Bericht: IT-Sicherheit in Gesundheitsämtern vernachlässigt
Fehlendes Know-How, knappes Budget und unsichere Software. Ein Bericht schildert gravierende Sicherheitslücken in Gesundheitsämtern.
(Bild: Herlanzer/Shutterstock.com)
Gesundheitsbehörden verarbeiten hochsensible Daten. Doch die IT-Systeme, die diese Daten schützen sollen, weisen offenbar massive Sicherheitslücken auf. Ein Bericht von Zeit Online beschreibt gravierende Schwachstellen im Bundesland Rheinland-Pfalz. Die Probleme sind bekannt, werden aber von den Verantwortlichen verdrängt.
Zu wenig Geld, zu wenig Know-how
Ein Grundproblem, so der Bericht, sei das knappe Budget der Gesundheitsämter. Die von den Kommunen finanzierten Behörden haben oft zu wenig Geld und zu wenig kompetentes Personal, um die IT sicher zu betreiben. So seien die lokalen Administratorinnen und Administratoren in der Regel keine ausgebildeten IT-Spezialisten, sondern Verwaltungsangestellte.
Weitere Schwachstellen lägen in der eingesetzten Software Mikropro Health des Herstellers Mikroprojekt GmbH. Sie soll als einheitliche Datenerfassungsplattform im Bundesland dienen, entspricht aber nach Expertenmeinung nicht dem aktuellen Stand der Technik. Im Gegenteil: Im Auslieferungszustand sei diese Software gefährlich offen.
Unsichere Passwörter, uneingeschränkter Zugriff
Eine externe Analyse habe mehrere Schwachstellen in Mikropro Health aufgedeckt, so die Autoren. So seien Name und Passwort des Nutzers für die Ersteinrichtung im Code hinterlegt, jeder mit Zugriff auf den Quellcode könne die Daten einsehen, sich einloggen und Daten verändern.
Auch beliebige SQL-Abfragen in der Datenbank seien laut Analyse von jedem Nutzer möglich. Im Auslieferungszustand kenne das System offenbar keine Einschränkungen, so dass theoretisch jeder Nutzer alle Daten einsehen, verändern oder auch zerstören könne. Laut Mikroprojekt können lokale Administratoren den Zugriff sehr wohl einschränken, was aber entsprechende Kompetenzen beim IT-Personal der Gesundheitsämter voraussetzt.
Doch damit nicht genug: In bestimmten Anwendungen sollen Passwörter standardmäßig im Klartext statt verschlüsselt gespeichert werden. Laut Hersteller könnten Administratoren die Passwörter zwar mit dem Verfahren AES-256 verschlüsseln. Dieser Schritt hänge aber von der jeweiligen Anwendung ab.
Zudem scheint ein vorhandenes Berechtigungskonzept nicht richtig zu funktionieren. So hätten Mitarbeiter Zugriff auf Daten aller anderen Fachbereiche, auch auf solche, mit denen sie nichts zu tun hätten.
Neben den Mitarbeitern der Gesundheitsämter sollen noch mehr Personen potenziellen Zugriff auf die Daten haben: Bei einer Fehlersuche soll die gesamte Datenbank an die Mikroprojekt GmbH übermittelt werden – inklusive der gespeicherten persönlichsten Informationen.
Lesen Sie auch
Passwortsicherheit – Alles, was Sie wissen müssen
Landesdatenschutzbeauftragte sieht kein Problem.
Der Landesdatenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann, sieht auf Anfrage von Zeit Online keine Probleme. Seiner Behörde lägen keine Hinweise auf Softwarelücken vor und man habe bislang "keinen Anlass, datenschutzrechtliche Bedenken gegen die Digitalisierungsstrategie der Landesregierung zu äußern“. Allerdings weist er die Verantwortung von sich: Die Prüfung der eingesetzten Software sei nicht Teil der Beratung, zudem seien die Kreisverwaltungen für die Datensicherheit verantwortlich.
Die Probleme seien laut Zeit Online nicht auf Rheinland-Pfalz beschränkt, sondern in vielen Kommunen zu beobachten. Das ist fatal, denn auch Behördendaten sind begehrte Angriffsziele. Ende Oktober wurde etwa der kommunale Dienstleister Südwesftfalen-IT von der Cybercrime-Gruppe Akira angegriffen. 74 Gemeinden sind von dem Ransomware-Angriff betroffen.
Update 12.11.2023: In einer früheren Version haben wir geschrieben, Dieter Kugelmann sei Landesdatenschutzbeauftragter von Nordrhein-Westfalen, nicht Rheinland-Pfalz. Wir haben die Passage korrigiert.
(hze)