Guten Tag,
bitte senden Sie mir Folgendes zu:
Eine Übersicht, bei welchen Gesundheitsämtern in Bremen Softwareprodukte der Firma Mikroprojekt GmbH in Verwendung sind.
Dies ist ein Antrag auf Aktenauskunft nach § 1 Abs. 1 des Gesetzes über die Freiheit des Zugangs zu Informationen für das Land Bremen (BremIFG) sowie § 1 Abs. 1 des Umweltinformationsgesetzes für das Land Bremen (BremUIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 Umweltinformationsgesetzes des Bundes (UIG) betroffen sind, sowie § 1 des Gesetz zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen im Sinne des § 2 Abs. 1 VIG betroffen sind.
Sollte die Aktenauskunft wider Erwarten gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben.
Ich verweise auf § 7 Abs. 6 BremIFG/ § 4 Abs. 1 IWG/ § 3 Abs. 3 Nr. 1 UIG/ § 5 Abs. 2 VIG und möchte Sie bitten, mir die erbetenen Informationen unverzüglich, jedoch spätestens nach Ablauf eines Monats zugänglich zu machen.
Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte.
Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!
Mit freundlichen Grüßen
(…)
Sehr geehrte:r (…),
Ihre Anfrage vom 14.12.2023 wurde zur Bearbeitung von der Senatorin für Gesundheit, Frauen und Verbraucherschutz an das Gesundheitsamt Bremen übermittelt. Das Gesundheitsamt Bremen verwendet von dem Unternehmen Mikroprojekt GmbH die Anwendung MikroPro JZAED (Jugendzahnärztlicher Dienst).
Bei Rückfragen stehen wir Ihnen gern zur Verfügung.
Mit freundlichen Grüßen
im Auftrag
(…)
Freie Hansestadt Bremen
Gesundheitsamt Bremen
Rückfrage, Fr 12.01.2024 15:12
Sehr geehrte:r (…),
vielen Dank für die Beantwortung meiner Frage.
Mich würde noch interessieren wie Sie die in der Software identifizierten Sicherheitslücken bewerten (vgl. https://www.zeit.de/digital/datenschutz/2023-11/it-sicherheit-gesundheitsaemter-rheinland-pfalz-software-datenschutz) und welche Maßnahmen unternommen wurden.
Mit freundlichen Grüßen
(…)
Antwort, Fr 12.01.2024 15:24
Sehr geehrte:r (…),
der ZEIT-Artikel liegt mir leider nicht vor.
Aus diesem Grund wäre ich Ihnen dankbar, wenn Sie die identifizierten Sicherheitslücken konkretisieren könnten.
Mit freundlichen Grüßen
im Auftrag
(…)
Freie Hansestadt Bremen
Gesundheitsamt Bremen
Rückfrage, Fr 12.01.2024 17:09
Sehr geehrte:r (…),
Im Artikel werden mehrere Sicherheitslücken genannt.
Name und Passwort des Nutzers sind für die Ersteinrichtung im Code hinterlegt, jeder mit Zugriff auf den Quellcode kann die Daten einsehen, sich einloggen und Daten verändern.
Auch beliebige SQL-Abfragen in der Datenbank sind laut Analyse von jedem Nutzer möglich. Im Auslieferungszustand kenne das System offenbar keine Einschränkungen, so dass theoretisch jeder Nutzer alle Daten einsehen, verändern oder auch zerstören kann.
In bestimmten Anwendungen sollen Passwörter standardmäßig im Klartext statt verschlüsselt gespeichert werden. Laut Hersteller könnten Administratoren die Passwörter zwar mit dem Verfahren AES-256 verschlüsseln. Dieser Schritt hänge aber von der jeweiligen Anwendung ab.
Zudem funktionieren vorhandenes Berechtigungskonzept nicht. Mitarbeitende haben Zugriff auf Daten, mit denen sie nichts zu tun hätten und keinen Zugriff haben dürfen.
Eine Person mit einem individuellen Benutzeraccount, der alle Berechtigungen für lesen und bearbeiten von Vorgängen entzogen wurden, kann trotzdem angelegte Personen sehen und auch die dazugehörigen Vorgänge sehen.
In dem Moment wo man eine Person in der Datenbank (Software) anlegen möchte erkennt die Software, dass die Person bereits in der Datenbank existiert, auch wenn man eigentlich keine Berechtigungen für diese Person und die dazugehörigen Vorgänge hat. Die bereits vorhandene Person wird von der Software angezeigt und somit sind auch alle hinterlegten Vorgänge sichtbar.
Neben den Mitarbeitern der Gesundheitsämter sollen noch mehr Personen potenziellen Zugriff auf die Daten haben: Bei einer Fehlersuche soll die gesamte Datenbank an die Mikroprojekt GmbH übermittelt werden – inklusive der gespeicherten persönlichsten Informationen.
(vgl. https://www.heise.de/news/Bericht-IT-Sicherheit-in-Gesundheitsaemtern-vernachlaessigt-9404608.html).
Mit freundlichen Grüßen
(…)
Antwort, Do 18.01.2024 17:09
Sehr geehrte:r (…),
vielen Dank für die Geduld. Um Ihre Frage vollständig beantworten zu können, war eine Abstimmung mit der IT-Sicherheit erforderlich.
Der Artikel bezieht sich auf Sicherheitsrisiken bei dem Produkt Mikropro Health.
Dies ist beim Gesundheitsamt Bremen nicht in Verwendung. Aus diesem Grund kann ich zu Mikropro Health nicht Stellung nehmen.
Der von Ihnen angeführte ZEIT-Artikel ist der IT-Sicherheit jedoch bekannt.
Soweit Ihre Frage darauf abzielt, welche entsprechenden Risiken für das beim Gesundheitsamt verwendete Mikropro JZAED bestehen, so möchte ich darauf, wie folgt eingehen:
Die IT-Sicherheit des Gesundheitsamtes Bremen sieht bei der Verwendung des Produktes keine entsprechenden Risiken im Gesundheitsamt.
Das Produkt wird jedoch auch nicht im Auslieferungszustand verwendet. Es wurden seitens des Gesundheitsamtes mehrere zusätzliche IT-Sicherheitsebenen eingebaut.
1.
Name und Passwort der Nutzer:innen sind zunächst für die Ersteinrichtung im Code hinterlegt. Im Anschluss an die Ersteinrichtung werden unmittelbar neue Passwörter festgelegt und User-Rechte eingeschränkt. Ein Einsehen, Einloggen, Verändern der Daten aller Nutzer:innen ist durch Eingabe des Quellcodes nicht mehr möglich.
2.
Es wurden entsprechende Sicherheitsebenen eingebaut, durch welche mehrfach abgesichert ist, dass SQL-Abfragen in der Datenbank nur durch die berechtigten sowie zuständigen Nutzer:innen erfolgen können.
3.
Im Gesundheitsamt werden die Passwörter nicht im Klartext verschlüsselt, sondern mit dem Verfahren AES-256.
4.
Mikropro JZAED wird ausschließlich beim Zahnärztlichen Dienst verwandt. Der Zugriff auf andere Bereiche ist somit von Beginn an schon praktisch ausgeschlossen.
Ein unberechtigter Zugriff innerhalb des Gesundheitsamtes wird durch entsprechende Rechtevergabe im AD (Active Directory) ausgeschlossen. Ein unberechtigter Zugriff von Nutzer:innen der Anwendung innerhalb der Anwendung wird durch Rechtevergabe innerhalb der SQL-Datenbank ausgeschlossen. Vor der Einrichtung der Zugriffsberechtigung wird somit genau festgelegt, welche Mitarbeitenden des Bereichs in welchem Umfang Zugriff erhalten sollen. Durch den Einbau verschiedener Sicherheitsebenen wird ausgeschlossen, dass Mitarbeitende, denen die Berechtigung entzogen wurde, weiterhin Zugriff erhalten können. Ein unberechtigter Zugriff auf Vorgänge scheidet dadurch aus.
5.
Dem Unternehmen Mikroprojekt GmbH wird ausschließlich im Rahmen des mit dem Gesundheitsamt vereinbarten Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO ein kontrolliertes Zugriffsrecht zum Zweck der Ausführung von Wartungen eingeräumt. Hierbei erhält das Unternehmen ausschließlich Zugriff auf eine verschlüsselte Kopie.
Mit freundlichen Grüßen
im Auftrag
(…)
Freie Hansestadt Bremen
Gesundheitsamt Bremen