Nachlese: Software-Sicherheitslücken in Mikropro Health in deutschen Gesundheitsämtern

Publiziert am 9. Mai 2024 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Im November 2023 wurde ruchbar, dass es bei der in deutschen Gesundheitsämtern eingesetzten Software Mikropro Health der Mikroprojekt GmbH massive Sicherheitslücken gibt. Das war zwar bekannt, Abhilfe war aber nicht in Sicht, Datenschützer aus Rheinland-Pfalz gaben sich entspannt (Schwachstellen seien keine bekannt). Ein Blog-Leser hat mich die vergangenen Monate über seine Anfragen bei Frag den Staat an die zuständigen Stellen informiert. Vor einigen Tagen hat der zuständige Minister nun die Sicherheitslücken eingestanden. Zeit für eine kurze Nachlese.

Anzeige

Software Mikropro Health in Gesundheitsämtern

Im Blog-Beitrag Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es hatte ich im November 2023 über massive Sicherheitslücken in den IT-Systemen, die in deutschen Gesundheitsämtern eingesetzt werden, berichtet. Der Blog-Beitrag ging auf einen Artikel von ZEIT Online (leider hinter einer Paywall) ein, der die Probleme benannte. Konkret geht es um die dort eingesetzte Software Mikropro Health. Das ist eine Software der Mikroprojekt GmbH, die für Gesundheitsämter entwickelt wurde. Laut Webseite der Firma können Gesundheitsämter mit der Software sehr brisante persönliche Informationen wie Medizinalkarteien des Amtsärztlichen Diensts, Röntgen- und Tuberkuloseuntersuchungen, etc. speichern bzw. verwalten.

Mikropro Health

Problem am Ganzen ist, dass die Software Mikropro Health gleich mehrere Schwachstellen aufweist – attestiert durch eine Analyse der Software. So werden die Zugangsdaten eines Benutzerkontos zur Ersteinrichtung aus dem Quellcode bezogen, hieß es in der Analyse, aus der ZEIT Online zitierte. Das Konto kann auf alle Daten (lesend und schreibend) zugreifen, weitere Konten erstellen und diesen umfassende Rechte zuweisen. Nur wenn der Administrator bei der Ersteinrichtung das Passwort geändert hat, ist diese Schwachstelle gestopft.

Die Software Mikropro Health speichere die Passwörter der Nutzer bei bestimmten Anwendungen standardmäßig im Klartext, heißt es weiter in der Analyse, und die in Mikropro benutzte Datenbank lässt in der Standardkonfiguration beliebige SQL-Abfragen zu. Eine Überprüfung, ob der Nutzer überhaupt dazu berechtigt sei, ist nicht vorgegeben. Benutzer mit Datenbankzugriff können also auf alle Daten zugreifen und diese auch ändern oder löschen. Ändern lässt sich dies vom Administrator, dem aber üblicherweise die dafür erforderlichen Kenntnissen fehlen.

Weiterhin ist das Berechtigungskonzept der Software schlicht kaputt, heißt es. Denn die Fachbereiche eines Gesundheitsamts können auf die Daten aller anderen Fachbereiche zugreifen und dieses einsehen. Aufgedeckt hat es Zeit Online (Paywall) und die Redaktion von Golem hatte es aufbereitet.

Von mir gab es seinerzeit zeitnah den Betrag Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es, in dem ich weitere Probleme wie überfordertes Personal in den Gesundheitsämtern adressiert hatte. Normalerweise gehst Du als simpel denkender Mensch davon aus, dass aufgezeigte Schwachstellen umgehend zur Nachbesserung des Herstellers führen. Ich hatte ja gerade im Beitrag Sicherheitslücke: Festes Passwort für Datenbankzugriff bei EVA-Software (VW-, Audi-Händler) einen Fall bei VW skizziert, der zeigt, wie man professionell mit so etwas umgeht. Die Schwachstellen sind in der VW-Software beseitigt.

Im Gesundheitswesen oder zumindest im oben angerissenen Bereich der Gesundheitsämter und der Software Mikropro Health ticken die Uhren anders. Der rheinland-pfälzische Landesdatenschützer, Dieter Kugelmann, sah noch im November 2023, laut Zeit Online, keine Probleme. Der Behörde lägen keine Hinweise zu Schwachstellen vor, lässt er mitteilen, und hat bislang keinen Grund, datenschutzrechtliche Bedenken gegen die Digitalisierungsstrategie der Landesregierung zu äußern.

Der Landesdatenschutzbeauftragte schiebt die Verantwortung für die Datensicherheit auf die Kreisverwaltungen ab, da diese für "die Datensicherheit verantwortlich" seien (was formal korrekt ist). Das Thema ist nicht auf Rheinland-Pfalz beschränkt, sondern betrifft auch Gesundheitsämter in anderen Bundesländern.

Anzeige

Ein Leser versucht nachzuhaken

Ich habe es bisher im Blog nicht thematisiert, weil ich das Thema nicht im Blog "fassen konnte" – die oben zitierten Kernaussagen waren ja im von mir verlinkten Blog-Beitrag dokumentiert. Aber ein Leser hatte mich Anfang 2024 im Hinblick auf das Thema kontaktiert. Er versuchte die oben angerissene Problematik bei Landesdatenschutzbeauftragten und beim deutschen Bundesdatenschutzbeauftragter (Beauftragter für Datenschutz und Informationsfreiheit, BfDI) nochmals anzubringen. Die Anfrage beim BfDI lässt sich bei Frage den Staat abrufen.

Ministerium in Rheinland-Pfalz feiert die Digitalisierung

Das Ministerium für Wissenschaft und Gesundheit in Rheinland-Pfalz hatte noch Ende 2023 ein Schreiben an die Landräte geschickt, in der die Digitalisierung des Gesundheitswesens als im Plan gefeiert wurde. Das breit verteilte Schreiben liegt mir vor. Das Rundschreiben liest sich wie "alles erfolgreich, gehen Sie weiter, es gibt nichts zu sehen". Geht man die Details durch, sieht das für mich so ganz und gar nicht gut aus, und die Integration von SPDI in Mikropro Health aus Datenschutzsicht ist aus meiner Sicht eine Katastrophe. Das Kürzel SPDI steht dabei wohl für "Sozialpsychiatrische Dienste", d.h. Daten aus diesem Bereich fließen in die Software Mikropro Health ein, was ich angesichts oben ausgeführter Sicherheitsmängel für fatal halte.

Weitere pikante Details

Auf der Seite Frage den Staat finden sich bei der Suche nach "Gesundheitsamt" eine Reihe Anfragen an Gesundheitsämter, die sich um Datensicherheit drehen – aber auch das SORMAS-System betreffen. Spannend fand ich folgende zwei Anfragen:

  • Frau B. Gesundheitsamt Trier-Saaburg; es geht um die von ZEIT Online dokumentierte Rolle einer Mitarbeiterin aus dem Gesundheitsamt Trier-Saarburg, die eine Nebentätigkeit bei der oben erwähnten Mikroprojekt GmbH angezeigt hat.
  • Datenleck im Gesundheitsamt Trier-Saarburg; im Gesundheitsamt Trier-Saarburg gab es ein Datenleck in Verbindung mit der Software Mikropro Health der Firma Mikroprojekt GmbH, über die der Volksfreund berichtete. Im Mai 2023 hatte die IT-Abteilung des Gesundheitsamte Trierer eine Datenbank an einen Dienstleister des Landes übermittelt, in der Kontaktdaten sowie sensible Gesundheitsdaten enthalten waren.

Beide Artikel aus den Medien befinden sich leider hinter einer Paywall, aber die obigen Anreißertexte signalisieren bereits, dass die Sache stinkt. Eine Mitarbeiterin aus einem Gesundheitsamt, die (laut eigener Anzeige der Nebentätigkeit) auch für die Mikroprojekt GmbH arbeitet. Und eine Datenbank, die in falsche Hände gerät, obwohl ja "keine Sicherheitslücken" bekannt sind und die Datenschutzbeauftragten des Landes Rheinland-Pfalz nicht für interessieren. On Top ein Ministerium, welches die Digitalisierung in den Gesundheitsämtern "feiert". Was ich an den Anfragen  bei "Frag den Staat" noch erkennen kann, ist die Tendenz, den Antragsteller über Gebühren für oft nichtssagende Auskünfte auszubremsen.

Ministerium räumt Datenschutzprobleme ein

Im April 2024 gab es dann insoweit eine Entwicklung, dass Gesundheitsminister Clemens Hoch (SPD) von Rheinland-Pfalz endlich Datenschutzprobleme einräumte und auch auf die irgendwie zwielichtig erscheinende Doppelrolle der oben erwähnte Mitarbeiterin mit Kritik reagierte. Der Volksfreund hat das Ganze im Artikel hier aufgegriffen – mir ist das Thema bei Golem im Artikel Deutsche Gesundheitsämter setzen unsichere Software ein Mitte April 2024 untergekommen. Ich hatte aber erst jetzt die Zeit zur Nachlese des gesamten Vorgangs.

Die Kurzfassung der neuen Berichte: Clemens Hoch bestätigte essenzielle Probleme mit dem Datenschutz der Software Mikropro Health, die in allen 24 Gesundheitsämtern von Rheinland-Pfalz sowie auch in Ämtern einiger anderer Bundesländer zum Einsatz kommt. Fehlende Zugriffsprotokollierung, die oben von mir angerissenen, unzureichenden Zugriffsbeschränkungen oder fest im Quellcode hinterlegte Zugangsdaten zur Datenbank mit teilweise sensibelsten Gesundheitsdaten (meldepflichtige Infektionen, Verdachtsfälle von Kindeswohlgefährdung oder Informationen zu chronisch-psychische Krankheiten) werden genannt.

Zitat aus dem Bericht des Volksfreunds, der den Landesdatenschutzbeauftragten, Dieter Kugelmann, der sich noch im ZEIT-Online-Artikel von November 2023 "entspannt" gab und Sicherheitsprobleme negierte:

"Uns liegen Hinweise vor, dass die Tür für eine missbräuchliche Nutzung der Daten offen stand." Mitarbeiter im Gesundheitsamt konnten demnach sensible Daten von Personen einsehen, obwohl sie dazu keine Berechtigung hatten. Theoretisch hätte jeder mit Zugang zur Software überprüfen können, ob sein Nachbar psychisch krank ist – sofern dazu Daten im Amt vorlagen.

Die Entwickler – der Volksfreund spricht von Mikroprojekt aus Kaiserslautern – streiten diese Schwachstellen ab. Die jeweiligen Gesundheitsämtern hätten die Zugriffsrechte auf Daten entsprechend einzustellen. "Datenschutz innerhalb der Software hat für uns einen großen Stellenwert und wir haben konkrete Maßnahmen dafür umgesetzt", wird der Entwickler der Software zitiert. In meinem oben verlinkten Blog-Beitrag hatte ich darauf hingewiesen, dass die Mitarbeiter der Gesundheitsämter mit dieser Anforderung heillos überfordert seien. Wenn die Entwicklerfirma Datenschutz und Zugriffsberechtigungen samt Protokollierung der Zugriffe von der Konzeption her nicht von Beginn an vorsieht, wird es – so zeigt es die Praxis regelmäßig – schwierig.

Laut Kugelmann sei die fehlende Protokollierung gegenüber der Entwicklerfirma nun "angemahnt worden". Schaut man von außen auf dieses Projekt, kann man sich nur mit Grausen abwenden. Eine Software, deren Mängel in diversen Presseberichten aufgezeigt wurden, trifft auf heillos mit IT-Aufgaben überforderte Mitarbeiter der Gesundheitsämter, die aber teilweise sensibelste Informationen dort ablegen. Alles Zutaten für eine toxische Angelegenheit, welches den Schutz der Daten zur Top Priorität erheben soll. Alles, was Kugelmann & Co. dazu einfällt, ist (laut Volksfreund) zu beteuern, dass "sensible Gesundheitsdaten nicht nach außen – etwa an Hacker – gelangt seien – zumindest nicht, soweit ihnen bekannt sei."

Auch bezüglich der oben erwähnte Mitarbeiterin des Gesundheitsamts, die auch für die Mikroprojekt GmbH als Beraterin arbeitete, und zudem in einer landesweiten Projektgruppe zum Thema aktiv war, gibt es ein paar Zeilen im Artikel des Volksfreunds. Minister Hoch übte Kritik und es heißt, dass die Mitarbeiterin nicht mehr in der Projektgruppe arbeite.

Insgesamt hinterlässt das Thema einen mehr als schalen Beigeschmack, wirft aber ein Schlaglicht auf die Digitalisierung in der öffentlichen Verwaltung in Deutschland. Es bleibt häufig ohne Folgen, wenn haarsträubende Fehler gemacht werden oder es zu Versäumnissen kommt – gleichzeitig wird aber oft behauptet "die Daten seien sicher". Was ich im obigem Thema beispielsweise vermisse, wäre ein öffentlicher Sicherheitsbericht, der beziffert, welche Sicherheitsdefizite es gibt, wer für deren Beseitigung zuständig ist und ein Zeitplan, bis wann diese Probleme behoben sind.

Nach meinen Kenntnissen heißt es in dieser Hinsicht "Fehlanzeige". In diesem Kontext: Gerade fand ja der Parteitag der CDU statt, in der auch das Grundsatzprogramm der Partei verabschiedet wurde. Die Kollegen von heise haben das Ergebnis im Artikel Grundsatzprogramm: CDU will DSGVO-Vorgabe zur Datenminimierung in Rente schicken aufbereitet. Es gibt den alten Spruch "Wo ein Trog ist, kommen die Schweine" – wenn Daten gesammelt wurden, werden die auch ausgewertet. Schöne Aussichten, oder?

Ähnliche Artikel:
Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
DSGVO-Falle Fleetback: Wenn Du die falsche Benachrichtigung bekommst
Sicherheitslücke: Festes Passwort für Datenbankzugriff bei EVA-Software (VW-, Audi-Händler)
Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen
Ivanti Information Disclosure-Schwachstelle seit 2019 offen – keine Reaktion

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Nachlese: Software-Sicherheitslücken in Mikropro Health in deutschen Gesundheitsämtern

  1. Anonymous sagt:
    9. Mai 2024 um 08:47 Uhr

    Eine Software, deren Mängel in diversen Presseberichten aufgezeigt wurden, trifft auf heillos mit IT-Aufgaben überforderte Mitarbeiter

    Man kennt das im grössten Teil kleiner und mittelständischer Unternehmen wenn Microsoft oder AWS o.ä. eingesetzt wird…

    Antworten
  2. Pau1 sagt:
    9. Mai 2024 um 13:35 Uhr

    "zumindest nicht, soweit ihnen bekannt sei."
    …weshalb man ja auch auf jedes Logging verzichtet habe.
    Datenschutz, wissen schon.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.