![\"Gesundheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Gesundheit-klein.jpg\" "\\"Gesundheit\\"")
In den ZAR Reha-Kliniken ist gerade ein potentielles Datenleck bekannt geworden, welches die pers\u00f6nlichen Daten von 100.000enden Patienten gef\u00e4hrdet hat. Eine den Patienten f\u00fcr Therapiepl\u00e4ne bereitgestellte App, des in ganz Deutschland t\u00e4tigen Anbieters, \u00fcbertrug Daten im Klartext und erm\u00f6glichte Einblick in sensitive Inhalte. Das Problem ist inzwischen durch Aktualisierung der App behoben.<\/p>\n
<\/p>\n
Das K\u00fcrzel ZAR steht m\u00f6glicherweise f\u00fcr Zentren f\u00fcr ambulante Rehabilitation. Es ist ein Anbieter<\/a>, der in ganz Deutschland vertreten ist und Leistungen\u00a0f\u00fcr ambulante Reha, Therapie, Fitness & Gesundheit anbietet. Je nach Standort sind in der jeweiligen Reha Klinik Ma\u00dfnahmen zu den Indikationen Orthop\u00e4die, Neurologie, Kardiologie, Onkologie und Psychosomatik verf\u00fcgbar.<\/p>\n Das Ganze l\u00e4uft unter dem\u00a0Dach der Nanz medico GmbH & Co. KG, in der seit 1996 zahlreiche ambulante Rehabilitationszentren in Deutschland vereint sind. Das Ziel ist, mit 2.500 Mitarbeitern und 39 Standorten, Rehabilitation dort anzubieten, wo Menschen sie tats\u00e4chlich ben\u00f6tigen: Nah an deren Lebenswelten \u2013 in unmittelbarer N\u00e4he zum Wohnort. Je nach Standort arbeiten die Rehabilitationszentren in unterschiedlichen Indikationsschwerpunkten. Das Unternehmen bezeichnet sich als gr\u00f6\u00dfter Anbieter ambulanter Rehabilitationsleistungen in Deutschland.<\/p>\n Auf der Webseite k\u00f6nnen Patienten die zu ihrem Wohnort n\u00e4chstgelegene ZAR Reha-Klinik suchen und dann buchen. Das Ganze sieht modern gestaltet aus und verspricht Komfort f\u00fcr den Patienten oder die Patientin. Speziell die ambulante Reha kommt sicher Vielen entgegen. Zur Verwaltung der Therapien stellt der Betreiber den Patienten und Patientinnen eine App f\u00fcr Smartphones zur Verf\u00fcgung. Alles schick, alles komfortabel, so geht Digitalisierung 2025 im Medizinwesen …<\/p>\n Was ganz toll und komfortabel klingt, hat(te) wom\u00f6glich einen Haken. Die f\u00fcr die Reha-Leistungen erforderliche Patienten-App ZAR PAT erm\u00f6glicht Tages- und Wochenpl\u00e4ne bereitzustellen und die Behandlungsinformationen auszutauschen. Allerdings\u00a0hat die App alle Daten f\u00fcr Behandlungen im Klartext zwischen Mobilger\u00e4t und den ZAR-Servern \u00fcbertragen.<\/p>\n Einem Patienten ist dies aufgefallen, und dieser hat dann genauer hingeschaut. Es war wirklich alles an Informationen, was ausgetauscht wurde, im Klartext zu sehen. Der zugeh\u00f6rige Server f\u00fcr die Terminvergabe lie\u00df sich \u00fcber eine URL\u00a0 in einem Webbrowser ansprechen. Dabei wurden automatisch Informationen \"\u00fcber weitere Pfade auf dem Server\" \u00fcbermittelt.<\/p>\n Der Entdecker der Schwachstelle stellte fest, dass neben den erfassten Patientendaten wie Vorname, Nachname und Geburtsdatum auch sensible Informationen \u00fcber in den Reha-Einrichtungen belegte Kurse sowie ausf\u00fchrliche, im Rahmen der Therapie erstellte medizinische Berichte, zugreifbar waren.<\/p>\n Der Betroffene meldete die Datenpanne dem \u00a0Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) und im Anschluss der der im Rahmen seiner Therapie besuchten Reha-Klinik. Im Anschluss konnte er die \"Best\u00e4tigung seiner Meldung\" im Klartext in der App-Daten\u00fcbertragung als Eintrag nachlesen.<\/p>\n Nachdem diese Datenl\u00fccke am 22. Januar 2025 zeitnah geschlossen worden war, informierte der betroffene Reha-Patient die heise-Redaktion, die das Ganze in diesem Artikel<\/a> offen gelegt haben. Das Datenleck scheint umfassend zu sein – heise schreibt von 80.000 Patienten um Standort des Betroffenen. Laut Betreiber gebe es keine Hinweise auf Datenabfl\u00fcsse – wobei dies in meinen Augen niemand kontrollieren kann. Der Betreiber kann zwar ggf. die Zugriffe auf seine Datenbanken einsehen, hat aber keine Kontrolle, ob und wo Daten auf dem Transportweg mitgeschnitten oder ausgeleitet wurden.<\/p>\n Im heise-Artikel finden sich Screenshots von Datens\u00e4tzen, die h\u00f6chst sensible Informationen wie psychosomatische St\u00f6rungen bei Patienten und Patientinnen im Klartext beinhalten. Es l\u00e4sst sich quasi die gesamte Reha-Akte nachlesen. Das Ganze ist als DSGVO-Versto\u00df zu betrachten, bei dem besonders sensible Daten im medizinischen\/Gesundheitsbereich betroffen sind. Ob eine Meldung binnen 72 Stunden erfolgte, ist unbekannt – Details sind im heise-Beitrag nachzulesen.<\/p>\n Das Ganze l\u00e4sst mich jedenfalls hoffnungsvoll auf die zuk\u00fcnftige elektronische Patientenakte (ePA f\u00fcr Alle) blicken, wo tausende Praxis-Verwaltungssysteme (PVS), Millionen Patienten-Apps der Krankenkassen f\u00fcr Patienten sowie weitere Softwaresysteme von Therapeuten, Apotheken, Krankenkassen und der Stelle zur Ablage der Daten in einem Aktensystem involviert sind. Es ist eine Frage der Wahrscheinleichkeitsrechnung, wann dort die erste Datenl\u00fccke bekannt wird.<\/p>\n","protected":false},"excerpt":{"rendered":" In den ZAR Reha-Kliniken ist gerade ein potentielles Datenleck bekannt geworden, welches die pers\u00f6nlichen Daten von 100.000enden Patienten gef\u00e4hrdet hat. Eine den Patienten f\u00fcr Therapiepl\u00e4ne bereitgestellte App, des in ganz Deutschland t\u00e4tigen Anbieters, \u00fcbertrug Daten im Klartext und erm\u00f6glichte Einblick … Weiterlesen CISA: Backdoor in Patientenmonitor-System Contec CMS8000, wo ein Medizinger\u00e4t Patientendaten im Klartext nach China schickt oder zum Beitrag\u00a0Reolink Android App kommt mit drei chinesischen Trackern<\/a>, drei Tracker unbekannte Informationen \u00fcber die App zur Abfrage von \u00dcberwachungs- und Sicherheitskameras nach China \u00fcbermitteln.<\/p>\n
Die ZAR Reha-Kliniken<\/h2>\n
![\"ZAR](\"https:\/\/i.postimg.cc\/PqqStzfh\/image.png\")
<\/a><\/p>\nPatienten-App \u00fcbermittelt Daten im Klartext<\/h2>\n