Ihr Studio nutzt kompromittierte Verwaltungssoftware?
Hunderttausende Mitgliederdaten ungeschützt. Wir haben die Schwachstelle im Rahmen eines IT-Wartungs entdeckt und im Rahmen einer Responsible Disclosure gemeldet.
Für betroffene Studios haben wir eine Lösung entwickelt — den Notfallkoffer.
Was passiert ist
Im März 2026 hat unser Cybersecurity-Team bei einem routinemäßigen IT-Wartung eine kritische Schwachstelle in der Infrastruktur eines Verwaltungssoftware-Anbieters für Fitnessstudios entdeckt.
Aufgrund einer architektonischen Fehlkonfiguration war eine unzulässige datenbankseitige Zugriffserweiterung möglich. Die technischen Einzelheiten wurden dem BSI und dem Anbieter mitgeteilt.
225.000+
bestätigte Datensätze
auf einem einzelnen Server. Über mehrere identifizierte Server hinweg sind hunderttausende weitere Datensätze betroffen.
Sensible Datentypen
Bankverbindungen (IBAN), Mitgliedsfotos, Check-in-Zeitstempel und bei Reha-/Physio-Einrichtungen: Gesundheitsdaten nach Art. 9 DSGVO.
BSI eingeschaltet
Der Anbieter wurde am 20.03. informiert. Bislang liegt keine Rückmeldung vor. Das BSI führt den Disclosure-Prozess parallel.
Der Notfallkoffer — 5 Bausteine für Ihre Sicherheit
Wir haben für ein betroffenes Gesundheitszentrum in Deutschland bereits eine vollständige Lösung entwickelt und umgesetzt. Dieses Wissen stellen wir jetzt allen betroffenen Studios zur Verfügung — modular, sofort einsetzbar.
Autarke Betriebslösung
Ihr Studio läuft weiter — unabhängig vom kompromittierten Anbieter.
Sichere Migration auf gehärteten Server. SEPA-Einzug, Vertragsverwaltung und Check-in funktionsfähig. SSL-verschlüsselt, IP-Whitelisting, Zugriffsprotokollierung.
DSGVO-Erstbewertung
Ihre Meldepflichten — geklärt in 48 Stunden.
Analyse Ihrer konkreten Betroffenheit, Prüfung der Melde- und Informationspflichten, behördenfertiger Meldungsentwurf, priorisierter Maßnahmenplan.
Betroffenen-Benachrichtigung
Rechtssicher informieren — ohne Panik auszulösen.
Individuelle Benachrichtigungsschreiben gem. Art. 34 DSGVO, Handlungsempfehlungen für Mitglieder, FAQ-Vorlage für Ihr Theken-Team.
Cybersecurity-Vollaudit
Nicht nur die eine Lücke — Ihre gesamte IT auf dem Prüfstand.
Penetrationstest, CVE-Scan, Netzwerk-Analyse, Härtungsempfehlungen nach BSI IT-Grundschutz. Abschlussbericht mit priorisiertem Maßnahmenplan.
Langzeit-Hosting & Monitoring
Sichere Infrastruktur — ab dem ersten Tag.
Gehärteter PostgreSQL-16-Server, tägliche verschlüsselte Backups, 24/7-Monitoring, Zugriffsprotokollierung für Compliance-Nachweise.
EGYM-Partner?
Studios im EGYM-Netzwerk erhalten einen exklusiven Nachlass von 25% auf sämtliche Bausteine des Notfallkoffers — bei Sofortkauf oder Wahl der 6-Monats-Ratenzahlung per SEPA-Lastschrift.
| Leistung | Standard | EGYM-Partner |
|---|---|---|
| Autarke Betriebslösung S | 2.900 € | 2.175 € |
| DSGVO-Erstbewertung | 1.500 € | 1.125 € |
| Betroffenen-Benachrichtigung | 1.900 € | 1.425 € |
| Cybersecurity-Vollaudit | 3.500 € | 2.625 € |
| Hosting (12 Monate) | 1.788 € | 1.341 € |
| Gesamt netto | 11.588 € | 8.691 € |
Sie sparen: 2.897 €
In drei Schritten zur Sicherheit
Kontakt aufnehmen
Schreiben Sie uns an sales@baltic-ihub.com oder rufen Sie an. Wir klären in einem kurzen Gespräch Ihre Situation — vertraulich und unverbindlich.
Individuelles Angebot
Innerhalb von 24 Stunden erhalten Sie ein auf Ihre Mitgliederstruktur zugeschnittenes Angebot. Sie wählen die Bausteine, die Sie brauchen.
Umsetzung in 5 Werktagen
Nach Beauftragung starten wir innerhalb von 5 Werktagen. Die Kernleistungen sind in 4–6 Wochen abgeschlossen.
Warum Baltic iHub
Schwachstelle selbst entdeckt
Unser Team hat die Lücke bei einem routinemäßigen Audit gefunden — nicht aus dem Internet gelesen.
Lösung bereits im Einsatz
Der Notfallkoffer läuft bereits produktiv bei einem betroffenen Gesundheitszentrum.
BSI und Behörden informiert
Coordinated Vulnerability Disclosure über CERT-Bund. Responsible Disclosure nach BSI-Leitlinie.
Teil der THOR Holding
Die Baltic iHub GmbH gehört zur THOR Holding GmbH (Kiel) — IT-Sicherheit, Immobilienverwaltung und Gesundheitswesen unter einem Dach.
Häufige Fragen
Bin ich betroffen?+
Wenn Ihr Studio die betroffene Verwaltungssoftware einsetzt und Ihre Datenbank extern beim Anbieter gehostet wird — ja, mit hoher Wahrscheinlichkeit.
Muss ich die Datenschutzaufsichtsbehörde informieren?+
Art. 33 DSGVO sieht eine Meldefrist von 72 Stunden ab Kenntnis vor. Ob in Ihrem konkreten Fall eine Meldepflicht besteht, sollten Sie mit Ihrem Datenschutzbeauftragten oder einem spezialisierten Rechtsanwalt klären.
Was kostet der Notfallkoffer?+
Je nach Größe Ihres Studios ab 2.900 € netto für die autarke Betriebslösung. Alle Bausteine sind modular wählbar. EGYM-Partner erhalten 25% Nachlass.
Wie schnell kann die Baltic iHub helfen?+
Innerhalb von 24 Stunden individuelles Angebot, Start innerhalb von 5 Werktagen nach Beauftragung.
Wie ist der aktuelle Stand beim Softwareanbieter?+
Der Anbieter wurde am 20.03.2026 schriftlich informiert. Bislang liegt keine Rückmeldung vor. Das BSI führt den Coordinated-Vulnerability-Disclosure-Prozess parallel.
Jetzt handeln — Ihre Mitgliederdaten schützen.
Schnelles, dokumentiertes Handeln reduziert Ihr Haftungsrisiko nachweislich. Kontaktieren Sie uns für eine vertrauliche Ersteinschätzung.
Wir erstellen innerhalb von 24 Stunden ein individuelles Angebot.
Ratenzahlung möglich (6, 12 oder 24 Monate per SEPA-Lastschrift).
Diese Seite dient der allgemeinen Information und stellt keine Rechtsberatung dar. Bitte konsultieren Sie Ihren Datenschutzbeauftragten oder einen spezialisierten Rechtsanwalt für eine individuelle Bewertung Ihrer Situation. Die Schwachstelle wurde im Rahmen einer Responsible Disclosure gemeldet. Der Hersteller, das BSI und die zuständige Aufsichtsbehörde sind informiert.