Ein Cyberangriff auf einen Dienstleister hat sensible Gesundheitsdaten von Patienten des US-Diagnostikriesen Lumexa Imaging offengelegt. Juristen und Verbraucherschützer prüfen nun rechtliche Schritte.
Der Vorfall wirft ein Schlaglicht auf die wachsenden Sicherheitsrisiken in der Gesundheitsbranche. Besonders brisant: Die Daten wurden nicht direkt bei Lumexa selbst gestohlen, sondern bei einem externen Dienstleister für administrative Aufgaben. Solche „indirekten“ Angriffe nehmen branchenweit zu.
Der Fall Lumexa zeigt drastisch, dass Sicherheitslücken bei externen Dienstleistern ein massives Haftungsrisiko für das eigene Unternehmen darstellen. Schützen Sie sich vor teuren Bußgeldern und rechtlichen Konsequenzen mit diesem kostenlosen Experten-Report zur rechtssicheren Auftragsverarbeitung. Haftungsrisiken bei Dienstleistern jetzt minimieren
Angriff über die Hintertür eines Dienstleisters
Die Sicherheitslücke wurde am 9. April 2026 entdeckt, als der betroffene Zulieferer verdächtige Aktivitäten in seinem Netzwerk bemerkte. Lumexa Imaging reagierte umgehend und kappte die Verbindung zu den Systemen des Dienstleisters. Forensische Untersuchungen ergaben jedoch, dass ein unbefugter Angreifer bereits zwischen dem 31. März und dem 9. April Zugriff auf sensible Daten erlangt hatte.
Bis zum 15. April bestätigte das Unternehmen, dass der Eindringling möglicherweise über die Verbindung zum Dienstleister auf Dokumente mit Patientendaten zugegriffen hatte. Die betroffenen Akten stammen von verschiedenen angeschlossenen radiologischen Praxen und Bildgebungszentren.
Hochsensible Daten in den Händen von Kriminellen
Die gestohlenen Daten umfassen eine breite Palette persönlicher und medizinischer Informationen. Neben Namen, Geburtsdaten, Adressen und Telefonnummern erbeuteten die Angreifer auch Kontonummern, Krankenversicherungsdetails und klinische Daten wie Diagnosen, Untersuchungsdaten und spezifische Informationen zu radiologischen Leistungen. Besonders kritisch: Für einen Teil der Betroffenen wurden auch Sozialversicherungsnummern gestohlen.
Rechtsexperten betonen, dass radiologische Diagnosen und Versicherungsinformationen für Cyberkriminelle im Darknet besonders wertvoll sind. Das Risiko von Identitätsdiebstahl und Finanzbetrug ist für die betroffenen Patienten daher erheblich.
Welle von Sammelklagen rollt an
Die Offenlegung des Vorfalls hat eine Welle von Untersuchungen durch nationale Anwaltskanzleien für Sammelklagen ausgelöst. Die Kanzlei Schubert Jonckheer & Kolbe LLP aus San Francisco prüft, ob Lumexa Imaging angemessene Cybersicherheitsmaßnahmen versäumt oder behördliche Meldungen verzögert hat. Im Fokus stehen mögliche Verstöße gegen den Health Insurance Portability and Accountability Act (HIPAA) und bundesstaatliche Verbraucherschutzgesetze.
Auch die Kanzleien Shamis & Gentile P.A. und Cole & Van Note haben Ermittlungen im Namen betroffener Patienten eingeleitet. Sie sehen das Potenzial für erhebliche rechtliche Auseinandersetzungen, da die Kombination aus Sozialversicherungsnummern und Krankengeschichten ein hohes Risiko für Identitätsdiebstahl birgt.
Angriffe auf sensible Kundendaten und die daraus resultierenden Klagen sind eine existenzielle Bedrohung für jedes moderne Unternehmen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre IT-Sicherheit proaktiv stärken und neue gesetzliche Anforderungen ohne riesiges Budget erfüllen. Gratis Cyber-Security Leitfaden herunterladen
Unternehmen reagiert mit Schutzmaßnahmen
Lumexa Imaging hat Mitte Mai 2026 begonnen, formelle Benachrichtigungen an die betroffenen Personen zu versenden. Das Unternehmen bietet kostenlose Kreditüberwachungs- und Identitätswiederherstellungsdienste über Kroll an. Zudem wurde eine Hotline eingerichtet, um Patientenfragen zu beantworten.
Trotz des wachsenden rechtlichen Drucks bewertet das Management den Vorfall als nicht wesentlich für das Gesamtgeschäft. CEO Caitlin Zulla räumte den Vorfall während einer Telefonkonferenz zu den Quartalszahlen Anfang Mai ein, betonte aber, dass das Unternehmen schnell reagiert habe, um seine Systeme zu schützen und Vorschriften einzuhalten.
Finanzielle Prognosen bleiben stabil
Für das Gesamtjahr 2026 prognostiziert Lumexa Imaging einen Umsatz zwischen 1,045 Milliarden und 1,097 Milliarden Euro. Das bereinigte EBITDA wird auf 234 bis 242 Millionen Euro geschätzt. Das Management geht nicht davon aus, dass der Vorfall die Finanzprognose oder das Wachstum signifikant verändern wird.
Das Unternehmen mit Hauptsitz in Raleigh, North Carolina, betreibt rund 190 Zentren in 13 US-Bundesstaaten. Es ist der zweitgrößte Anbieter von diagnostischer Bildgebung in den USA. Lumexa setzt auf eine mehrgleisige Wachstumsstrategie, darunter die Eröffnung von vier neuen Zentren in South Carolina, North Carolina, Pennsylvania und Florida.
Ausblick für Betroffene und Aktionäre
In den kommenden Wochen wird die genaue Zahl der betroffenen Patienten erwartet, sobald die Generalstaatsanwälte der Bundesstaaten die Unternehmensmeldungen geprüft haben. Angesichts der Größe des Unternehmens könnte die Zahl beträchtlich sein.
Für Aktionäre bleibt die Sorge vor langfristigen Prozesskosten und einem Imageschaden, während das Unternehmen in neue Märkte expandiert. Die Abhängigkeit von fortschrittlichen Technologien wie der FastScan-Integration und KI-gestützten Diagnoselösungen erfordert ein hohes Maß an digitalem Vertrauen von Patienten und Partnern.
Betroffene Patienten sollten ihre Kontoauszüge und Krankenversicherungsabrechnungen auf unberechtigte Aktivitäten überwachen. Die vom Unternehmen angebotenen Überwachungsdienste stehen nach Erhalt des individuellen Benachrichtigungsschreibens zur Verfügung. Der Ausgang der Sammelklagen wird darüber entscheiden, ob weitere Entschädigungen oder Änderungen an der Cybersicherheitsinfrastruktur von Lumexa erforderlich werden.
