Security: Sicherheitslücke in Zahnarztpraxen-System
Die Compugroup Medical (CGM) gehört zu den großen Softwareanbietern im deutschen Gesundheitswesen – und versorgt auch tausende Zahnarztpraxen mit ihrer Verwaltungssoftware Z1. Nach Recherchen und Hinweisen von IT-Dienstleistern sollen dort Standard-Passwörter und unverschlüsselte Back-ups Patientendaten angreifbar gemacht haben. Obwohl CGM die Vorwürfe zurückweist, zeigt der Fall nicht nur die Brisanz vertraulicher Gesundheitsdaten, sondern auch, wie schwierig in Deutschland der Umgang und das Melden von Sicherheitslücken ist.
Die CGM(öffnet im neuen Fenster) ist ein in Koblenz ansässiges, börsennotiertes Softwareunternehmen, das Programme für das Gesundheitswesen entwickelt. Im Angebot findet sich auch Anwendungssoftware zur Unterstützung ärztlicher und organisatorischer Tätigkeiten in Arztpraxen, Apotheken, medizinischen Laboratorien und Krankenhäusern.
Praxisverwaltungssoftware von mehr als 7.000 Zahnärzten eingesetzt
Das Unternehmen beschäftigte 2024 nach eigenen Angaben rund 8.700 Mitarbeiter in 19 Ländern und vertrieb seine Produkte in 60 Länder. Für den Bereich der zahnärztlichen Versorgung wird die Praxisverwaltungssoftware CGM Z1 angeboten(öffnet im neuen Fenster) , die laut Firmenaussage bei mehr als 7.000 Zahnärzten im Einsatz ist. CGM gehört zu den Marktführern in diesem Bereich(öffnet im neuen Fenster) .
Mitte Juli 2025 wurde bekannt, dass die CGM einen Millionenauftrag zur Ausstattung der Bundeswehr mit Arzt- und Zahnarzt-Informationssystemen erhalten hat(öffnet im neuen Fenster) . Der Eigentümer der Compugroup Medical, Frank Gotthardt, steht wegen der Finanzierung des Portals Nius in der Kritik .
Hinweise auf gravierende Schwachstellen in Z1
Praxisverwaltungssysteme (PVS) sind die Basis für Behandlung, Abrechnung und für die elektronische Patientenakte (ePA). Sicherheit ist also ein wichtiges Kriterium bei ihrem Einsatz – zumal Patientendaten zu den besonders sensitiven Daten gemäß DSGVO gehören.
Am 10. März 2025 erhielt ich eine Mail von einer anonym bleiben wollenden Quelle(öffnet im neuen Fenster) . Die Person schrieb mir, dass sie im Rahmen der Tätigkeit als IT-Dienstleister regelmäßig Berührungspunkte mit Zahnarztpraxen habe. Ihr war aufgefallen, dass die Set-up-Prozedur zum Einrichten der Z1-Software ein festes Passwort benutze und dieses sowohl an den Superadmin sa als auch an den Client-Nutzer z1 zum Zugriff auf die SQL-Datenbank vergebe. Solche Konstellationen mit fest vergebenen Passwörtern gelten bei Sicherheitsexperten als schwere Sicherheitslücke.
Erfahrene Dienstleister können diese Kennwörter mit entsprechenden Fachkenntnissen und Informationen für den Zugang zwar ändern, da dies jedoch beim Set-up nicht angezeigt und kein Passwortwechsel erzwungen wurde, ging die Quelle davon aus, dass in einer Vielzahl der Zahnarztpraxen, die die Z1-Praxisverwaltungssoftware einsetzen, diese Standard-Passwörter weiter in Verwendung seien.
Vollständiger Zugriff auf die SQL-Datenbank mit Patientendaten
Im Praxisverwaltungssystem Z1 ist der Zugriff auf die Patientendaten für den Zahnarzt und sein Personal zwar per Kennwort abgesichert. Die Beobachtung des Dienstleisters bedeutet aber, dass jeder Fachkundige, der Zugriff auf das Praxisnetzwerk hat und die bei der Installation gesetzten Kennwörter kennt, einen vollständigen Zugriff auf die SQL-Datenbank mit den Patientendaten erhält.
So können nicht nur Daten eingesehen, sondern auch kopiert oder manipuliert werden. Das wäre grundsätzlich natürlich auch per Software möglich, die auf einen der Praxisrechner geladen und dann ausgeführt wird.
Ferner schrieb die Quelle, dass die Back-ups, die von der Z1-Software angefertigt wurden, ein unverschlüsselter SQL-Dump der Datenbank mit den Patientendaten seien. Das Zurücklesen eines solchen Back-ups erfordere ein aus vier Zeichen bestehendes, aber trivial zu ermittelndes Kennwort. Dieses erhielten Berechtigte von der Hotline der Compugroup Medical – sofern diese besetzt ist.
Kontakt zum Landesbeauftragten für Datenschutz Rheinland-Pfalz
Angesichts der Verwerfungen, die der sogenannte Hackerparagraf (§202c) und das Modern-Solutions-Urteil gegen einen Entwickler zur Folge haben, stellte sich die Frage, wie in der Angelegenheit zu verfahren sei. Die Quelle entschloss sich, nichts zu melden, da sie sich möglicherweise gemäß §202c strafbar gemacht haben könnte.
Ich entschloss mich, aufgrund des Sachverhalts als Mittler zu fungieren und den Beauftragten für Datenschutz des Bundeslandes Rheinland-Pfalz einzuschalten beziehungsweise anzufragen. Nachdem sich der Landesbeauftragte für Datenschutz (LfD) Rheinland-Pfalz als zuständig erklärt hatte, fanden über ihn im März 2025 konkrete Nachfragen bezüglich des obigen Sachverhalts bei der Compugroup Medical statt.
In einer Stellungnahme, die mich am 20. Mai 2025 erreichte, bestritt das Unternehmen die im März 2025 geschilderten Sachverhalte, wie ich in meinem Blog dokumentiert habe(öffnet im neuen Fenster) .
CGM verwies zudem darauf, dass der Dienstleister und letztendlich die Zahnarztpraxis dafür verantwortlich seien, die Systeme fachgerecht abzusichern. Zudem hieß es, die Software biete bereits die Änderung des Passworts an. Aufgrund dieser Aussagen stufte der Landesbeauftragte für Datenschutz (LfD) Rheinland-Pfalz den Sachverhalt als nicht zu beanstanden ein.
Ein wundersames Update im Mai 2025
Ich wunderte mich über die Stellungnahme der CGM gegenüber dem LfD, hatte ich doch glaubhafte Informationen, dass das in der Vergangenheit anders war. Auf eine Evaluierung verzichtete ich, aufgrund von §202c und auch mangels Zugriffs auf das System. Allerdings erfuhr ich von meiner Quelle, dass "Anfang Mai 2025" ein größeres Update der CGM Z1-Software für Zahnarztpraxen ausgerollt worden sei. Es musste zunächst ein Wartungsupdate und dann ein größeres Update für alle Z1-Clients auf die Version 2.91 installiert werden.
Zudem hieß es, dass das Wartungsupdate zwingend nötig sei, da dort zwei Passwörter, eines für den DB-Admin (sa) und eines für die Z1-Datenbank (vermutlich User z1), gesetzt würden. Ohne diese Änderung habe sich laut der Quelle das umfangreichere Update der Z1-Software auf die Version 2.91 für die Clients nicht installieren lassen.
Ausweislich der von mir dokumentierten Details(öffnet im neuen Fenster) wirbt der Hersteller damit, dass die Neuerungen des Z1-Updates auf die Version 2.91 "insbesondere den Datenschutz und die Sicherheit" des Systems betreffen. Mit dem Update werde die Z1-Software vor Fremdzugriffen auf die Praxisdaten geschützt. Eine zeitliche Einordnung der Reihenfolge einzelner Vorgänge ergibt folgendes Bild:
- Im März 2025 fragte der Landesbeauftragte für Datenschutz (LfD) Rheinland-Pfalz aufgrund meiner Hinweise bei der Compugroup Medical (CGM) konkret nach den oben aufgeworfenen Sachverhalten an.
- Von Mitte März bis Ende April 2025 entwickelte CGM das erwähnte Update auf die Version 2.91 für die Z1-Praxisverwaltungssoftware.
- Das Update wurde bis Anfang Mai 2025 in den Praxen ausgerollt.
- Einige Tage später ging eine Stellungnahme an den Landesbeauftragten für Datenschutz (LfD) Rheinland-Pfalz.
In dieser Stellungnahme konnte von CGM wahrheitsgemäß bestritten werden, dass die aktuelle Version der Software die gemeldeten Sicherheitslücken aufwies.
Der Fall zeigt, wie schwierig und komplex sich der Umgang mit und die Meldung von Schwachstellen in Software-Systemen durch §202c in Deutschland gestaltet. Am Ende hat die Meldung an den LfD aber dazu geführt, dass die Z1-Praxisverwaltungssoftware für Zahnärzte mit dem Update auf die Version 2.91 ein Stück sicherer wurde.
Die CGM bietet noch weitere Praxisverwaltungssysteme und spezielle Software an. Quellen haben mir mitgeteilt, dass sie die gleichen, weiter oben beanstandeten Sicherheitslücken aufweisen. Inwieweit sie inzwischen korrigiert sind, entzieht sich meiner Kenntnis, da ich keinen Zugriff auf entsprechende Systeme habe.