News Software Mikropro Health: Massive Sicherheitsprobleme in Gesundheitsämtern aufgedeckt

[Gnageseil]

Hauptsache irgendwelche 'Perlen' des Mittelstands können sich an dem ganzen Geld bereichern, was für solche Systeme ausgegeben wird.
Das war doch bei diesem tollen Router für Arztpraxen auch so. Statt eines Updates, um Zertifikate auszutauschen, sollten für 400Mrd. komplett neue Geräte beschafft werden.

 

[Ranayna]

Tja, da können sich die Bundesländer aber auch mal zusammensetzen und eine gemeinsame IT-Abteilung betreiben.

Ich bin mir mit den Hintergruenden nicht mehr ganz sicher, aber ich erinnere mich da an eine Uni- oder Schulcloud. Irgendwas im Bildungsbereich. Welches Bundesland die gebaut und angeboten hatte weiss ich leider nicht mehr, und weder weiss ich wie sie hiess. Diese wurde von mehreren Laendern verwendet und soll gut gewesen sein. Ich habe vor ein paar Jahren ein paar Berichte bei Heise zu dem Fall gelesen.

Diese musste eingestellt werden. Die nutzenden Laender sind sich wohl nicht mit den Kosten einig geworden, ein Land hat geklagt, und Schluss war mit der laenderuebergreifenden Cloud.

 

[Evil E-Lex]

Ähnlich wie es in Polen ist, da kann ich mittlerweile fast alles Online machen, außer heiraten und sich scheiden lassen im Endeffekt. Antworten von den Behörden gibt's über das Portal oder per Mail, meistens innerhalb von Stunden und nicht Wochen wie bei uns. Es gibts sogar Livechats in bestimmten Bereichen.... Wie die Antworten sind, steht auf einem anderen Blatt, i.d.R. kann ich aber so gut wie alle Angelegenheiten hier aus DE in PL ohne Probleme erledigen. Inkl. Notar (digitale Signatur), Gesellschaftsrecht (ich habe da eine GmbH drüben) und alle anderen Dinge...

Das ist natürlich super, dass es in Polen so läuft. Nun hat Polen den großen Vorteil ein zentralistisch organisierter Staat zu sein. Da kann man solche Dinge einfacher umsetzen, weil schlicht bestimmte Entscheidungsebenen fehlen. Das ist halt in Deutschland so nicht möglich. Die föderale Struktur ist im Grundgesetz festgeschrieben, daran gibt es nichts zu rütteln. Natürlich kann man die genaue Aufgabenverteilung zwischen Bund, Ländern und Kommunen jederzeit ändern, dafür sind dann Gesetzgebungsverfahren notwendig.

Ich bin der Meinung, dass der Föderalismus nicht die einzige Ursache ist. Es spielt auch viel die allgemeine Skepsis der Deutschen in Sachen Digitalisierung mit rein. Man schaue sich nur das Trauerspiel um die Onlinefunktion des Personalausweises an. Die Digitalisierung wird schlicht nicht ernst genommen. Statt Chancen zu erkennen, warnt man lieber vor Risiken. Diese Mentalität ist halt auch in den Behörden vorhanden, bzw. wird durch diese sogar gefördert.

 

[andy_m4]

Die Digitalisierung wird schlicht nicht ernst genommen. Statt Chancen zu erkennen, warnt man lieber vor Risiken.

Das liegt vielleicht auch da dran, das die Risiken unübersehbar da sind. Es vergeht ja kaum ein Tag an dem es nicht irgendwo einen "Sicherheitsvorfall" gibt. Und das trifft auch die, wo man denken würde, das die ihre Security im Griff haben. Wenns also bei denen nicht mal läuft, wie soll dann erst beim Staat funktionieren, denen man ja tendenziell unterstellt das die sich mit IT nicht auskennen.
Insofern sind die Bedenken angebracht.

Abgesehen davon haben wir an vielen Stellen eher ein umgekehrtes Problem. Nämlich einen gewissen Digitalisierungszwang. Wer sich dem nicht beugt, hat es schwer, werden benachteiligt oder sind an einigen Stellen sogar ganz ausgeschlossen.

Ein weiteres Problem ist, das Digitalisierung ja nicht nur dafür genutzt wird, um Dinge effizienter und bequemer zu machen, sondern immer verknüpft ist mit irgendwelchen fragwürdigen Beigaben wie Tracking usw.

Die Skepsis die Du hier anprangerst ist also nicht das Ergebnis irgendeiner paranoiden Irrationalität, sondern hat ganz handfeste Gründe. Deshalb lässt sie sich auch nicht so einfach wegwischen.

 

[Xiaolong]

Natürlich kann man die genaue Aufgabenverteilung zwischen Bund, Ländern und Kommunen jederzeit ändern, dafür sind dann Gesetzgebungsverfahren notwendig.

Und genau hier wäre der wirksamste Hebel anzusetzen, eben wie oben beschrieben. Meine Theorie geht dahin, dass wenn man auf Bundesebene ein vernünftiges uns sicheres System anbieten würde auf freiwilliger Basis, dann würden es die Länder mit Ihren Provinzfürsten auf lange Sicht auch alle nutzen. Bräuchte eben auch seine Zeit.

Ich bin der Meinung, dass der Föderalismus nicht die einzige Ursache ist.

Nein natürlich nicht, das ist ganz klar, aber die Struktur bringt sehr viele Schwierigkeiten mit sich. Was ja genau der Grund ist, warum das so umgesetzt wurde. Aber die Kehrseite ist eben, dass diese "Blockade" auch die positiven Dinge aufhält, oder die Dinge aufhält die einen nach vorne bringen. Wir verlieren international langsam an ansehen.

Deshalb lässt sie sich auch nicht so einfach wegwischen

Das ist wieder unsere "German Angst". Man kann solche Systeme sehr sicher gestalten und die BWI (Bundeswehr IT) kriegt sowas auch sehr gut hin, kann ich die aus naher Quelle berichten. Das ist sauber, vernünftig aufgesetzt und sicher. Eine 100%-ige Vollkasko wirst du hier niemals erreichen, hast du jetzt auch schon nicht. Wenn man es drauf anlegt, kann ich heute auch schon Akten mitnehmen und klauen wenn ich es denn will. Von solchen Fällen gibt es viele, vor allem bei insolventen Krankenhäusern.... Der Aufwand ein gutes System zu knacken oder irgendwo einzubrechen dürfte Pro Computersystem sein (sofern sauber umgesetzt). Die größte Schwachstelle ist und bleibt der Mensch. Siehe Snowden, in der Kette der NSA, hat bis dato auch alles wunderbar funktioniert, bis ein Snowden kam. Vor sowas kann und wird man sich wohl kaum immer schützen können, aber das hast du heute im Amt ja genauso... Stichwort: Laptops Cum-Ex....

 

[andy_m4]

Meine Theorie geht dahin, dass wenn man auf Bundesebene ein vernünftiges uns sicheres System anbieten würde auf freiwilliger Basis, dann würden es die Länder mit Ihren Provinzfürsten auf lange Sicht auch alle nutzen.

Das wäre durchaus ein Ansatz. Gerade wenn man ne Open-Source-Basis hat, die auch auf die jeweiligen Bedürfnisse anpassbar ist.
Allerdings waren hierzulande staatliche initiierte IT-Projekte nicht gerade ein Erfolgsmodell, ums jetzt mal ziemlich wohlwollend auszudrücken.

Das ist wieder unsere "German Angst".

Man kann natürlich durchaus sagen, das manche der Befürchtungen übertrieben sind. Da würde ich sogar mitgehen. Aber es ist doch auch nicht von der Hand zu weisen, das da was dran ist. Wie sehen doch, das Dinge regelmäßig schief gehen. Wie bereits gesagt: Das kann man nicht einfach wegwischen.
Du schreibst unter eine News bei der es um Sicherheitsprobleme geht! Aber alles nur German Angst!! Mehr Digitalisierung wäre die Lösung!!! Ja nee, iss klar.

Man kann solche Systeme sehr sicher gestalten

Ja. Kann man. Es geschieht nur zu selten. Daneben hast Du noch andere Effekte. Zum Beispiel, das es auch gar nicht gewollt ist das die zu sicher sind, weil da zum Beispiel Sicherheitsinteressen und Anderes mit rein spielt. Man denke da nur an DE-Mail.

die BWI (Bundeswehr IT) kriegt sowas auch sehr gut hin

Kann ich nichts zu sagen. Ist letztlich ja auch irrelevant. Wenn zu 99% IT problembehaftet ist, nützen mir auch die 1% Beispiele wenig wo es gut läuft. Wenn sich das alle anderen wenigstens als Vorbild nehmen würden.
Aber so ist es ja nicht. Somit ist die Chance sehr hoch, das Digitalisierung bedeutet das Du ein weiteres Murkssystem kriegst und die Situation schlimmer ist als vorher.

Eine 100%-ige Vollkasko wirst du hier niemals erreichen,

Davon hab ich ja auch nie was gesagt.

kann ich heute auch schon Akten mitnehmen und klauen wenn ich es denn will

Ja. Und der Umstand wird durch Digitalisierung nicht besser. Kiloweise Akten zusammen suchen und wegtransportieren ist was anderes als ein kleiner USB-Stick oder wenn Du das Krankenhaus gar nicht mehr betreten musst, weils übers Internet geht.

Siehe Snowden, in der Kette der NSA, hat bis dato auch alles wunderbar funktioniert, bis ein Snowden kam.

Snowden ist eher was, was meine These stützt. Wenn nicht mal die NSA auf ihrem Kram aufpassen kann, wie soll es dann eine IT-mäßig eher überforderte Behörde?

 

[Xiaolong]

Das wäre durchaus ein Ansatz. Gerade wenn man ne Open-Source-Basis hat, die auch auf die jeweiligen Bedürfnisse anpassbar ist.

Dann sind wir uns ja einig

Wie sehen doch, das Dinge regelmäßig schief gehen. Wie bereits gesagt: Das kann man nicht einfach wegwischen.

Richtig, aber meiner Meinung nach, darf man deswegen nicht den kompletten Stillstand einläuten sondern muss aus Fehlern lernen und es besser machen. Kompetente Leute gibt's genug, auch in indischen Dörfern wie es weiter oben hieß, man muss nur wollen.

Zum Beispiel, das es auch gar nicht gewollt ist das die zu sicher sind, weil da zum Beispiel Sicherheitsinteressen und Anderes mit rein spielt.

Das ist ein grundsätzliches Problem des "Konstruktes Mensch", das es seit Jahrtausenden um Macht und Kontrolle geht und nicht um ein friedliches Miteinander was alle vorwärts bringt...

Wenn sich das alle anderen wenigstens als Vorbild nehmen würden.

Dann wären wir schonmal 3 Schritte weiter

Davon hab ich ja auch nie was gesagt.

Las sich, als ob das impliziert worden wäre, dann war das wohl mein Fehler.

Wenn nicht mal die NSA auf ihrem Kram aufpassen kann, wie soll es dann eine IT-mäßig eher überforderte Behörde?

Touché. In einer idealen Welt wahrscheinlich machbar, in der realen mehr ein Scherbenhaufen, das stimmt schon. Aber zumindest sollte man es ja mal versuchen besser zu machen und nicht mit so einem Dilettantismus wie hier auffahren. Ein gewisses Grundmaß an Kompetenz muss ja vorhanden sein und diese Leute wachsen nicht auf Bäumen, deswegen Geld in die Hand nehmen und das Ganze einmal sauber umsetzen.

Aber wenn ich so darüber nachdenke, wenn es so desaströs ist wie hier, wäre analog wahrscheinlich besser im Interesse aller Beteiligten hier....

 

[coffee4free]

Artikel-Update: Das Ministerium für Wissenschaft und Gesundheit (MWG) von Rheinland-Pfalz erhält trotz der genannten Probleme offenbar nochmals über 3,6 Millionen Euro vom Bund, um die Digitalisierung des Gesundheitswesens voranzutreiben. Das ist einem Webportal des Bundesministeriums für Gesundheit (BMG) zu entnehmen. Dort wird auch das Stichwort „Mikropro“ genannt, was annehmen lässt, dass in diesem Zusammenhang trotz der genannten Sicherheitsprobleme weitere Gelder in dieses Projekt fließen. Der Förderzeitraum erstreckt sich vom 1. August 2023 bis zum 31. Juli 2025.

ComputerBase hat das MWG sowie den Landesbeauftragten für Datenschutz und die Informationsfreiheit (LfDI) von Rheinland-Pfalz um eine Stellungnahme gebeten, jedoch bisher keine Antwort erhalten. Und auch das BMG antwortete bisher nicht auf eine Bitte um Stellungnahme.

Prof. Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), reagierte hingegen schon am Wochenende via Mastodon auf die jüngsten Berichte zu den Sicherheitsproblemen deutscher Gesundheitsämter. „Als Behörde kann der - rechtlich auch für die Gesundheitsämter nicht zuständige - BfDI keine Stellungnahmen ohne Untersuchung aufgrund von Medienberichten abgeben“, erklärte Kelber dort. Allerdings halte er die genannten Sicherheitslücken, sofern sie denn tatsächlich in dieser Form existieren, nicht nur für gefährlich, sie wären sogar „frustrierend 08/15“. Ob nun entsprechende Untersuchungen folgen, ließ der BfDI jedoch offen.

 

[CastorTransport]

Was tweetet denn der Lauterbach dazu?

 

[Rickmer]

Die Digitalisierung weitertreiben sehe ich jetzt nicht als Problem, wenn dann auch in dem Zug die Sicherheitsprobleme angegangen werden...

 

[Daniel D.]

Da macht die Politik wieder alles, um sich von der besten Seite zu zeigen. Was da für ein Geld vor die Säue geschmissen wird. Direkt auf den Abgrund zu und sich fragen, warum die Menschen so einen Verdruss haben.

 

[Atnam]

Das war doch bei diesem tollen Router für Arztpraxen auch so. Statt eines Updates, um Zertifikate auszutauschen, sollten für 400Mrd. komplett neue Geräte beschafft werden.

Es waren 400 Millionen und nicht 400 Mrd.
Zwar immernoch zuviel aber trotzdem mal ne ganz andere Größenordnung ;-)

 

[Cool Master]

Digitalisierung Made in Germany... Mehr kann man dazu nicht sagen.

 

[andy_m4]

Richtig, aber meiner Meinung nach, darf man deswegen nicht den kompletten Stillstand einläuten sondern muss aus Fehlern lernen und es besser machen.

Auch da sind wir uns einig.

Kompetente Leute gibt's genug

Weiß nicht. Im Augenblick redet alles über den Fachkräftemangel.

man muss nur wollen.

Das ist das nächste Problem. Es hilft Dir ja nicht einfach nur kompetente Leute zu haben, sondern die Zielvorgabe muss ja auch entsprechend sein.
DE-Mail ist da ja ein schönes Beispiel für. Das ist ja nicht daran gescheitert, das es Stümper umgesetzt haben, sondern das die Vorgaben schon mies waren.
Und das ist halt in der Praxis das häufigere und gravierende Problem. Und nicht der Umstand, das man nicht weiß wie man Dinge sicher umsetzt oder die benötigten Leute nicht findet.

Ein gewisses Grundmaß an Kompetenz muss ja vorhanden sein und diese Leute wachsen nicht auf Bäumen, deswegen Geld in die Hand nehmen und das Ganze einmal sauber umsetzen.

So einfach wird das nicht werden. Es scheitert ja nicht nur am Sachverstand. Viele Prozesse, Gesetze und Vorschriften stammen aus einer durch und durch analogen und veralteten Welt und sind völlig überholt. Selbst wenn Du die digitalisierst, hast Du eigentlich nicht viel gewonnen.

Die meiste Arbeit besteht eigentlich darin, das alles mal auf einen zeitgemäßen Stand zu hieven. Und das kriegst Du eben nicht allein dadurch hin, in dem Du mal ein paar Millionen investierst und hunderte von IT-Leuten einstellst.

 

[Naesh]

you get what you payed for ..... Wenn man 18 Jährige ITler mit 20 jahren Berufserfahrung für 2000 Brutto einstellt, dann bekommt man halt den Photoshop Philip ...... Braucht ja auch keiner denken, dass man dann in Schulungen oder Fortbildungen der oben genannten Personen investiert. Mitleid habe ich irgendwie keines.

 

[Gelöscht 865248]

„frustrierend 08/15“

Verstehe ich das in dem Zusammenhang richtig, dass er diese Sicherheitslücke als unwichtig erachtet und es ihm absolut egal ist?

 

[andy_m4]

So wie ich das sehe, meinte er damit, das da Fehler/Sicherheitslücken drin waren, die so offensichtlich waren, das sie eigentlich nicht mehr vorkommen sollten.

 

[Zer0DEV]

Manchmal weiß man echt nicht was man vom Bundesdatenschutzbeauftragten halten soll...

Er äußert sich zu etwas wozu er sich nicht äußern kann/will.
Weil der Mist ntürlich wieder Ländersache ist und die Landesbeauftragten jetzt auch nicht immer mit Kompetenz glänzen, passiert dann eben auch nichts.

Bei Herrn Kelber merkt man dann doch zu deutlich, dass er eben auch nur Politiker ist.

 

[Raufbold]

Also ich arbeite zufälligerweise bei einem Landkreis und kann im Bezug auf Mikropro (Hersteller der Software) sagen, dass die Software für die Gesundheitsämter beinahe alternativlos ist. Und genau dieses Problem hat man in vielen Bereichen des öffentlichen Dienstes. Es gibt im besten Fall Oligopole, da viel Software sehr speziell ist und für den "freien Markt" überhaupt nicht interessant.

Eigentlich bräuchte man hier einen Zusammenschluss der Gesundheitsämter; vielleicht auch über Länder oder Bundesebene um das passende Programm ggF selbst entwickeln zu lassen und zu pflegen.

Ich kenne noch einige andere Programme die wir hier einsetzen, zu deren Sicherheitsgeschichten kann ich zwar nichts sagen, aber dass diese in der Bedienung und im Featureset seit mindestens 10 Jahre überholt sind. Das war schwer zu übersehen.

 

[Atnam]

you get what you payed for ..... Wenn man 18 Jährige ITler mit 20 jahren Berufserfahrung für 2000 Brutto einstellt, dann bekommt man halt den Photoshop Philip

Was ein Quatsch.
Ich kenne mehrere die arbeiten bei der Stadt Köln in der IT und das was du schreibst ist Unfug.
Die Gehälter sind natürlich auf dem Niveau der freien Wirtschaft aber so niedrig wie du tust sind sie auch nicht.
Das Problem ist viel mehr das die Leute in den Top Positionen einfach keine Ahnung haben und lieber nichts tun als eventuell auf Ihre Mitarbeiter zu hören und dann umzusetzen.
Die Leute in der IT wollen alle was ändern weil es ihren Job auch erleichert wenn man mal auf moderne Arbeitsumgebungen wechselt und das Know How ist definitiv nicht so schlecht wie immer getan wird.