In Teil 1 hatte ich ja von Unzulänglichkeiten beim Setup des von der Firma CompuGroup Medical (CGM) angebotenen Praxis-Verwaltungssystems (PVS) bei Zahnärzten berichtet. In Teil 2 ging es um die Antworten der CGM, die über ich den LfDI erhielt. In Teil 3 geht es um das Update des Systems im Mai 2025, was die Probleme aus Teil 1 adressiert.
Im Mai 2025 passierten eigentlich zwei Dinge: Ich bekam die in Teil 2 ausführlich unterbreitete Stellungnahme der CGM über den Beauftragten für Datenschutz und Informationsfreiheit (LfDI) des Landes Rheinland-Pfalz. Und meine Quelle meldete sich, dass es wohl die Ankündigung eines Updates im Mai 2025 geben solle.
Hinweise auf ein großes Update Anfang Mai
Zum 28. Mai 2025 schrieb mir meine Quelle, dass ihr über Dritte "zu Ohren gekommen sei", dass die CGM für die Software Z1 ein "großes", außerplanmäßiges (nicht zum Quartalsende erscheinendes) Update ausgerollt habe.
Nach Aussagen der Quelle war das Update auf einen der ersten Mai-Tage datiert, so dass bereits ein Monat Zeit verstrichen war, als mich die nachfolgenden Informationen erreichten.
Interessant ist, was die Quelle bezüglich der Abläufe in Erfahrungen bringen konnte. Zuerst musste eine Wartung (ein kleines Update, das nur einzelne Dateien auf dem Server tauscht und keine Interaktion an Client-PCs erfordert) und anschließend ein "großes" Update (alle Clients müssen ebenso aktualisiert werden) installiert werden.
Der Quelle wurde zudem die Information zugetragen, dass ohne die vorherige Wartung die Installation des großen Updates nicht funktioniere. Es müssten zwei Passwörter, eines für den DB-Admin (sa), und eines für die Z1-Datenbank (vermutlich User z1) gesetzt werden. Dabei müsse im Rahmen eines Installationsassistenten dieses Passwort erst auf dem Server gesetzt werden. Im Anschluss müsse dann davon ein Ausdruck erzeugt werden.
Die Quelle schloss, dass danach das korrekte, neu gesetzte Passwort dann in den ODBC-Quellen der Clients "auf unbekannte und wundersame Weise" landete. Aussage war, dass die "Installationsroutine der Updates hier weitreichend angepasst wurde". Da muss nach der Anfrage des LfDI einiges im Hintergrund passiert sein. Die Quelle hatte zu diesem Zeitpunkt selbst noch keine Möglichkeit zu einer tieferen Analyse des Updates. Daher lässt sich auch nicht angeben, wie gut und sicher dieses Verfahren ist.
Jedenfalls lässt sich an dieser Stelle festhalten, dass da in Punkto Sicherheit mit dem Z1-Update auf Version 2.91 irgendwie nachgebessert wurde – unser Ziel, die Praxis-Software besser abzusichern, war also erreicht.
Z1 Update auf Version 2.91 im Mai 2025
Der Quelle wurden zusätzlich Screenshots zugespielt, die ich nachfolgend der Vollständigkeit halber, damit jeder sich sein eigenes Urteil bilden kann, veröffentliche. So hat die CGM den Praxen das Update der CGM Z1 Zahnarzt-Software auf die Version 2.91 im Mai 2025 angekündigt (siehe nachfolgenden Screenshot).
Im Schreiben, welches den Praxen zuging, werden diesen "Neuerungen, die insbesondere den Datenschutz und die Datensicherheit betreffen" offeriert. Es heißt, die bereits bestehenden Sicherheits- und Datensicherheitsmaßnahmen würde weiter ausgebaut. Dies erhöhe die Sicherheit und schütze vor Fremdzugriffen auf Praxisdaten. Die Ankündigung war verbunden mit der Bitte um zeitnahe Installation.
Obiger Screenshot aus der Installationsanleitung für die CGM Z1-Version 2.91 legt interessante Details offen. Während in der Antwort des LfDI in Teil 2 noch jegliches Problem irgendwie auf die Praxen abgewälzt wurde, unternimmt der Anbieter nun den Versuch, "das Ganze auf die Füße zu stellen" und entsprechend abzusichern.
Auch die in obigem Screenshot angesprochene Datenbankverschlüsselung war einer der Punkte, die ich in Teil 1 angesprochen hatte.
Ziel einer besseren Absicherung erreicht
Wenn ich jetzt postuliere, dass meine Anfrage an den LfDI Anfang März 2025 erfolgte, dann Anfang Mai 2025 das Z1-Update auf Version 2.91 ausgerollt und im Nachgang Mitte Mai 2025 eine Antwort der CGM an den LfDI erfolgte, ergeben die Aussagen aus Teil 1 und Teil 2 ein stimmiges Bild.
- Bis zum Update der Z1-Software auf die Version 2.91 Anfang Mai 2025 dürften die beschriebenen Sicherheitsprobleme in den Praxen vorhanden gewesen sein.
- Mit dem ausgerollten Z1-Software auf die Version 2.91 waren die benannten Probleme beseitigt und die CGM konnte in der Antwort an den LfDI, wie in Teil 2 wiedergegeben, argumentieren.
Schade ist, dass dies nicht auf Eigeninitiative des Herstellers passierte. Für meine Quelle und mich wurden die in Teil 1 genannten Unzulänglichkeiten im Mai 2025, zumindest auf den ersten Augenschein, beseitigt. Die Praxen, die die Z1-Software in der Version 2.91 Anfang Mai 2025 installiert haben, sollten nun besser abgesichert sein.
Ich habe mit der Offenlegung des Sachverhalts weitere zwei Monate gewartet, um den Praxen Zeit zum Upgrade auf die Z1 Version 2.91 zu geben. An dieser Stelle mein Dank an die Quelle für die Informationen und an den LfDI von Rheinland-Pfalz, der die Abwicklung der Kommunikation mit der CGM übernahm.
Artikelreihe
Zahnarzt Praxis-Verwaltung-System (PVS): Sicherheitslücken beim CGM Z1 – Teil 1
Reaktionen von CGM auf Meldung der Sicherheitslücken beim Z1-PVS – Teil 2
Korrekturen des Z1 PVS durch CGM und aktueller Stand – Teil 3
MVP: 2013 – 2016
> Schade ist, dass dies nicht auf Eigeninitiative des Herstellers passierte.
Wenn ich dieser Atikelserie richtig gefolgt bin ist es schade, wie hier von Seiten des Herstellers absolut unprofessionell vorgeganagen wurde.
Anstatt ehrlich zu sein, ein Issue zu haben, Verantwortung zu übernehmen und sich zu bedanken und alles einfach mit einem Update zu adressieren, hat man sich dazu entschieden anfangs nicht zu reagieren, dann alles zu bestreiten bzw. auf die jeweiligen Dienstleister und letztendlich Kunden abzuschieben (der Dienstleister sagt ja nur, geliefert wie bestellt) und dann mehr oder minder in einem Update zu aktualisieren.
Saubere Installer scheinen weiterhin bis heute zu fehlen. Die Kompetenz da ein wenig Innosetup-Scripting zu betreiben, offenkundig zu hoch.
Für mich ein unterirdisch unprofessionelles Geschäftsgebahren.
Hallo,
ich verstehe einfach nicht, warum die Softis bei SQL immer "sa" als Benutzer verwenden müssen, anstelle eines eigenen Benutzer mit den notwendigen Rechten zu erstellen.
Ein Rätsel
Grüße
M
Faulheit bzw. "Effizienz". Der "sa" ist automatisch vorhanden und hat alle Rechte. Das erstellen eines eigenen Benutzers und vergeben der Rechte ist ja separater Aufwand. Außerdem müsste man sich dann ja mit dem Rechtekonzept von SQL auseinandersetzen.
Sowas fällt in die gleiche Schiene wie Client-Software, die zum Ausführen lokale Adminrechte braucht. Und ja, das gibt's leider immer noch.
Oh bei der Gelegenheit, gefühlt 90% von Gammel-Software hat kein "Encrypt=true" in Ihren MSSQL/ODBC ConnectionStrings
Da werden die tollsten Sicherheitsabfragen und Dialoge gebastelt während jeder die Passwörter einfach live mitlesen kann.
Ich wette die aktuellen MSSQL haben das by Default immer noch nicht und zwingen einen Admin das unter TCP/IP Verbindungen manuell nach zu konfigurieren.
Auch darauf wird man von CGM inzwischen bei jedem Update hingewiesen.
Hier ich habe gerade in meiner freien Minute ein Powershell-Check-Script zum Codeberg getragen, für jeden zum Selbst-Überprüfen:
https://codeberg.org/tomas-jakobs/mssql-connection-checker/src/branch/main/src/mssql-connection-checker.ps1
Jetzt wäre es interessant, ob das "doppelte Update" auch bei anderen Systemen von CGM eingespielt werden muss.
Das interessiert mich auch. Vielleicht lässt mir ein Insider ja ein paar Informationen zukommen.