Software Mikropro Health: Massive Sicherheitsprobleme in Gesundheitsämtern aufgedeckt
Dass Gesundheitsämter hochgradig sensible Daten verarbeiten, dürfte wohl die wenigsten überraschen. Umso schwerer wiegt es, wenn die IT-Systeme dieser Einrichtungen massive Schwachstellen aufweisen, die Datenschutzverletzungen zur Folge haben können. Genau das scheint in vielen deutschen Ämtern aber der Fall zu sein.
Externe Untersuchung deckt Probleme auf
Betroffenen Gesundheitsämtern seien die Sicherheitsprobleme oftmals sogar bekannt, heißt es in einem Bericht von Zeit Online, in dem entsprechende Fälle aus Rheinland-Pfalz geschildert werden. Statt die Sicherheitslücken zu schließen, diskutiere man sie aber lieber weg. Im Zentrum des Problems steht wohl eine Software namens Mikropro Health. Diese diene als einheitliche Datenverarbeitungsplattform für die Ämter, entspreche nach Meinung von Experten aber nicht dem aktuellen Stand der Technik. Mehrere Sicherheitsprobleme seien im Rahmen einer externen Untersuchung der Anwendung aufgedeckt worden.
Sicherheitsprobleme von Mikropro Health sind vielfältig
So seien etwa Zugangsdaten eines für die Ersteinrichtung der Software vorgesehenen Benutzerkontos einfach im Quellcode hinterlegt. Jeder, der auf den Code zugreifen könne, habe damit potenziell Schreib- und Lesezugriff auf sämtliche Daten von Mikropro. Darüber hinaus könne er jederzeit weitere Nutzerkonten generieren und diese mit umfassenden Rechten ausstatten.
Defekte Zugriffsrechte
Letzteres scheint aber ohnehin mehr oder weniger belanglos zu sein, da das Berechtigungskonzept von Mikropro wohl generell nicht ordnungsgemäß funktioniert. „So können Mitarbeitende aus einem Fachbereich auch Daten aller anderen Fachbereiche sehen – auch jene, mit denen sie überhaupt nichts zu tun haben“, behauptet die Zeit. Ähnliche Probleme gebe es auch direkt in der Datenbank der Anwendung. In der Standardkonfiguration könne dort jeder Nutzer beliebige SQL-Abfragen ausführen, ganz egal, ob er dazu berechtigt sei oder nicht. Wer einen Datenbankzugriff habe, könne folglich alle darin enthaltenen Daten lesen, ändern oder gar löschen.
Passwörter im Klartext gespeichert
Erschwerend komme hinzu, dass Mikropro die Passwörter der Nutzer bei bestimmten Anwendungen standardmäßig im Klartext speichere. Obendrein könne auch der Hersteller der Software potenziell auf die Daten der Gesundheitsämter zugreifen. Um mögliche Fehler zu analysieren, fordere der Support des Unternehmens oftmals eine Kopie der gesamten Datenbank an, die dann sogar in unverschlüsselter Form übertragen werde. Sowohl der Hersteller selbst als auch potenzielle Angreifer, die die Daten während der Übermittlung abgreifen, erhalten damit Zugriff auf alle in der Datenbank gespeicherten Informationen.
Es fehlt an Geld und Kompetenz
Viele der genannten Probleme sollen sich wohl durchaus durch entsprechende Konfigurationsänderungen beheben lassen. Dabei kommt dann aber ein finanzieller Engpass ins Spiel. Den Kommunen fehle es schlichtweg an Geld und Fachkompetenz, um ihre IT sicher zu betreiben, heißt es im Bericht der Zeit. Für die Administration gebe es oftmals gar kein ausgebildetes IT-Fachpersonal. Die Arbeit werde dann von normalen Verwaltungsangestellten übernommen, denen für eine sichere Konfiguration der eingesetzten Software das nötige Wissen fehle.
Land sieht Verantwortung bei den Kommunen
Dass die genannten Sicherheitsprobleme zugleich ein massives Datenschutzproblem sind, erscheint offensichtlich. Der Landesdatenschützer Dieter Kugelmann sieht das aber offenbar anders. Der Zeit zufolge sehe Kugelmann keine Probleme in dem Projekt. Hinweise zu Schwachstellen würden seiner Behörde nicht vorliegen. Einen Grund, datenschutzrechtliche Bedenken gegen die Digitalisierungsstrategie der Landesregierung zu äußern, sehe man bislang nicht. Die Verantwortung habe Kugelmann außerdem auf die Kreisverwaltungen abgeschoben – diese seien schließlich für „die Datensicherheit verantwortlich“.
Potenziell bundesweit problematisch
Die Zeit warnt außerdem davor, dass die Probleme nicht nur auf Rheinland-Pfalz beschränkt seien. Auch außerhalb dieser Region gebe es viele Kommunen, in denen das ähnlich laufe: „Die eingesetzte Technik ist veraltet, die Verantwortlichen waren vor Sicherheitslücken gewarnt worden. Sie wussten von ihnen – und änderten dennoch nichts an ihren Plänen“, so der Vorwurf. „Der Fall ist exemplarisch dafür, wie schwer sich deutsche Verwaltungen mit IT-Sicherheit tun.“
Cyberangriffe auf deutsche Kommunen sind schon jetzt ein Problem
In jüngster Vergangenheit gab es bereits mehrere Cyberangriffe, die deutsche Kommunen betrafen. Wiederholt kam es zu DDoS-Attacken, die dafür sorgten, dass Webseiten schlichtweg für einige Zeit nicht erreichbar waren. Noch schlimmer hatte es zuletzt den Dienstleister Südwestfalen IT erwischt: Nach einer Ransomware-Attacke auf IT-Systeme des Unternehmens sind noch immer zahlreiche Verwaltungen in NRW beeinträchtigt. Das wahre Ausmaß des Angriffs ist weiterhin Gegenstand laufender Untersuchungen. Gerade Gesundheitsämter beherbergen viele hochsensible Daten deutscher Bürger, was sie ebenfalls zu einem attraktiven Ziel für Cyberkriminelle macht.
Das Ministerium für Wissenschaft und Gesundheit (MWG) von Rheinland-Pfalz erhält trotz der genannten Probleme offenbar nochmals über 3,6 Millionen Euro vom Bund, um die Digitalisierung des Gesundheitswesens voranzutreiben. Das ist einem Webportal des Bundesministeriums für Gesundheit (BMG) zu entnehmen. Dort wird auch das Stichwort „Mikropro“ genannt, was annehmen lässt, dass in diesem Zusammenhang trotz der genannten Sicherheitsprobleme weitere Gelder in dieses Projekt fließen. Der Förderzeitraum erstreckt sich vom 1. August 2023 bis zum 31. Juli 2025.
ComputerBase hat das MWG sowie den Landesbeauftragten für Datenschutz und die Informationsfreiheit (LfDI) von Rheinland-Pfalz um eine Stellungnahme gebeten, jedoch bisher keine Antwort erhalten. Und auch das BMG antwortete bisher nicht auf eine Bitte um Stellungnahme.
Prof. Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), reagierte hingegen schon am Wochenende via Mastodon auf die jüngsten Berichte zu den Sicherheitsproblemen deutscher Gesundheitsämter. „Als Behörde kann der - rechtlich auch für die Gesundheitsämter nicht zuständige - BfDI keine Stellungnahmen ohne Untersuchung aufgrund von Medienberichten abgeben“, erklärte Kelber dort. Allerdings halte er die genannten Sicherheitslücken, sofern sie denn tatsächlich in dieser Form existieren, nicht nur für gefährlich, sie wären sogar „frustrierend 08/15“. Ob nun entsprechende Untersuchungen folgen, ließ der BfDI jedoch offen.
Eine Pressesprecherin des Landesbeauftragten für Datenschutz und die Informationsfreiheit (LfDI) von Rheinland-Pfalz hat der ComputerBase-Redaktion inzwischen eine Stellungnahme zukommen lassen. Darin heißt es, der LfDI habe die genannten Sicherheitsprobleme entgegen dem, was in der Überschrift des Zeit-Artikels nahe gelegt werde, weder gekannt noch wissentlich toleriert. Auch Beschwerden bezüglich systemischer Mängel in Softwareprodukten der Gesundheitsämter sowie einer möglicherweise unzulänglichen Anwendung dieser habe es nicht gegeben. Meldungen von Datenschutzverletzungen zum Softwareeinsatz in rheinland-pfälzischen Gesundheitsämtern gebe es ebenfalls bisher nicht.
Dennoch werde der LfDI auf Verbesserungen dringen und vom Ministerium für Wissenschaft und Gesundheit (MWG) des Landes Rheinland-Pfalz sowie dem Hersteller der kritisierten Software weitere Informationen zu den von der Zeit eingebrachten Vorwürfen einholen. „Falls sich Hinweise auf Datenschutzverstöße erhärten, wird der LfDI die ihm als Aufsichtsbehörde zur Verfügung stehenden Maßnahmen nach dem Landesdatenschutzgesetz ergreifen“, so die Sprecherin.
Prof. Kelber hat gestern auf Mastodon betont, er selbst könne in diesem Fall keine Untersuchungen der notwendigen Art einleiten. Der BfDI sei dazu als rechtlich nicht zuständige Behörde gar nicht befugt.
Ein Sprecher des MWG von Rheinland-Pfalz hat der Redaktion inzwischen ebenfalls eine Stellungnahme zukommen lassen. Darin heißt es, eine Auftragsvergabe zur Umsetzung des am 1. August 2023 begonnenen Projektes „ÖGD-Serviceportal für Bürger und Bürgerinnen & weitere ÖGD Plattform Funktionen“ habe bisher nicht stattgefunden. Im Rahmen der Konzeption habe man auf eine Beratungsfirma aus dem Rahmenvertrag des Landesbetriebs Daten und Information zurückgegriffen. Welche Firma das genau war, ließ der MWG-Sprecher allerdings offen. Auf die Sicherheitsprobleme im Zusammenhang mit Mikropro Health ging das MWG gar nicht ein.
Inzwischen hat auch ein Pressesprecher des Bundesministeriums für Gesundheit (BMG) auf Anfrage von ComputerBase Stellung bezogen. Demnach fördere das BMG Länder und Gesundheitsämter im Rahmen des Digitalisierungsanteils des Paktes für den Öffentlichen Gesundheitsdienst. Auch das Land Rheinland-Pfalz sei Empfänger entsprechender Fördermittel.
Eine wesentliche Auflage für diese Förderung sei es jedoch, dass mindestens 15 Prozent der Fördersumme für IT-Sicherheitsmaßnahmen eingesetzt werden. Die Planung, Umsetzung und Durchführung der geförderten IT-Projekte werde jedoch durch die jeweiligen Länder und Gesundheitsämter verantwortet.