In den ZAR Reha-Kliniken ist gerade ein potentielles Datenleck bekannt geworden, welches die persönlichen Daten von 100.000enden Patienten gefährdet hat. Eine den Patienten für Therapiepläne bereitgestellte App, des in ganz Deutschland tätigen Anbieters, übertrug Daten im Klartext und ermöglichte Einblick in sensitive Inhalte. Das Problem ist inzwischen durch Aktualisierung der App behoben.
CISA: Backdoor in Patientenmonitor-System Contec CMS8000, wo ein Medizingerät Patientendaten im Klartext nach China schickt oder zum Beitrag Reolink Android App kommt mit drei chinesischen Trackern, drei Tracker unbekannte Informationen über die App zur Abfrage von Überwachungs- und Sicherheitskameras nach China übermitteln.
Die ZAR Reha-Kliniken
Das Kürzel ZAR steht möglicherweise für Zentren für ambulante Rehabilitation. Es ist ein Anbieter, der in ganz Deutschland vertreten ist und Leistungen für ambulante Reha, Therapie, Fitness & Gesundheit anbietet. Je nach Standort sind in der jeweiligen Reha Klinik Maßnahmen zu den Indikationen Orthopädie, Neurologie, Kardiologie, Onkologie und Psychosomatik verfügbar.
Das Ganze läuft unter dem Dach der Nanz medico GmbH & Co. KG, in der seit 1996 zahlreiche ambulante Rehabilitationszentren in Deutschland vereint sind. Das Ziel ist, mit 2.500 Mitarbeitern und 39 Standorten, Rehabilitation dort anzubieten, wo Menschen sie tatsächlich benötigen: Nah an deren Lebenswelten – in unmittelbarer Nähe zum Wohnort. Je nach Standort arbeiten die Rehabilitationszentren in unterschiedlichen Indikationsschwerpunkten. Das Unternehmen bezeichnet sich als größter Anbieter ambulanter Rehabilitationsleistungen in Deutschland.
Auf der Webseite können Patienten die zu ihrem Wohnort nächstgelegene ZAR Reha-Klinik suchen und dann buchen. Das Ganze sieht modern gestaltet aus und verspricht Komfort für den Patienten oder die Patientin. Speziell die ambulante Reha kommt sicher Vielen entgegen. Zur Verwaltung der Therapien stellt der Betreiber den Patienten und Patientinnen eine App für Smartphones zur Verfügung. Alles schick, alles komfortabel, so geht Digitalisierung 2025 im Medizinwesen …
Patienten-App übermittelt Daten im Klartext
Was ganz toll und komfortabel klingt, hat(te) womöglich einen Haken. Die für die Reha-Leistungen erforderliche Patienten-App ZAR PAT ermöglicht Tages- und Wochenpläne bereitzustellen und die Behandlungsinformationen auszutauschen. Allerdings hat die App alle Daten für Behandlungen im Klartext zwischen Mobilgerät und den ZAR-Servern übertragen.
Einem Patienten ist dies aufgefallen, und dieser hat dann genauer hingeschaut. Es war wirklich alles an Informationen, was ausgetauscht wurde, im Klartext zu sehen. Der zugehörige Server für die Terminvergabe ließ sich über eine URL in einem Webbrowser ansprechen. Dabei wurden automatisch Informationen „über weitere Pfade auf dem Server“ übermittelt.
Der Entdecker der Schwachstelle stellte fest, dass neben den erfassten Patientendaten wie Vorname, Nachname und Geburtsdatum auch sensible Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche, im Rahmen der Therapie erstellte medizinische Berichte, zugreifbar waren.
Der Betroffene meldete die Datenpanne dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und im Anschluss der der im Rahmen seiner Therapie besuchten Reha-Klinik. Im Anschluss konnte er die „Bestätigung seiner Meldung“ im Klartext in der App-Datenübertragung als Eintrag nachlesen.
Nachdem diese Datenlücke am 22. Januar 2025 zeitnah geschlossen worden war, informierte der betroffene Reha-Patient die heise-Redaktion, die das Ganze in diesem Artikel offen gelegt haben. Das Datenleck scheint umfassend zu sein – heise schreibt von 80.000 Patienten um Standort des Betroffenen. Laut Betreiber gebe es keine Hinweise auf Datenabflüsse – wobei dies in meinen Augen niemand kontrollieren kann. Der Betreiber kann zwar ggf. die Zugriffe auf seine Datenbanken einsehen, hat aber keine Kontrolle, ob und wo Daten auf dem Transportweg mitgeschnitten oder ausgeleitet wurden.
Im heise-Artikel finden sich Screenshots von Datensätzen, die höchst sensible Informationen wie psychosomatische Störungen bei Patienten und Patientinnen im Klartext beinhalten. Es lässt sich quasi die gesamte Reha-Akte nachlesen. Das Ganze ist als DSGVO-Verstoß zu betrachten, bei dem besonders sensible Daten im medizinischen/Gesundheitsbereich betroffen sind. Ob eine Meldung binnen 72 Stunden erfolgte, ist unbekannt – Details sind im heise-Beitrag nachzulesen.
Das Ganze lässt mich jedenfalls hoffnungsvoll auf die zukünftige elektronische Patientenakte (ePA für Alle) blicken, wo tausende Praxis-Verwaltungssysteme (PVS), Millionen Patienten-Apps der Krankenkassen für Patienten sowie weitere Softwaresysteme von Therapeuten, Apotheken, Krankenkassen und der Stelle zur Ablage der Daten in einem Aktensystem involviert sind. Es ist eine Frage der Wahrscheinleichkeitsrechnung, wann dort die erste Datenlücke bekannt wird.
Wundert mich nicht wirklich.
Ich war vor 2 Jahren in der Nähe von Frankfurt/M in Reha und dort liefe noch alle Rechner mit XP.
Und die Server dahinter sicher noch mit Windows Server 2003 wenn die IT da so aktuell ist.
also XP kann Daten auch schon verschlüsselt und sicher übertragen… ;-P
Und das Mobilgerät wird auch kaum unter Xp laufen, soviel mir bekannt hatte MS nur ein Mobilesystem (und das lief nicht auf XP Basis), das wird hier eher Android sein oder ne MS App welche auch erst lang nach XP aufkammen.
Ich bleibe auch heute noch bei der Aussage: ein gehärtetes XP in den Händen eines Profis ist sicherer als Win11 in den Händen eines DAUs!
Sicherheit entscheidet sich vor dem Monitor! Aber da hast du dann mit deiner Implikation recht, das „Sicherheitsglied vor dem Monitor“ kannst du heutzutage in der Pfeife rauchen.
Endbenutzer müssen auch nicht zur Sicherheit beitragen. Ein System hat so gestaltet zu sein dass es selbst für ein DAU nicht möglich ist alles mit dem Arsch einreißen zu können.
Windows ist dafür ungeeignet.
Wenn man alle Scheunentore offenstehen läßt hat das mit Windows nichts zu tun. Das ist einfach Schlamperei.
Das darf doch echt nicht wahr sein! Wieso ist die IT in diesem Land auf einem derart desolaten LeveL? Wieso bekommen wir die Digitalisierung einfach nicht hin? Wieso sind uns da andere Länder Lichtjahre voraus? Das macht doch alles kein Spaß mehr.
Weil wir unser Bildungssystem seit Jahrzehnten an die Wand gefahren haben!
Und die „Fachkräfte“ aus dem Ausland sind und bleiben eben nur eine Urban Legend… keine Fachkraft die den Namen wirklich verdient kommt freiwillig nach Deutschland, die verdienen überall anderswo mehr.
Und die wenigen Leute mit Ahnung die wir haben sind nicht in Positionen wo sie was bewirken könnten.
Also wenn du deine Eigene Leute nicht bildest und nur den Bodensatz reinholst, wo soll den die Expertise herkommen? Von Gottes Gnaden funktioniert schon seit Jahrtausenden nicht.
Jetzt wundert mich auch nicht mehr, dass die App in den letzten zwei Tagen meiner Reha nicht mehr funktionierte. 23. und 24.1.25
Lasst die ersten Spiele der 3.0 EPA beginnen.
ZAR eröffnet spielfremd den Reigen.
Wann wird der Patient verklagt, weil er die Kliniken oder die App „gehackt“ hat?
Wir sind hier ja immerhin noch in Deutschland. ;(