Datenleck in Reha-Kliniken

Ein Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible Patientendaten. 

 

Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte. Die betroffenen Reha-Zentren stehen unter dem Dach der Nanz medico, nach eigenen Angaben der größte Anbieter ambulanter Reha-Leistungen in Deutschland. Insgesamt gehören dazu 39 Reha-Kliniken.

 

Die ZAR-Reha-Zentren bieten je nach Standort Therapiemöglichkeiten für Orthopädie, Neurologie, Kardiologie, Onkologie und Psychosomatik an. Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen.

 

Der Komfort hatte jedoch ungewollt einen hohen Preis: Einem Nutzer der App fiel auf, dass sie unverschlüsselt mit dem Internet kommuniziert und seine Terminpläne im Klartext vom Server abgerufen hat. Dabei zählt der Einsatz einer Transportverschlüsselung (TLS) bei Apps seit vielen Jahren zum Standard und zu den rudimentären Sicherheitsmaßnahmen.

 

Hackerkenntnisse waren zur Einsicht der Daten nicht nötig, es reichte aus, an irgendeinem Punkt der Übertragung einen Blick auf die Verbindungen zu werfen, zum Beispiel mit der Analyse-App PCAPdroid direkt auf dem Smartphone. Auch Sicherheitsmaßnahmen mussten dafür nicht überwunden werden. Jeder Dritte hätte die ungeschützten Klartext-Verbindungen leicht einsehen können, beispielsweise der Internetprovider oder andere Nutzer in öffentlichen Netzwerken.

 

Preisgabe besonders heikler Informationen

Doch das war erst der Anfang: Beim Aufruf der URL des Servers, von dem die App die Termine lud, in einem Webbrowser, wurden automatisch Informationen über weitere Pfade auf dem Server übertragen. Unter diesen Pfaden waren personenbezogene Daten ohne Zugangskontrolle abrufbar – weiterhin über eine ungeschützte Klartext-Verbindung.

 

Darunter befanden sich nicht nur persönliche Daten wie Vorname, Nachname und Geburtsdatum, sondern Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche medizinische Berichte, die im Rahmen der Therapie erfasst wurden, beispielsweise bei der Behandlung psychosomatischer Erkrankungen. Darin sind sensible Angaben über die Lebensumstände und die gesundheitliche Verfassung enthalten, wie aus diesem Befundbericht: "Rückblickend auf die psychotherapeutischen Einzelgespräche sei für sie das Zurückblicken in die Kindheit eher aufwühlend gewesen, sie habe viele Dinge erfolgreich verdrängt, die nun wieder hochgekommen seien".

 

Der Umfang des Datenlecks ist erheblich: Allein einer der Standorte hat augenscheinlich Daten von über 80.000 Patienten ausgeliefert. Die Daten reichen über viele Jahre zurück. Über welchen Zeitraum der Zugriff möglich war und wer auf die Daten zugegriffen hat, ist bislang unklar.

 

Datenleck in App dokumentiert

Das Sicherheitsproblem meldete unser Informant unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der unmittelbar involvierten Reha-Klinik, was sogar in seiner Krankenakte dokumentiert wurde. Das konnte er ironischerweise anhand des Datenlecks live nachvollziehen: "Patient rief mich soeben an und habe einen Datenschutzverstoß auf Basis der App: ZAR-PAT festgestellt. Er habe direkt eine Meldung an das BSI gemacht, erst dann mich informiert. Ich habe bereits unsere IT informiert".

 

Unser Hinweisgeber hat darüber hinaus weitere Sicherheitsprobleme festgestellt, aber von der umfassenden Zugriffsmöglichkeit auf die hochsensiblen Patententendaten ohne Zugriffsschutz oder Transportverschlüsselung ging mit Abstand das größte Risiko aus. In den falschen Händen könnten die Daten den Betroffenen erheblichen Schaden zufügen.

 

Die Klinik gab den wichtigen Hinweis offenbar an ihr Mutterunternehmen Nanz medico GmbH & Co. KG weiter, die daraufhin zumindest den Datenzugriff schnell unterbinden konnte. Seitdem werden die Daten transportverschlüsselt ausgeliefert und externe Zugriffe auf die sensiblen Informationen werden mit einer Fehlermeldung unterbunden.

 

Unternehmen baut Sicherheitseinstellungen aus

Die Infotastisch Group haben die Nanz medico bereits am 22. Januar um eine Stellungnahme zu dem massiven Datenleck gebeten. Das Unternehmen erklärte daraufhin: "Mit Erlangung dieser Kenntnis wurde der IT-Dienstleister von uns umgehend mit der Prüfung beauftragt und angehalten, Lücken unverzüglich zu schließen. Diese wurden noch am gestrigen Nachmittag behoben, die Lücken geschlossen und die bestehenden Sicherheitseinstellungen ausgebaut." Hinweise auf Datenabflüsse oder Manipulationen lägen nicht vor, weitere Fragen unsererseits blieben unbeantwortet, etwa zur Anzahl der Betroffenen oder ob die zuständigen Datenschutzbehörden informiert wurden.

 

Bei dem Datenleck dürfte es sich nach den Vorgaben der DSGVO um einen meldepflichtigen Vorfall handeln. Die Verantwortlichen müssen gemäß Artikel 33 DSGVO binnen 72 Stunden die zuständige Aufsichtsbehörde über den Vorfall informieren. Kommt man zu dem Ergebnis, dass darin ein "hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen" liegt, müssen zudem alle Betroffenen informiert (Art. 34 DSGVO) werden. Kommt der Verantwortliche diesen Vorgaben nicht nach, drohen empfindliche Bußgelder.

 

"Keine Hinweis auf Datenabflüsse"

Auch unsere zweite Anfrage, eine Woche nach dem Vorfall, beantwortete Nanz medico nur zum Teil: "Da die externen Sicherheitsexperten gerade sämtliche erforderlichen Prüfungen unter Berücksichtigung der einschlägigen rechtlichen und sicherheitstechnischen Standards durchführen, bitten wir um Verständnis, dass dies eine gewissenhafte und sorgfältige Vorgehensweise erfordert. Es bestehen weiterhin keine Hinweise auf Datenabflüsse oder Manipulationen." Unstreitig dürfte jedenfalls sein, dass Zugriffe durch Dritte auf die Daten erfolgt sind. Dies sollte auch anhand der Server-Logs unmittelbar ablesbar sein.

 

Weiterhin unbeantwortet blieben damit auch unsere Fragen, welche Standorte, wie viele Patienten und welche Daten nach Einschätzung des Unternehmens von dem Datenleck betroffen sind. Die zuständigen Landesdatenschützer scheinen ebenfalls nicht informiert worden zu sein, wie unsere Anfragen ergaben.