SORMAS-ÖGD

aktualisiert: 2023-09-21

Im Rahmen der Corona-Pandemie sollte bundesweit SORMAS-ÖGD in den Gesundheitsämtern eingeführt werden.

Dokumente zur Evaluation von SORMAS-ÖGD

Die Einführung verlief anfangs sehr schleppend, daher meine erste Anfrage beim Gesundheitsamt - Landkreis Saarlouis nach Dokumenten in denen es um die Abstimmung oder Evaluierung dieser Software ging.

• Anfrage vom 03.01.2021
• Antwort am 06.02.2021

Die Antwort fiel nur sehr knapp aus, im Gesundheitsamt war SORMAS-ÖGD nicht eingeführt und es war nicht im Einsatz.

Verwendung von SORMAS im Saarland

Um weitere Informationen auf Landesebene zu dem Vorgang zu bekommen, habe ich anschließend eine Anfrage an das Ministerium für Soziales, Gesundheit, Frauen und Familie Saarland gestellt. Hierbei galt mein Interesse der aktuell bekannten Anzahl an Gesundheitsämtern im Saarland die bereits SORMAS-ÖGD nutzen, sowie eventuelle Schreiben des Ministeriums über potentielle Empfehlungen an die Gesundheitsämter.

• Anfrage vom 18.01.2021
• Antwort vom 29.03.2021

Leider gab es, auch auf erneuten Verweis auf die Anfrage und deren Frist, keine Reaktion aus dem Ministerium, bis zur Nachfrage, in der allerdings nur nach erneuter Übermittelung der Anfrage gebeten wurde, da sie “nicht bekannt ist”. Auf die danach kopierte erneute Anfrage gab es keine Antwort oder Reaktion mehr.

Unterlagen zur Sicherheit des digitalen Symptom-Tagebuchs von Climedo Health

Angebunden an die SORMAS Installationen die in den deutschen Gesundheitsämtern genutzt wurden, wurde ein Symptom-Tagebuch von Climedo Health eingeführt. Hierbei konnte ein Gesundheitsamt für infizierte Personen einen Link erzeugen und diese konnten eigentständig täglich ihre Symptome erfassen. Auf der Website der Lösung wurde mit einem “Tests auf Penetration” durch das BSI geworben, daher habe ich die Ergebnisse dieser Tests beim Bundesamt für Sicherheit in der Informationstechnik angefragt.

• Anfrage vom 25.03.2021
• Antwort vom 14.06.2021

Nach Nachfrage durch das BSI, da die Anfrage die Belange Dritter berührte, und entsprechend gelieferter Begründung wurde der Anfrage zumindest teilweise zugestimmt und eine geschwärzte Version der Ergebnisse übermittelt. Diesen konnte allerdings wenig entnommen werden, da die Dokumente durch die Climedo Health GmbH bis zur Unkenntlichkeit geschwärzt wurden.

Datenschutz Konzept des Symptom-Tagebuchs von Climedo Health

Gleichzeitig zur Anfrage beim BSI habe ich beim Bundesbeauftragter für den Datenschutz und die Informationsfreiheit eine Anfrage nach dem Datenschutz Konzept und Dokumenten zur Abstimmung mit der Climedo Health GmbH gestellt. Diese hatte, laut ihrer Website, die Anwendung “unter Einbezug […] Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) […] entwickelt.”

• Anfrage vom 25.03.2021
• Antwort vom 03.05.2021

Die Anfrage wurde allerdings abgelehnt, da es keinen Austausch zwischen dem BfDI und der Climedo Health GmbH gab. Außerdem konnten auch keine Fragen zum Datenschutzkonzept beantwortet werden, da der BfDI das BMG zu der Zeit beraten hat und damit “der Schutz der Vertraulichkeit behördlicher Beratungen, einem Informationszugang entgegen” stand.

Unterlagen zur Sicherheit der E-Health-Software SORMAS

In den Issues des Github Repositories der Anwendung bin ich über Verweise auf Pentests des BSI gestoßen, daher habe ich diese beim Bundesamt für Sicherheit in der Informationstechnik angefragt.

• Anfrage vom 21.09.2022
• Antwort vom 30.01.2023

Nachdem eine Begründung um ein Drittbeteiligungsverfahren anzustoßen nachgeliefert wurde, gab es eine stark geschwärzte Antwort. Der eigentliche Pentest Report wurde nicht geliefert, aber in der zusätzlich angehängten Kommunikation zwischen BSI und BMG wird auf zwei Schwachstellen (Blind SQL Injection & Stored XXS) verwiesen. Diese mussten geschlossen werden bevor SORMAS in einen produktiven Betrieb gehen durfte.