Auf Mastodon teilen

Antrag nach dem BremIFG/IWG/BremUIG/VIG Guten Tag, bitte senden Sie mir Folgendes zu:

Sehr << Antragsteller:in >> gerne bestätige ich Ihnen den Eingang Ihrer untenstehenden Anfrage nach dem BremIFG. Ich habe sie zur Beantwortung an die für das IFG zuständige Stelle des Gesundheitsamts Bremen weitergeleitet. Sie werden von dort eine Antwort bekommen. Mit freundlichen Grüßen

Vorgangsnummer Gesundheitsamt: 1-S1.1-IFG-24-01 Anfragenr: 294841 Sehr << Antragsteller:in >> Ihre Anfrage vom 14.12.2023 wurde zur Bearbeitung von der Senatorin für Gesundheit, Frauen und Verbraucherschutz an das Gesundheitsamt Bremen übermittelt. Das Gesundheitsamt Bremen verwendet von dem Unternehmen Mikroprojekt GmbH die Anwendung MikroPro JZAED (Jugendzahnärztlicher Dienst). Bei Rückfragen stehen wir Ihnen gern zur Verfügung. Mit freundlichen Grüßen

Sehr << Antragsteller:in >> der ZEIT-Artikel liegt mir leider nicht vor. Aus diesem Grund wäre ich Ihnen dankbar, wenn Sie die identifizierten Sicherheitslücken konkretisieren könnten. Mit freundlichen Grüßen

Sehr << Antragsteller:in >> die Beantwortung Ihrer Anfrage wird aktuell intern mit der IT-Sicherheit abgestimmt. Sobald die Bearbeitung abgeschlossen ist, lasse ich Ihnen die Antwort zukommen. Mit freundlichen Grüßen

Sehr << Antragsteller:in >> vielen Dank für die Geduld. Um Ihre Frage vollständig beantworten zu können, war eine Abstimmung mit der IT-Sicherheit erforderlich. Der Artikel bezieht sich auf Sicherheitsrisiken bei dem Produkt Mikropro Health. Dies ist beim Gesundheitsamt Bremen nicht in Verwendung. Aus diesem Grund kann ich zu Mikropro Health nicht Stellung nehmen. Der von Ihnen angeführte ZEIT-Artikel ist der IT-Sicherheit jedoch bekannt. Soweit Ihre Frage darauf abzielt, welche entsprechenden Risiken für das beim Gesundheitsamt verwendete Mikropro JZAED bestehen, so möchte ich darauf, wie folgt eingehen: Die IT-Sicherheit des Gesundheitsamtes Bremen sieht bei der Verwendung des Produktes keine entsprechenden Risiken im Gesundheitsamt. Das Produkt wird jedoch auch nicht im Auslieferungszustand verwendet. Es wurden seitens des Gesundheitsamtes mehrere zusätzliche IT-Sicherheitsebenen eingebaut. 1. Name und Passwort der Nutzer:innen sind zunächst für die Ersteinrichtung im Code hinterlegt. Im Anschluss an die Ersteinrichtung werden unmittelbar neue Passwörter festgelegt und User-Rechte eingeschränkt. Ein Einsehen, Einloggen, Verändern der Daten aller Nutzer:innen ist durch Eingabe des Quellcodes nicht mehr möglich. 2. Es wurden entsprechende Sicherheitsebenen eingebaut, durch welche mehrfach abgesichert ist, dass SQL-Abfragen in der Datenbank nur durch die berechtigten sowie zuständigen Nutzer:innen erfolgen können. 3. Im Gesundheitsamt werden die Passwörter nicht im Klartext verschlüsselt, sondern mit dem Verfahren AES-256. 4. Mikropro JZAED wird ausschließlich beim Zahnärztlichen Dienst verwandt. Der Zugriff auf andere Bereiche ist somit von Beginn an schon praktisch ausgeschlossen. Ein unberechtigter Zugriff innerhalb des Gesundheitsamtes wird durch entsprechende Rechtevergabe im AD (Active Directory) ausgeschlossen. Ein unberechtigter Zugriff von Nutzer:innen der Anwendung innerhalb der Anwendung wird durch Rechtevergabe innerhalb der SQL-Datenbank ausgeschlossen. Vor der Einrichtung der Zugriffsberechtigung wird somit genau festgelegt, welche Mitarbeitenden des Bereichs in welchem Umfang Zugriff erhalten sollen. Durch den Einbau verschiedener Sicherheitsebenen wird ausgeschlossen, dass Mitarbeitende, denen die Berechtigung entzogen wurde, weiterhin Zugriff erhalten können. Ein unberechtigter Zugriff auf Vorgänge scheidet dadurch aus. 5. Dem Unternehmen Mikroprojekt GmbH wird ausschließlich im Rahmen des mit dem Gesundheitsamt vereinbarten Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO ein kontrolliertes Zugriffsrecht zum Zweck der Ausführung von Wartungen eingeräumt. Hierbei erhält das Unternehmen ausschließlich Zugriff auf eine verschlüsselte Kopie. Mit freundlichen Grüßen