Sehr
<< Antragsteller:in >>
ich bedanke mich für Ihre Anfrage vom 05.04.2024 auf der Grundlage des IZG LSA und das damit bekundete Interesse an der Arbeit des Ministeriums für Infrastruktur und Digitales des Landes Sachsen-Anhalt. Ihre Anfrage richtete sich auf "Die im Podcast "Digital leben" Folge 79 - Eine Software in Gesundheitsämtern sät Zweifel an der digitale Verwaltung" (
https://www.ardaudiothek.de/episode/digital-leben/podcast-digital-leben-folge-79-eine-software-in-gesundheitsaemtern-saet-zweifel-an-der-digitale-verwaltung/mdr-sachsen-anhalt/13267885/) angesprochene Einschätzung ihrer Behörde zu der Software der Firma Mikroprojekt."
Auf die in diesem Zusammenhang gestellte Frage des MDR:
"Angesichts der Berichterstattung der Zeit (
https://www.zeit.de/digital/datenschutz/2023-11/it-sicherheit-gesundheitsaemter-rheinland-pfalz-software-datenschutz): Was empfiehlt der CISO der Landesregierung Landkreisen oder Kommunen, die in ihren Gesundheitsämtern die Software "Mikropro" einsetzen?
wurde dem MDR die folgende Antwort übermittelt:
Dem CISO ist die Software "MikroPro Health" nur aus der Fachpresse bekannt. Die dort getroffenen Aussagen als zutreffend unterstellt, empfiehlt der CISO den Kommunen und Landkreisen hinsichtlich der Software:
1. Kontrolle und ggf. Vornahme der unzureichenden Grundkonfiguration:
* Absicherung des "Ur-Nutzer"-Kontos,
* Absicherung des administrativen Zugriffs des "SQL-Editors",
* Verschlüsselte Speicherung der Passwörter der Nutzer,
2. Wartung und Administration über Fernwartungszugänge oder vor Ort in der Systemlandschaft innerhalb der öffentlichen Einrichtung und nicht durch Übersendung der gesamten Datenbank; sofern ebendies erforderlich sein sollte, zwingende Nutzung von Verschlüsselung bei der Übertragung,
3. Umsetzung bzw. Einforderung eines wirksamen Berechtigungskonzepts, das Zugriffe von Personen ohne Kenntnisnahmeerfordernis soweit wie möglich unterbindet und Zugriffe nachprüfbar protokolliert,
4. Hinwirkung als Auftraggeber auf
* die grundsätzliche Auslieferung mit sicheren Voreinstellungen; Vorsehung eines Installationsablaufs der aus Sicht der Informationssicherheit erforderliche Änderungen (Passwörter usw.) einfordert,
* Entfernung der fest eingebauten Zugangsdaten ("hard coded"),
* sofern nicht gegeben: Trennung der Datenbank von der eigentlichen Anwendersoftware sowie Nutzung eines marktgängigen Datenbanksystems und
* Prüfung der Umsetzung der Verschlüsselung der sensiblen Datenbestände in der Datenbank.
Der CISO erachtet die im Bericht der Zeit geschilderten Einsatzgepflogenheiten der Software in weiten Teilen für sehr bedenklich, nicht nur in Bezug auf die Informationssicherheit, sondern u. a. auch auf Art. 32 DSG-VO. Letztlich verantwortlich dürfte aber das Gesundheitsamt der jeweiligen Kommune sein. Bei einzelnen Punkten ist dieses auf die Mitwirkung des Herstellers angewiesen. Der Hersteller könnte durch Umgestaltung der Software bzw. der Konfiguration im Auslieferungszustand erheblich zum Sicherheitsniveau beitragen.
Ich gehe davon aus, Ihren Auskunftsanspruch damit erfüllt zu haben.
Mit freundlichen Grüßen
