Wer war von dem ZAR-Reha-Datenleck betroffen?

Betroffen waren Patientinnen und Patienten der ZAR-Reha-Zentren, die unter der Nanz medico GmbH & Co. KG über 30 ambulante Reha-Einrichtungen betreiben. Allein an einem einzigen Standort waren Daten von über 80.000 Patienten abrufbar; die Daten reichten viele Jahre zurück.

Welche Daten waren bei dem Vorfall einsehbar?

Über offene Server-Pfade abrufbar waren unter anderem Vorname, Nachname, Geburtsdatum, belegte Kurse sowie ausführliche medizinische Therapieberichte. Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonders schützenswerten Datenkategorien.

War das ein Hackerangriff?

Nein. Nach den Berichten handelte es sich nicht um einen Hackerangriff, sondern um einen Konfigurationsfehler: Die Daten waren ohne besondere technische Kenntnisse über das Internet abrufbar, weil eine wirksame Zugangskontrolle und Verschlüsselung fehlten.

ZAR-Reha-Datenleck: Gesundheitsdaten Hunderttausender Patienten offen im Netz

Wie aus einem Konfigurationsfehler ein Datenleck mit Hunderttausenden Betroffenen wird

Am 30. Januar 2025 berichtete heise online über ein gravierendes Datenleck bei den ZAR-Reha-Zentren. Hochsensible Patientendaten waren ungeschützt und unverschlüsselt über das Internet abrufbar. Es handelte sich nicht um einen Hackerangriff, sondern um einen Konfigurationsfehler – und genau das macht den Fall so lehrreich.

Was ist passiert?

Die ZAR-Reha-Zentren werden von der Nanz medico GmbH & Co. KG betrieben, die unter dieser Marke über 30 ambulante Reha-Einrichtungen führt. Nach dem Bericht von heise online waren Patientendaten offen über das Internet erreichbar – ohne dass dafür besondere Hackerkenntnisse nötig gewesen wären. Ursache war kein gezielter Angriff von außen, sondern eine fehlende Zugangskontrolle und Verschlüsselung, also ein Konfigurationsfehler in der eigenen Infrastruktur.

Im Zentrum stand die zugehörige Patienten-App „ZAR PAT“ für Android, die mit über 100.000 Installationen verbreitet ist. Diese App kommunizierte im Klartext mit den Servern. Wer die entsprechenden Server-Pfade kannte oder fand, konnte die dahinterliegenden Datenbestände einsehen. Auch die Datenschutzorganisation Patientenrechte und Datenschutz dokumentierte die Tragweite des Vorfalls.

Welche Daten waren betroffen?

Über die offenen Pfade abrufbar waren personenbezogene Daten in Kombination mit medizinischen Informationen – eine besonders heikle Mischung. Konkret zugänglich waren:

Vorname und Nachname
Geburtsdatum
belegte Kurse
ausführliche medizinische Therapieberichte

Allein an einem einzigen Standort lieferten die offenen Systeme Daten von über 80.000 Patientinnen und Patienten. Die Datenbestände reichten viele Jahre zurück. Da über 30 Einrichtungen unter der Marke firmieren, ist das tatsächliche Ausmaß potenziell deutlich größer als an diesem einen Standort sichtbar.

Gesundheitsdaten zählen nach Art. 9 DSGVO ausdrücklich zu den besonderen Kategorien personenbezogener Daten. Sie genießen einen erhöhten Schutz, weil ihre Offenlegung für Betroffene besonders gravierende Folgen haben kann – von Stigmatisierung über Diskriminierung bis hin zu gezielten Betrugsversuchen.

Warum ist ein Konfigurationsfehler so gefährlich?

Datenlecks durch Fehlkonfigurationen unterscheiden sich grundlegend von klassischen Hackerangriffen. Bei einem Angriff müssen Kriminelle Schutzmechanismen überwinden. Bei einer Fehlkonfiguration fehlen diese Schutzmechanismen schlicht – die Daten liegen offen. Das senkt die Hürde für einen Zugriff drastisch und macht es zugleich schwer nachzuvollziehen, wer in welchem Zeitraum auf die Informationen zugegriffen hat.

Gerade bei unverschlüsselter Klartext-Kommunikation einer App kann auf dem Übertragungsweg jeder mitlesen, der sich an der richtigen Stelle befindet. Verschlüsselung der Übertragung und eine konsequente Zugangskontrolle auf Serverseite sind deshalb keine optionalen Extras, sondern Grundvoraussetzungen jeder Verarbeitung sensibler Daten.

Was Unternehmen und Einrichtungen jetzt tun sollten

Der Fall zeigt, dass technische Sorgfalt bei der Konfiguration mindestens ebenso wichtig ist wie die Abwehr externer Angreifer. Wer Gesundheits- oder andere sensible Daten verarbeitet, sollte folgende Punkte sicherstellen:

Transportverschlüsselung erzwingen: Apps und Schnittstellen dürfen sensible Daten niemals im Klartext übertragen. TLS-Verschlüsselung muss für alle Verbindungen verpflichtend sein.
Zugangskontrolle pro Endpunkt: Jeder Server-Pfad und jede Schnittstelle muss eine wirksame Authentifizierung verlangen. Offen erreichbare Pfade sind ein vermeidbares Risiko.
Regelmäßige externe Sicherheitsprüfungen: Penetrationstests und Konfigurationsaudits decken offene Endpunkte auf, bevor es Dritte tun.
Datensparsamkeit und Löschkonzepte: Daten, die viele Jahre zurückreichen, sollten regelmäßig auf ihre Erforderlichkeit geprüft und sonst gelöscht werden.
Meldepflichten kennen: Bei einem Datenleck mit Risiko für Betroffene greifen die Meldepflichten nach Art. 33 und Art. 34 DSGVO.

Für Privatpersonen gilt: Wer in einer betroffenen Einrichtung in Behandlung war, sollte aufmerksam gegenüber unerwarteten Kontaktversuchen sein, die sich auf die eigene Gesundheit oder Behandlung beziehen, und solche Nachrichten kritisch prüfen.

Fazit

Das ZAR-Reha-Datenleck führt vor Augen, dass nicht erst ein raffinierter Angriff zu einer Katastrophe für den Datenschutz führen muss. Ein einzelner Konfigurationsfehler genügte, um Gesundheitsdaten Hunderttausender Menschen offenzulegen. Für Einrichtungen, die sensible Daten verarbeiten, ist die Lehre eindeutig: Verschlüsselung und Zugangskontrolle müssen von Anfang an konsequent und nachprüfbar umgesetzt sein.