den Aussagen der CGM hie\u00df es zudem: \"Als\u00a0 letzten\u00a0 Punkt\u00a0 haben\u00a0 Sie\u00a0 noch\u00a0 angedeutet,\u00a0 dass\u00a0 Backups\u00a0 der\u00a0 Datenbank\u00a0 SQL-Dumps enthalten, die nur durch triviale vierstellige PINs gesichert seien. Hierzu liegen der CGM nach eigenen Angaben keine Kenntnisse vor.<\/p>\n

Die Software biete eine Funktion zum manuellen Export der Daten aus\u00a0 der Datenbank. Die Absicherung obliege der Person, die diesen Prozess> ansto\u00dfe. Im Rahmen eines solchen Exports erscheine ein Hinweis auf die\u00a0 Erstellung\u00a0 eines\u00a0individuellen Kennwortes, welches vom Anwender festgelegt werden k\u00f6nne.<\/p>\n

CGM habe die Anfrage des LfD jedoch zum Anlass genommen, diese Vorgehensweise in der aktuellen Version der Software Z1\/Z1.PRO gegen\u00fcber Anwendern auch technisch zu erzwingen.<\/p>\n

Auch hier geht es um Nebens\u00e4chlichkeiten, wie der Festlegung des Passworts. Die Quelle merkt dazu an dass das Datenbank-Backup ist ein einfacher Dump sei. Jedenfalls sei ein Restore nur m\u00f6glich, wenn man das Z1-Dienstprogramm zum R\u00fccksichern startet, und dort das Backup einliest. Hierf\u00fcr sei zwangsl\u00e4ufig eine Art \"Servicekennwort\" notwendig. Mir ist das Kennwort bekannt, ich lege es aber hier im Beitrag nicht offen.\u00a0 Ein Arzt sei also ohne dieses (CGM-exklusive) Wissen, so die Quelle, nicht in der Lage, eine Datensicherung zur\u00fcckzuspielen.<\/p>\n

CGM sei \u00fcbrigens, auch wenn sie das anders darstellten, nicht immer zu den angegebenen Servicezeiten erreichbar. Die Quelle gibt an, mehrere F\u00e4lle erlebt zu haben, wo die \"Hotline f\u00fcr stehende Systeme\" nicht besetzt war.<\/p>\n

Die Quelle erw\u00e4hnte zudem, dass, wie CGM ja selbst sagt, wie auch in der Update-Doku angibt, dass es erst jetzt Pflicht ist, ein Passwort zu vergeben. Inwiefern jetzt noch eine Automatisierung der Datensicherung m\u00f6glich ist, wollte die Quelle pr\u00fcfen. Bisher lie\u00df sich \u00fcber einen CMD-Aufruf des Moduls z1dasi.exe<\/em> immer manuell eine automatisierte und unverschl\u00fcsselte Datensicherung erstellen, wenn man die richtigen Parameter verwendete. Sofern das PW nun auf der CMD-Ebene mitgegeben werden muss, w\u00e4re auch etwas unsicher, weil es dann wieder hard codiert ist, merkt die Quelle an.<\/p>\n

Vorl\u00e4ufige Einsch\u00e4tzung des LfD<\/h2>\n

Der LfD kam in seiner Antwort zur vorl\u00e4ufigen Einsch\u00e4tzung, dass die Absicherung der Datenverarbeitung nach dem Stand der Technik letztendlich im Zust\u00e4ndigkeitsbereich des Verantwortlichen, also der Arztpraxis, die die Software betreibt, liegt. Die grunds\u00e4tzlichen Voraussetzungen f\u00fcr einen Betrieb nach dem Stand der Technik scheinen softwareseitig gegeben und die Anleitung des Herstellers ist dazu grunds\u00e4tzlich geeignet.<\/p>\n

An dieser Stelle \u00e4u\u00dferte die Quelle, dass sie das starke Gef\u00fchl habe, dass CGM unter Zeitdruck nachgebessert habe. Aber unser Ziel war ja, dass etwas passiert. Die Dinge kamen ins Rollen. In Teil 3 geht es um die Nachbesserungen, die CGM im Mai 2025 an ihrer Software vorgenommen hat.<\/p>\n

Artikelreihe<\/strong>
\nZahnarzt Praxis-Verwaltung-System (PVS): Sicherheitsl\u00fccken beim CGM Z1 \u2013 Teil 1<\/a>
\nReaktionen von CGM auf Meldung der Sicherheitsl\u00fccken beim Z1-PVS \u2013 Teil 2<\/a>
\nKorrekturen des Z1 PVS durch CGM und aktueller Stand\u00a0 \u2013 Teil 3<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

In Teil 1 hatte ich ja von Unzul\u00e4nglichkeiten beim Setup des von der Firma CompuGroup Medical (CGM) angebotenen Praxis-Verwaltungssystems (PVS) bei Zahn\u00e4rzten berichtet, auf welche mich eine ungenannt bleiben wollende Quelle hingewiesen hat. In Teil 2 skizziere ich, wie ich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-313982","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313982","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313982"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313982\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313982"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313982"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313982"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}