Datenschutz und IT-Sicherheit Problematische Software in Gesundheitsämtern in Sachsen-Anhalt und Thüringen im Einsatz

• Die "Zeit" und eine MDR-Quelle beschreiben die Software "Mikropro" als problematisch. Sie wird in Gesundheitsämtern benutzt und verarbeitet hochsensible Daten.
• Vier Gesundheitsämter in Thüringen und zwei in Sachsen-Anhalt nutzen "Mikropro". Sie sehen nicht wirklich Probleme.
• Sachsen-Anhalts Informationssicherheitsbeauftragter hält die Software nach den Berichten für sehr bedenklich. Das Bundesamt für Sicherheit in der Informationstechnik hat dem Mikropro-Hersteller ein grundlegendes Software-Prinzip erklärt.

Bereits zweimal hatte "Die Zeit" über Vorwürfe gegen die Software "Mikropro" berichtet (€). Demnach könnten nicht berechtigte Mitarbeiter fremde Akten lesen, Passwörter würden im Klartext gespeichert und Probleme mit der Datenbank würden behoben, indem die komplette Datenbank an die Herstellerfirma übersandt wird – das sei sogar möglich, ohne dass die Datenbank verschlüsselt ist.

Eine Person, die mit der Software vertraut ist und anonym bleiben möchte, sagte dem MDR, dass die Software nicht dem aktuellen Stand der Technik entspricht. Mit Screenshots und internen Dokumenten belegt die Person die Vorwürfe der "Zeit": "Die Software ist kein modernes, zeitgemäßes Fachverfahren für den Öffentlichen Gesundheitsdienst." Es würde die Gefahr bestehen, dass unberechtigte Personen Einblick in besonders schützenswerte Gesundheitsdaten von Bürgerinnen und Bürgern erhalten könnten.

Was "Zeit"-Journalistin Eva Wolfangel bemerkenswert findet: Alle Beteiligten würden die Lücken kennen, sagt sie. "Ich habe sehen können, wie alle Menschen über die Lücken informiert waren und wie versucht wurde, das zu thematisieren." Aber anstatt die Lücken zu schließen, wurden sie weggeredet, sagt Wolfangel im MDR SACHSEN-ANHALT Podcast "Digital leben".

In Rheinland-Pfalz beschäftigt sich mittlerweile der Landtag mit der Software. Das dortige Gesundheitsministerium hatte die Software wohl ohne Ausschreibung eingekauft und räumt nun laut "Rhein-Zeitung" (€) Probleme mit ihr ein. Der Datenschutzbeauftragte in Rheinland-Pfalz habe die Software vorläufig geprüft. Die Zeitung zitiert ihn mit den Worten: "Uns liegen Hinweise vor, dass die Tür für eine missbräuchliche Nutzung der Daten offen stand. Es gibt bisher bei der Software keine ausdrückliche Protokollierung, wer wann auf welche Daten zugreift."

Dabei müssen Gesundheitsdaten besonders geschützt werden – das verlangt die Datenschutzgrundverordnung. Außerdem locken Gesundheitsdaten kriminelle Hacker an: Nach einem Hack beim Krankenkassen-IT-Dienstleister Bitmarck waren 2023 Daten im Darknet zum Verkauf angeboten worden, von fast zehn Millionen australischen Krankenversicherten tauchten Gesundheitsdaten im Darknet auf und von 30 Patienten der Uniklinik Essen 2022 ebenfalls.

Software-Expertinnen und -Experten verlangen deshalb schon seit Jahren, dass Software nach dem Prinzip "Privacy-by-Default" programmiert wird – sie also eine Art Datenschutz ab Werk besitzt. Beim "Auspacken" kann die Software sofort ohne große Einstellungen datenschutzkonform genutzt werden kann. Das ist bei "Mikropro" nicht der Fall. Gesundheitsämter und IT-Abteilungen müssen etliche Anpassungen vornehmen.

Mittlerweile steht das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit "Mikropro" im Austausch. Es habe das Unternehmen auf die Prinzipien des Security-By-Default hingewiesen, schreibt das BSI. Gleichzeitig seien aber auch die Anwenderinnen und Anwender verantwortlich, IT-Produkte sicher zu administrieren und zu betreiben.

Die Software wird von der Firma Mikroprojekt in Kaiserslautern verkauft. Auf ihrer Internetseite verspricht die Firma "maximale Datensicherheit". Aber aus Antworten von Mikroprojekt geht hervor, dass sie sich selbst nicht allzu sehr in der Pflicht sieht. Die Begründung: Die IT-Verantwortlichen in den Gesundheitsämtern könnten die Software entsprechend datenschutzkonform einstellen und seien dafür selbst verantwortlich. Ohne auf die Fragen des MDR einzugehen, hatte Mikroprojekt Antworten gesendet, die die Firma bereits der "Zeit" gegeben hatte. Darin teilt Mikroprojekt auch mit, externe Datenschützer hinzuziehen und der Software einem sogenannten Pen-Test und einer Überprüfung zu unterziehen.

Dokumente belegen, dass Mikroprojekt davon weiß, dass Nutzer mitunter Daten sehen, die sie eigentlich nicht sehen dürften. Noch im März ist daran gearbeitet worden. Außerdem scheint es Probleme mit dem Löschen von Daten zu geben: Gesetzliche Fristen, die das Löschen von bestimmten Daten verlangen, würden zwar eingehalten – um das Löschen zu dokumentieren, würden die Daten aber in die Löschdokumentation übernommen. Die "Zeit" berichtet auch darüber, dass einer Behördenmitarbeiterin in Rheinland-Pfalz eine Nebentätigkeit für Mikroprojekt genehmigt wurde.

Nach-MDR-Recherchen ist "Mikropro" in sieben von 36 Gesundheitsämtern in Thüringen und Sachsen-Anhalt im Einsatz. In Sachsen ist seit den 1990er Jahren in allen Landkreisen die Software "Octoware" einer Dresdner Firma im Einsatz.

Das Gesundheitsministerium in Thüringen hatte bei "Fragdenstaat" bereits auf eine Anfrage nach dem Transparenzgesetz die Software aller Gesundheitsämter aufgelistet (PDF). In Thüringen hat zum Beispiel der Saale-Holzland-Kreis im vergangenen Jahr auf "Mikropro" umgestellt. Auch der Landkreis Eichsfeld, der Unstrut-Hainich-Kreis und Gera nutzen "Mikropro". Erfurt führt die Software gerade ein.

In Sachsen-Anhalt wird die Software im Landkreis Harz verwendet. Der Landkreis Wittenberg erprobt sie gerade, schreibt er auf MDR-Anfrage. Die Lizenz- und Einrichtungskosten betrügen etwa 116.000 Euro und die Wartungskosten für vier Jahre beliefen sich auf fast 47.000 Euro.

Welche Konsequenzen die Gesundheitsämter in Mitteldeutschland nach den Berichten der "Zeit" ziehen – auf diese MDR-Nachfragen haben die allermeisten Landkreise nicht reagiert. Die Stadt Gera schreibt, die im Artikel "angesprochenen IT-Sicherheitsrelevanten Lücken wurden bei der Einrichtung und Konfiguration der Software selbstverständlich berücksichtigt und entsprechend eingestellt." Außerdem werde die Software im eigenen Rechenzentrum betrieben.

Der Landkreis Eichsfeld schreibt, man habe die internen Konzepte zu Informationssicherheit und Datenschutz überarbeitet und mit den Konzepten von Mikroprojekt abgestimmt. Dafür seien detaillierte Informationen abgefordert und geprüft worden. Nur wenn es unumgänglich sei, würde die Datenbank zu Wartungszwecken an Mikroprojekt übertragen. Das geschehe über eine verschlüsselte Verbindung per HTTPS. "Darüber hinaus wird die Datenbank jetzt durch den Administrator vor dem Versand nach internen Vorgaben verschlüsselt", schreibt der Landkreis Eichsfeld.

Der Landkreis Harz hat nach der Installation der Software ausgewählten Mitarbeitern administrative Rechte eingerichtet und das Admin-Konto der Firma Mikroprojekt deaktiviert. Bisher seien keine Datenbanken zur Fehlerbehebung an Mikroprojekt übermittelt wurden. Das schreibt auch der Landkreis Wittenberg. Von dort heißt es außerdem, der Fachdienst Gesundheit würde darüber entscheiden, welcher Nutzer welche Daten einsehen könne. Dafür gebe es eine Dienstanweisung. Wegen der Berichte sei mit Mikroprojekt auf eine "sichere Konfiguration und Parametrisierung" geachtet worden. Außerdem will der Landkreis Wittenberg die Software vor dem Einsatz in einem Penetrationstest überprüfen.

Die Landesdatenschutzbeauftragten von Thüringen und Sachsen-Anhalt haben bislang nicht eingegriffen. Thüringens Landesdatenschutzbeauftragter hat die Gesundheitsbehörden sensibilisiert, aber in den Ämtern vor Ort nicht geprüft oder kontrolliert. Es gebe keine Anhaltspunkte auf Datenschutzverstöße oder Beschwerden, schreibt er.

In seiner Antwort auf die MDR-Fragen findet sich der bemerkenswerte Satz: "Die Verwendung einer Software, die nicht datenschutzgerecht designt wurde, stellt nicht per se einen Verstoß gegen die DSGVO dar, wenn datenschutzkonforme Rechte für die Nutzer eingerichtet wurden." Die meisten in der Presse dargestellten Probleme könnten vor Ort behoben werden, schreibt der Thüringer Datenschutzbeauftragte.

Die Person, die dem MDR zu dem Fall Dokumente zur Verfügung gestellt hat, glaubt, dass der Datenschützer bei seiner Einschätzung zu sehr dem Hersteller vertraut: "Die verschiedenen Sicherheitsprobleme sind Fehler, die in der Software vorliegen. Es ist nicht möglich, dass Admins in den Ämtern sie beheben. Nur der Softwarehersteller kann sie durch Programmieren und Anpassungen an der grundsätzlichen Softwarearchitektur beheben."

In Thüringen ist für IT-Sicherheit in den Landesbehörden das Finanzministerium zuständig. Es kann zu "Mikropro" noch nichts entscheiden, weil nicht alle Unterlagen vorliegen würden. Überhaupt habe man keinen "vertieften Einblick" in die Softwarelandschaft der Kommunen, weil diese viele verschiedene Software-Produkte nutzen. Thüringens Gesundheitsministerium will den Gesundheitsämtern bis zum Herbst eine landesweit einheitliche Software anbieten. Ob "Mikropro" an dieser Ausschreibung teilnimmt, sagt das Gesundheitsministerium nicht.

Allerdings hat das Gesundheitsministerium einen fast 100 Seiten langen Anforderungskatalog an Software für Gesundheitsämter verfasst. Darin listet es 15 Anforderungen zu IT-Sicherheit und Datenschutz auf. Diese Anforderungen erfülle "Mikropro" nicht, sagt die Person, die anonym bleiben will und die mit der Digitalisierung des öffentlichen Gesundheitssystems befasst ist. Thüringens Gesundheitsministerium schreibt, die in den "Zeit"-Artikeln genannten Mängel der IT-Sicherheit von "Mikropro" seien mit den Anforderungen an die laufende Ausschreibung abgeglichen worden: "Die darin enthaltenen IT-Sicherheitsanforderungen schließen die in den Artikeln genannten Mängel an der IT-Sicherheit aus." Mit anderen Worten: Wenn die Berichte stimmen, kann "Mikropro" keine landesweite Software werden.

In Sachsen-Anhalt hält der Informationssicherheitsbeauftragte der Landesregierung im Digitalministerium die in der "Zeit" geschilderten Einsatzgepflogenheiten der Software "in weiten Teilen für sehr bedenklich". Die verantwortlichen Gesundheitsämter seien auf die Mitwirkung des Herstellers angewiesen. Er "könnte durch Umgestaltung der Software beziehungsweise der Konfiguration im Auslieferungszustand erheblich zum Sicherheitsniveau beitragen." Der Informationssicherheitsbeauftragte von Sachsen-Anhalt listet in seiner Antwort an den MDR neun Empfehlungen für Gesundheitsämter auf.

Was bleibt, ist eine problematische Software, die mit hochsensiblen Gesundheitsdaten der Gesundheitsämter arbeitet und Landkreise, die diese Software für viel Geld kaufen, womöglich zu wenig Einblick in die Funktionsweise haben und die Software noch umfangreich einrichten müssen.