[Brisant] Keiner kümmert sich darum: Gesundheitsämter haben wohl massive Sicherheitslücken

ziesell · 12.11.23, 11:17

Zitat:

Keiner kümmert sich darum: Gesundheitsämter haben wohl massive Sicherheitslücken

Gesundheitsämter verarbeiten viele sensible Daten. Ein neuer Bericht deckt massive Schwachstellen auf. Verantwortlich fühlt sich offenbar niemand.

In den IT-Systemen einiger deutscher Gesundheitsämter klaffen offenbar massive Sicherheitslücken, die sensible Daten zahlreicher Bürger gefährden. Diese Lücken seien sogar bekannt, doch statt sie zu schließen, würden die Schwachstellen lediglich wegdiskutiert, heißt es in einem Bericht von Zeit Online, in dem auf entsprechende Fälle aus Rheinland-Pfalz verwiesen wird.

Dabei beginnen die Sicherheitsprobleme wohl oftmals schon auf finanzieller Ebene. In den Kommunen fehle es an Geld und Wissen, um ihre IT sicher zu betreiben, heißt es in dem Bericht. Oftmals handele es sich bei den Administratoren nicht um ausgebildetes IT-Fachpersonal, sondern um Verwaltungsfachangestellte.

Dieses nicht speziell für die IT ausgebildete Personal müsse eine von den Gesundheitsämtern eingesetzte Software namens Mikropro Health administrieren, die als einheitliche Datenverarbeitungsplattform diene und nach Auffassung von Experten nicht dem Stand der Technik entspreche. Eine externe Analyse habe bei dieser Software gleich mehrere Sicherheitsprobleme aufgedeckt.

Die Sicherheitsprobleme sind vielfältig

So seien beispielsweise die Zugangsdaten eines Benutzerkontos für die Ersteinrichtung der Software im Quellcode hinterlegt. Wer Zugriff auf den Code habe, könne folglich "alle Daten sehen, herunterladen und verändern" sowie nach Belieben neue Konten erstellen und ihnen umfassende Rechte einräumen – sofern niemand das Standardpasswort geändert habe. Obendrein speichere Mikropro die Passwörter der Nutzer bei bestimmten Anwendungen standardmäßig im Klartext.

Darüber hinaus lasse die Datenbank von Mikropro in der Standardkonfiguration beliebige SQL-Abfragen zu, ohne jegliche Überprüfung, ob der Nutzer überhaupt dazu berechtigt sei. Jeder Benutzer, der einen Datenbankzugriff habe, könne also auf alle Daten zugreifen und auch ändern oder löschen. Dieses Problem ließe sich zwar durchaus ändern, zuständig seien dafür aber eben jene Administratoren der Ämter, denen es üblicherweise an den dafür erforderlichen Kenntnissen fehle.

Ein weiteres Sicherheitsproblem sei, dass selbst der Support des Herstellers von Mikropro potenziell auf alle Daten der Gesundheitsämter zugreifen könne. Denn dieser fordere zur Fehlersuche oftmals eine Übertragung der gesamten Datenbank – in unverschlüsselter Form – an und könne daraufhin auf alle darin enthaltenen Informationen zugreifen.

Ferner arbeite auch das Berechtigungskonzept von Mikropro nicht korrekt. "So können Mitarbeitende aus einem Fachbereich auch Daten aller anderen Fachbereiche sehen – auch jene, mit denen sie überhaupt nichts zu tun haben", erklärt Zeit Online diesbezüglich.

Landesdatenschützer sieht keine Probleme

Der rheinland-pfälzische Landesdatenschützer Dieter Kugelmann sah auf Rückfrage angeblich keine Probleme in dem Projekt. Seiner Behörde lägen keine Hinweise zu Schwachstellen vor und man habe bislang keinen Grund, datenschutzrechtliche Bedenken gegen die Digitalisierungsstrategie der Landesregierung zu äußern, sagte er gegenüber Zeit Online. Obendrein habe er die Verantwortung auf die Kreisverwaltungen abgeschoben. Diese seien für "die Datensicherheit verantwortlich".

Die Probleme seien Zeit Online zufolge aber nicht auf Rheinland-Pfalz beschränkt und ließen sich in vielen Kommunen erkennen. "Die eingesetzte Technik ist veraltet, die Verantwortlichen waren vor Sicherheitslücken gewarnt worden. Sie wussten von ihnen – und änderten dennoch nichts an ihren Plänen", heißt es in dem Bericht.

In den vergangenen Wochen waren bereits viele deutsche Kommunen Ziel von Cyberangriffen. Auch Gesundheitsämter sind aufgrund der hochsensiblen Daten, die dort verarbeitet werden, ein attraktives Angriffsziel für Cyberkriminelle.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]