Ist ein externer Sicherheits-Check durch ZDKG nach § 202c StGB strafbar?

Nein. § 202a StGB setzt voraus, dass besonders gesicherte Daten ausgespäht werden; § 202c setzt eine bevorstehende Tat nach § 202a voraus. Unsere Prüfungen tasten ausschließlich die öffentlich erreichbare Oberfläche ab — DNS, HTTP-Header, TLS-Konfiguration, öffentliche Banner. Wir versuchen keine Authentifizierung, setzen keine Exploits ein und greifen nicht auf geschützte Daten zu. Der Check endet genau dort, wo ein eigentlicher Penetrationstest beginnen würde.

Wann scannt ZDKG ohne vorherigen schriftlichen Auftrag?

Wenn wir bei einer Einrichtung im Gesundheitssektor öffentlich erkennbare Anzeichen für Compliance-Lücken finden — durch eigene Beobachtung oder auf Hinweis Dritter — führen wir einen öffentlichen Sicherheits-Check durch und wenden uns anschließend direkt an die Verantwortlichen. Grundlage ist das Prinzip der verantwortungsvollen Offenlegung, mit dem Ziel, Pflichtverletzungen gegenüber DSGVO, § 75b SGB V und § 203 StGB abzustellen, bevor ein Angreifer sie ausnutzt.

Ist ein Pentest für MVZ und Arztpraxen gesetzlich vorgeschrieben?

Nicht explizit, aber § 75b SGB V und die KBV-IT-Sicherheitsrichtlinie fordern eine regelmäßige Überprüfung der Wirksamkeit technischer Schutzmaßnahmen — das wird in der Praxis durch externe Sicherheitsprüfungen nachgewiesen. Art. 32 DSGVO verlangt dasselbe generell für personenbezogene Daten.

Prüft ZDKG auch Behörden und Körperschaften des öffentlichen Rechts?

Ja. Kommunal- und Landesbehörden, Kammern, Sozialversicherungsträger und Hochschulen gehören zu unserem Kernkundenkreis. Wir arbeiten entlang BSI IT-Grundschutz, NIS2UmsuCG und den Anforderungen des jeweiligen Landesrechts.

Werden Daten verändert oder gelöscht?

Nein. Unsere Methodik ist read-only. Wir verändern keine Daten, unterbrechen keinen Betrieb und führen keine destruktiven Eingriffe durch. Jede Handlung wird reproduzierbar protokolliert.

← Startseite

Leistungsbeschreibung und Rechtsrahmen

Penetrationstests mit
Rückgrat.

ZDKG ist ein professionelles IT-Sicherheitsunternehmen, spezialisiert auf das deutsche Gesundheitswesen, Ämter und Körperschaften des öffentlichen Rechts. Unsere externen Sicherheitsprüfungen erfolgen ausschließlich auf Basis eines schriftlichen Auftrags — in voller Übereinstimmung mit deutschem Strafrecht, DSGVO und BSI-Standards.

Sicherheit darf nicht von der Freundlichkeit eines Angreifers abhängen —
sondern von der Belastbarkeit der geprüften Systeme.

Wer wir sind

Die Advanced Analytics GmbH betreibt unter der Marke ZDKG — Zentrum für Digitale Kommunikation und Governance IT-Sicherheits- und Compliance- Dienstleistungen für regulierte Institutionen. Geschäftsführer ist Daniel Rupp, eingetragen beim Amtsgericht Göttingen (HRB 207315).

Wir sind ausschließlich im Auftragsgeschäft tätig. Jede einzelne unserer Prüfungen beruht auf einer schriftlichen Freigabe der jeweiligen Einrichtung — repräsentiert durch Geschäftsführung, IT-Leitung oder Ärztekammer-/Kassenärztliche-Vereinigung-Vorgaben.

Unser Auftrag — Rechtstreue im Gesundheitssektor

Wir arbeiten nicht ausschließlich im klassischen Auftragsmodell. Wenn wir bei einer Praxis, einem MVZ oder einer Körperschaft des öffentlichen Rechts öffentlich erkennbare Anzeichen für Compliance-Lücken finden — durch eigene Beobachtung oder auf Hinweis Dritter — prüfen wir die betroffene Infrastruktur und wenden uns anschließend direkt an die Verantwortlichen. Unser Ziel ist Rechtstreue im Gesundheitswesen: DSGVO, § 75b SGB V, KBV-IT-Sicherheitsrichtlinie und die strafrechtliche Schweigepflicht nach § 203 StGB sollen nicht nur auf dem Papier gelten.

Die Grenze unserer Prüfungen

Jede unserer Untersuchungen endet dort, wo ein eigentlicher Penetrationstest beginnen würde. Konkret bedeutet das:

Wir tasten ausschließlich die öffentlich erreichbare Oberfläche an — DNS-Einträge, HTTP-Header, TLS-Konfiguration, Certificate-Transparency-Logs, Banner auf offenen Ports, bereits öffentlich indexierte Subdomains.
Wir versuchen keine Authentifizierung, geben keine Credentials ein, setzen keine Exploits ein, greifen nicht auf besonders gesicherte Daten im Sinne von § 202a StGB zu.
Wir verändern nichts und stören keinen Betrieb. Unsere Methodik ist read-only.
Unsere Ergebnisse gehen ausschließlich an den Systeminhaber — niemals an Dritte oder in die Öffentlichkeit.

Warum das rechtlich sauber ist

§ 202a StGB setzt voraus, dass besonders gesicherte Daten ausgespäht werden. Wir sehen ausschließlich Daten, die der Systembetreiber selbst öffentlich bereitstellt. § 202c StGB (Vorbereiten des Ausspähens) wiederum setzt eine bevorstehende Tat nach § 202a voraus — auch dieser Tatbestand wird nicht berührt. Der Gesetzgeber hat in der Begründung zum IT- Sicherheitsgesetz klargestellt, dass reine Recherche und dokumentarische Prüfungen durch Sicherheitsexperten nicht unter das Verbot fallen.

Unser Ansatz entspricht damit dem international etablierten Prinzip der verantwortungsvollen Offenlegung — mit einem zusätzlichen Fokus: regulierte Einrichtungen im Gesundheitswesen haben eigenständige Pflichten nach § 75b SGB V und DSGVO Art. 32. Offene Sicherheitslücken, die wir sehen können weil sie von außen sichtbar sind, bedeuten in solchen Einrichtungen regelmäßig eine fortlaufende Pflichtverletzung. Unsere Hinweise versetzen die Verantwortlichen in die Lage, sie abzustellen, bevor ein Angreifer sie ausnutzt — und helfen damit nebenbei, die Nachweispflichten gegenüber der Kassenärztlichen Vereinigung und der zuständigen Datenschutz-Aufsichtsbehörde zu erfüllen.

Wen wir prüfen

Gesundheitswesen

Medizinische Versorgungszentren, Arztpraxen, ärztliche Gemeinschaftspraxen, Pflegeeinrichtungen, Labore und Abrechnungsdienstleister. Wir kennen die Besonderheiten: KIM-Postfach, TI-Konnektor, Praxisverwaltungssoftware (TurboMed, MEDISTAR, Albis, CGM), Abrechnungsportale der KVen, Dokumentenmanagement in elektronischen Patientenakten.

Öffentliche Hand und Körperschaften des öffentlichen Rechts

Kommunal- und Landesbehörden, Kammern, Sozialversicherungsträger, Hochschulen. Unsere Prüfungen richten sich nach dem BSI IT-Grundschutz, dem NIS2-Umsetzungsgesetz sowie den Mindestanforderungen des jeweiligen Landesrechts.

Regulierte KMU

Rechtsanwalts- und Steuerkanzleien, Notariate, Versicherungsmakler — überall dort, wo berufsrechtliche Schweigepflichten mit DSGVO-Pflichten zusammentreffen und eine unabhängige technische Prüfung rechtlich erwartet wird.

Was wir prüfen

Externe Angriffsfläche und interne Härtung nach anerkannten Methodologien (OSSTMM, OWASP Testing Guide, PTES). Eine Auswahl:

Netzwerk und Infrastruktur — offene Ports, Fernwartungszugänge (RDP, SSH, VPN-Gateways), nicht segmentierte Management-Interfaces.
Webanwendungen — Authentifizierung, Session-Management, Injection-Klassen, CSRF/XSS/IDOR, CMS- und Plugin-Versionen.
E-Mail-Sicherheit — SPF, DKIM, DMARC, MTA-STS, TLS-RPT, Spoofing- und Phishing-Resistenz.
TLS und Verschlüsselung — Zertifikatsketten, Cipher-Auswahl, Forward Secrecy, Protokoll-Versionen.
DSGVO-Compliance — Cookie-Flags, Tracker ohne Consent, Impressum und Datenschutzerklärung, EXIF-Leaks in veröffentlichten Dateien.
Healthcare-Spezifika — KIM-DNS, TI-Konnektor-Erreichbarkeit, PVS-Fingerprint, Patient-API-Check.
Schwachstellen-Abgleich — NVD-CPE-Lookup, CISA Known Exploited Vulnerabilities, EPSS-Score.

Rechtsgrundlagen und Normen im Überblick

§ 202a-c StGB: Ausspähen und Vorbereiten des Ausspähens von Daten — durch schriftlichen Auftrag ausgeschlossen.
§ 303a-b StGB: Datenveränderung und Computersabotage — wir führen ausschließlich passive/dokumentarische Tests ohne Schreibzugriff durch.
Art. 32 DSGVO: Sicherheit der Verarbeitung — regelmäßige Überprüfung der Wirksamkeit technischer und organisatorischer Maßnahmen.
§ 75b SGB V: IT-Sicherheit in der vertragsärztlichen Versorgung — KBV-IT-Sicherheitsrichtlinie Anlagen 1–5.
BSI IT-Grundschutz: BSI-Standard 200-1 bis 200-3, insbesondere INF-, OPS- und NET-Bausteine.
NIS2 / NIS2UmsuCG: Für als wesentlich oder wichtig eingestufte Einrichtungen im Gesundheitssektor.

Unser Arbeitsversprechen

Saubere rechtliche Grundlage. Jeder Test beginnt mit einer dokumentierten Auftragsbestätigung und klar abgegrenztem Prüfumfang.
Keine destruktiven Eingriffe. Unsere Methodik ist Read-only; wir verändern keine Daten und unterbrechen keinen Betrieb.
Vollständige Dokumentation. Jeder Scan wird reproduzierbar protokolliert — Sie bekommen Rohdaten und Auswertung.
Verständliche Berichte. Management-Zusammenfassung für Geschäftsführung, technische Detailbefunde für das IT-Team, juristische Einordnung für den Datenschutzbeauftragten.
Verantwortliche Offenlegung. Befunde gehen ausschließlich an den Auftraggeber, nicht an Dritte.

Kontakt für Auftraggeber

Sie möchten eine Prüfung beauftragen oder eine bestehende Dokumentation mit uns abstimmen? Schreiben Sie uns direkt — wir melden uns innerhalb eines Werktags.

E-Mail: info@zdkg.de
Telefon: +49 176 43677735
Anschrift: Advanced Analytics GmbH · Hans-Böckler-Straße 2c · 37079 Göttingen

Penetrationstests mitRückgrat.