Ein gravierendes Datenleck könnte hunderttausende Patienten der ZAR-Reha-Kliniken bundesweit betreffen. Zu den abrufbaren Inhalten zählten unter anderem hochsensible medizinische Berichte. Die betreffenden Reha-Zentren gehören zur Nanz medico GmbH, die eigenen Angaben zufolge der größte Anbieter ambulanter Rehabilitationsleistungen in Deutschland ist. In der Summe handelt es sich um 39 Reha-Kliniken.
Sicherheitslücken bei der ZAR-PAT-App
Je nach Standort bieten die ZAR-Reha-Zentren Therapiemöglichkeiten in den Bereichen Orthopädie, Neurologie, Kardiologie, Onkologie und Psychosomatik an. Eine App namens ZAR PAT ermöglicht die Kommunikation zwischen Patienten und dem Reha-Zentrum. Sie bietet Patienten im Rahmen ihrer Behandlung eine bequeme Möglichkeit, Tages- und Wochenpläne einzusehen. Die App für Android wurde allein über 100.000 Mal heruntergeladen.
Was auf den ersten Blick bequem wirken mag, entpuppt sich schnell als Risiko. Einem Nutzer der App fiel auf, dass die App unverschlüsselt mit dem Internet kommuniziert und seine Terminpläne im Klartext vom Server abruft. Üblicherweise verwenden Apps seit geraumer Zeit standardmäßig und als grundlegende Sicherheitsvorkehrung eine Transportverschlüsselung (TLS), welche einen solchen Zugriff verhindert.
Zugriff auf Gesundheitsdaten
Ein Zugriff auf die Daten kann also auch schon ohne großes Expertenwissen erfolgen, nicht einmal Sicherheitsmaßnahmen mussten dafür überwunden werden. Jeder Dritte hätte die ungeschützten Klartextverbindungen leicht einsehen können, beispielsweise der Internetprovider oder andere Nutzer in öffentlichen Netzwerken.
Doch das sollte noch nicht alles gewesen sein: Wie Heise berichtet, konnten beim Aufruf der URL des Servers weitere Datenpfade eingesehen werden. Darunter befanden sich nicht nur persönliche Daten wie Vorname, Nachname und Geburtsdatum, sondern auch Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche medizinische Berichte, die im Rahmen der Therapie erfasst wurden, beispielsweise bei der Behandlung psychosomatischer Erkrankungen. Diese fallen in die besondere Kategorie personenbezogener Daten gemäß Art. 9 DS-GVO, welche ein sehr hohes Schutzniveau voraussetzt.
Mindestens 80.000 Patientendaten betroffen
Das Ausmaß des Datenlecks ist nicht unerheblich: Bei einem einzelnen Standort konnte bereits auf über 80.000 Patientendaten zugegriffen werden. Dabei konnte auf Daten zugegriffen werden, welche bereits viele Jahre zurücklagen.
Der Informant, welcher Heise informiert hatte, gab die Meldung auch an das BSI und die Klinik weiter. Die Klinik gab den wichtigen Hinweis offenbar an ihr Mutterunternehmen Nanz medico GmbH & Co. KG weiter, die daraufhin zumindest den Datenzugriff schnell unterbinden konnte. Seitdem ist kein externer Zugriff auf die Daten mehr möglich.
Keine Hinweise auf Datenabflüsse laut Unternehmen
Auf Nachfrage von Heise am 22.01.2025 äußerte das Unternehmen, dass keine Hinweise auf Datenabflüsse oder Manipulationen vorlägen. Fragen bzgl. der Anzahl der Betroffenen oder ob die zuständigen Datenschutzbehörden informiert wurden, blieben unbeantwortet.
Sollte es sich bei dem Datenleck um einen meldepflichtigen Vorfall handeln, so müssen die Verantwortlichen innerhalb von 72 Stunden Meldung über den Vorfall bei der zuständigen Behörde machen. Falls es bei einer Untersuchung zu dem Ergebnis kommt, dass ein „hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen” vorliegt, müssen zudem alle Betroffenen informiert (Art. 34 DS-GVO) werden.
