Sicherheitswarnung: Schwachstelle in Zahnarzt-PVS CGM Z1

In der in Deutschland weit verbreiteten Praxisverwaltungssoftware CGM Z1 wurden kritische Konstellationen entdeckt, durch die Patientendaten lesbar, kopierbar und sogar veränderbar gewesen sein könnten.

Die wichtigsten Fakten in Kürze

• Reichweite: CGM Z1 wird laut Hersteller in tausenden Zahnarztpraxen eingesetzt (mehr als 7.000 Praxen werden genannt).
• Problemursachen: Es wurden Hinweise gemeldet, dass bei der Einrichtung Standard-/fest voreingestellte Passwörter (z. B. für den SQL-DB-Account „sa“ bzw. „z1“) verwendet wurden - wer diese Kennwörter kannte und ins Praxisnetz kam, hätte vollständigen Zugriff auf die SQL-Datenbank. Außerdem sollen Backups im Klartext (unverschlüsselte SQL-Dumps) existiert haben, die sich mit einem trivialen Passwort wiederherstellen ließen.
• Reaktion des Herstellers / Status: CGM bestreitet die Vorwürfe für die aktuelle Version; nach Hinweisen an den Landesdatenschutzbeauftragten wurde ein größeres Update (Version 2.91) Anfang Mai 2025 ausgerollt, das laut Hersteller Datenschutz/Sicherheit verbessern soll. Der zuständige Landesbeauftragte für Datenschutz hielt den Sachverhalt letztlich für nicht zu beanstanden.
• Kontext: Der Fall zeigt auch, wie kompliziert das Melden und Bewerten von Sicherheitslücken in Deutschland ist (z. B. rechtliche Unsicherheiten rund um §202c StGB).

Warum das relevant ist

Patientendaten gehören zu den besonders schützenswerten personenbezogenen Daten (DSGVO). Zugriff auf die PVS-Datenbank bedeutet nicht nur Datenschutzverletzung - es kann auch Abrechnungen, Behandlungsdaten und Vertrauen gefährden. Als IT-Dienstleister oder Praxisbetreiber musst du das Risiko ernst nehmen.

Sofort-Check: 7 Dinge, die du JETZT prüfen solltest

(keine langen Analysen, lieber direkt anpacken)

1. Version prüfen – Läuft in deiner Praxis die aktuelle, vom Hersteller empfohlene Version (mind. 2.91 oder neuer)? Falls nicht: Update planen.
2. Standard-Passwörter vermeiden – Kontrolliere, ob bei Installation noch Standardkennwörter verwendet werden (DB-Accounts, Service-Accounts). Ändern, Passwortpolicy durchsetzen.
3. Backups verschlüsseln – Backups dürfen nicht als unverschlüsselter SQL-Dump herumliegen. Sorge für verschlüsselte Backups und sichere Offsite-Aufbewahrung.
4. Zugriffsrechte begrenzen – Beschränke DB-Zugriff auf notwendige Accounts; trenne Praxisnetz vom Internet; verwende VLANs / Segmentierung.
5. Logging & Monitoring – Aktiviere und überprüfe Zugriffslogs; setze einfache Alarme bei ungewöhnlichen DB-Zugriffen.
6. Hotline & Support-Prozesse – Kläre, welche Informationen deine Hersteller-Hotline wirklich herausgibt (Passwortfragen etc.) und dokumentiere Support-Zugriffe.
7. Datenschutzbeauftragten informieren – Falls Verdacht auf Datenpanne besteht: Datenschutzbeauftragten einbeziehen und rechtliche Schritte prüfen (DSGVO-Meldepflichten).

Was wir aus Sicht von Radan IT empfehlen

• Schnellprüfung durch Experten: Lass in 30–60 Minuten (Remote) die Grundkonfiguration prüfen: Versionsstand, Passwörter, Backup-Konfiguration, Netzwerksegmentierung.
• Sofort-Hardening: Passwortwechsel, Backup-Verschlüsselung, minimale DB-Rechte, Einrichtung von Firewall-/VLAN-Regeln.
• Langfristig: Monitoring, regelmäßige Pen-Tests / Security-Checks, Mitarbeiterschulungen (Social-Engineering, sichere Abläufe beim Update/Support).

Fazit

Die Meldung zeigt: Es reicht nicht, sich auf den Hersteller zu verlassen - Praktische Sicherheit bedeutet aktive, wiederkehrende Maßnahmen: sichere Passwörter, verschlüsselte Backups, klar geregelte Zugriffskanäle und zeitnahe Updates. Ob die Probleme für alle CGM-Produkte inzwischen vollständig geschlossen sind, lässt sich ohne Audit nicht sicher sagen - also lieber prüfen und absichern.