In den ZAR Reha-Kliniken ist gerade ein potentielles Datenleck bekannt geworden, welches die persönlichen Daten von 100.000enden Patienten gefährdet hat. Eine den Patienten für Therapiepläne bereitgestellte App, des in ganz Deutschland tätigen Anbieters, übertrug Daten im Klartext und ermöglichte Einblick in sensitive Inhalte. Das Problem ist inzwischen durch Aktualisierung der App behoben.

CISA: Backdoor in Patientenmonitor-System Contec CMS8000, wo ein Medizingerät Patientendaten im Klartext nach China schickt oder zum Beitrag Reolink Android App kommt mit drei chinesischen Trackern, drei Tracker unbekannte Informationen über die App zur Abfrage von Überwachungs- und Sicherheitskameras nach China übermitteln.

Die ZAR Reha-Kliniken

Das Kürzel ZAR steht möglicherweise für Zentren für ambulante Rehabilitation. Es ist ein Anbieter, der in ganz Deutschland vertreten ist und Leistungen für ambulante Reha, Therapie, Fitness & Gesundheit anbietet. Je nach Standort sind in der jeweiligen Reha Klinik Maßnahmen zu den Indikationen Orthopädie, Neurologie, Kardiologie, Onkologie und Psychosomatik verfügbar.

Das Ganze läuft unter dem Dach der Nanz medico GmbH & Co. KG, in der seit 1996 zahlreiche ambulante Rehabilitationszentren in Deutschland vereint sind. Das Ziel ist, mit 2.500 Mitarbeitern und 39 Standorten, Rehabilitation dort anzubieten, wo Menschen sie tatsächlich benötigen: Nah an deren Lebenswelten – in unmittelbarer Nähe zum Wohnort. Je nach Standort arbeiten die Rehabilitationszentren in unterschiedlichen Indikationsschwerpunkten. Das Unternehmen bezeichnet sich als größter Anbieter ambulanter Rehabilitationsleistungen in Deutschland.

Auf der Webseite können Patienten die zu ihrem Wohnort nächstgelegene ZAR Reha-Klinik suchen und dann buchen. Das Ganze sieht modern gestaltet aus und verspricht Komfort für den Patienten oder die Patientin. Speziell die ambulante Reha kommt sicher Vielen entgegen. Zur Verwaltung der Therapien stellt der Betreiber den Patienten und Patientinnen eine App für Smartphones zur Verfügung. Alles schick, alles komfortabel, so geht Digitalisierung 2025 im Medizinwesen …

Patienten-App übermittelt Daten im Klartext

Was ganz toll und komfortabel klingt, hat(te) womöglich einen Haken. Die für die Reha-Leistungen erforderliche Patienten-App ZAR PAT ermöglicht Tages- und Wochenpläne bereitzustellen und die Behandlungsinformationen auszutauschen. Allerdings hat die App alle Daten für Behandlungen im Klartext zwischen Mobilgerät und den ZAR-Servern übertragen.

Einem Patienten ist dies aufgefallen, und dieser hat dann genauer hingeschaut. Es war wirklich alles an Informationen, was ausgetauscht wurde, im Klartext zu sehen. Der zugehörige Server für die Terminvergabe ließ sich über eine URL  in einem Webbrowser ansprechen. Dabei wurden automatisch Informationen “über weitere Pfade auf dem Server” übermittelt.

Der Entdecker der Schwachstelle stellte fest, dass neben den erfassten Patientendaten wie Vorname, Nachname und Geburtsdatum auch sensible Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche, im Rahmen der Therapie erstellte medizinische Berichte, zugreifbar waren.

Der Betroffene meldete die Datenpanne dem  Bundesamt für Sicherheit in der Informationstechnik (BSI) und im Anschluss der der im Rahmen seiner Therapie besuchten Reha-Klinik. Im Anschluss konnte er die “Bestätigung seiner Meldung” im Klartext in der App-Datenübertragung als Eintrag nachlesen.

Nachdem diese Datenlücke am 22. Januar 2025 zeitnah geschlossen worden war, informierte der betroffene Reha-Patient die heise-Redaktion, die das Ganze in diesem Artikel offen gelegt haben. Das Datenleck scheint umfassend zu sein – heise schreibt von 80.000 Patienten um Standort des Betroffenen. Laut Betreiber gebe es keine Hinweise auf Datenabflüsse – wobei dies in meinen Augen niemand kontrollieren kann. Der Betreiber kann zwar ggf. die Zugriffe auf seine Datenbanken einsehen, hat aber keine Kontrolle, ob und wo Daten auf dem Transportweg mitgeschnitten oder ausgeleitet wurden.

Im heise-Artikel finden sich Screenshots von Datensätzen, die höchst sensible Informationen wie psychosomatische Störungen bei Patienten und Patientinnen im Klartext beinhalten. Es lässt sich quasi die gesamte Reha-Akte nachlesen. Das Ganze ist als DSGVO-Verstoß zu betrachten, bei dem besonders sensible Daten im medizinischen/Gesundheitsbereich betroffen sind. Ob eine Meldung binnen 72 Stunden erfolgte, ist unbekannt – Details sind im heise-Beitrag nachzulesen.

Das Ganze lässt mich jedenfalls hoffnungsvoll auf die zukünftige elektronische Patientenakte (ePA für Alle) blicken, wo tausende Praxis-Verwaltungssysteme (PVS), Millionen Patienten-Apps der Krankenkassen für Patienten sowie weitere Softwaresysteme von Therapeuten, Apotheken, Krankenkassen und der Stelle zur Ablage der Daten in einem Aktensystem involviert sind. Es ist eine Frage der Wahrscheinleichkeitsrechnung, wann dort die erste Datenlücke bekannt wird.