Gleich mehrere große Plattformen und regionale Anbieter meldeten kompromittierte Patientendaten – mit teils verheerenden Folgen.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Guide für Unternehmen kostenlos herunterladen
Telemedizin als Einfallstor
Besonders brisant: der Vorfall bei OpenLoop Health. Am 13. Mai aktualisierte das US-Gesundheitsministerium sein Portal für Datenschutzverletzungen – und offenbarte, dass 716.000 Patienten betroffen sind. Die Telemedizin-Plattform, die als technische Infrastruktur für zahlreiche virtuelle Praxen dient, hatte den unbefugten Zugriff bereits am 7. Januar entdeckt.
Die Täter erbeuteten innerhalb von 24 Stunden Namen, Adressen, Geburtsdaten und medizinische Informationen. Immerhin: Sozialversicherungsnummern und Bankdaten blieben verschont. OpenLoop Health reagierte mit verschärften Sicherheitsmaßnahmen und bietet den Betroffenen eine einjährige Kreditüberwachung an.
Der Fall zeigt ein wachsendes Problem: Drittanbieter werden zum bevorzugten Ziel von Hackern. Ein einziger Angriff auf eine zentrale Plattform kann Patienten im ganzen Land treffen – oft ohne dass diese den Namen des Dienstleisters überhaupt kennen.
Oracle-Altlasten: Datenleck mit Verzögerung
Am 14. Mai schlugen Atrium Health Navicent und Interim HealthCare Alarm. Tausende Patienten erhielten Benachrichtigungen über einen Vorfall, der sich bereits im Januar 2025 bei Oracle Health ereignet hatte – während der Migration von Daten alter Cerner-Server.
Die Verzögerung von über einem Jahr erklärt Atrium Health mit der extrem aufwendigen Datenprüfung. Die Ermittlungen, die erst am 12. März 2026 abgeschlossen wurden, ergaben: Hacker hatten sich bereits am 22. Januar 2025 Zugang zu zwei Legacy-Servern verschafft. Die gestohlenen Daten enthalten hochsensible Informationen: Testergebnisse, Medikamentenpläne, Diagnosen – und in einigen Fällen auch Sozialversicherungsnummern. Betroffen sind Patienten, die bis ins Jahr 2021 zurückreichen.
Auch bei Interim HealthCare von Lubbock und Amarillo kam es zu einem ähnlichen Vorfall. Ein Angriff auf die Technologiefirma Doctor Alliance ermöglichte Hackern zwischen Oktober und November 2025 unbefugten Zugriff auf Patientenportale. Diese Fälle illustrieren den „langen Schatten“ von Datenlecks: Das wahre Ausmaß wird oft erst Monate oder Jahre später sichtbar.
Regionale Anbieter im Visier
Die Mai-Welle erfasst auch kleinere Einrichtungen. Mt. Spokane Pediatrics in Washington begann am 13. Mai, 32.021 Patienten über einen Cyberangriff im Januar zu informieren. Eine forensische Untersuchung ergab: Hacker erbeuteten Dateien mit Sozialversicherungsnummern, Krankenakten und Behandlungsdaten.
In Michigan meldete das Waterford Surgical Center einen Hackerangriff auf einen Netzwerkserver. Rund 9.000 Personen sind betroffen. Anwaltskanzleien prüfen bereits, ob die Klinik vor dem Angriff ausreichende Sicherheitsvorkehrungen getroffen hatte.
Das Cookeville Regional Medical Center in Tennessee legte am 12. Mai die endgültige Bilanz eines Ransomware-Angriffs aus dem Jahr 2025 vor. Die Rhysida-Erpresserbande erbeutete rund 500 Gigabyte Daten – 337.917 Patienten sind betroffen. Die neunmonatige Datenprüfung zeigt erneut, wie langsam die Aufarbeitung solcher Angriffe voranschreitet.
Fehlende Datenschutz-Folgenabschätzungen können Unternehmen bei solchen Datenlecks teuer zu stehen kommen. Dieser kostenlose Leitfaden inklusive Muster-Vorlage zeigt Datenschutzbeauftragten, wie sie die DSFA-Pflicht rechtssicher erfüllen und Bußgelder vermeiden. Kostenlose Muster-DSFA und Checklisten anfordern
Lieferketten unter Beschuss
Die Bedrohung geht weit über Patientendaten hinaus. Am 14. Mai meldete West Pharmaceutical Services, ein globaler Zulieferer für Injektionsverpackungen und Medikamentensysteme, einen Ransomware-Angriff. Die Produktion und der Versand sind beeinträchtigt.
Das Unternehmen entdeckte den Einbruch am 4. Mai. In Meldungen an die US-Börsenaufsicht gab der Konzern bekannt, dass Hacker Daten gestohlen und wichtige Systeme verschlüsselt hatten. Um die Bedrohung einzudämmen, wurden Teile der globalen Infrastruktur vorsorglich heruntergefahren. Da West Pharmaceutical ein Hauptlieferant für zahlreiche Medikamentenhersteller ist, wachsen die Sorgen vor Engpässen bei kritischen medizinischen Gütern.
Die neue Bedrohung: KI-gesteuerte Angriffe
Die Angriffswelle fällt mit neuen Warnungen von Sicherheitsexperten zusammen. In einer Branchenrunde Mitte Mai warnten Experten: Der Gesundheitssektor bleibt ein „Schatz“ für Kriminelle – wegen des hohen Werts von Krankenakten und der zeitkritischen Natur medizinischer Abläufe.
Die Zahlen sind alarmierend: 92 Prozent der Gesundheitsorganisationen meldeten in den letzten zwei Jahren Cyberangriffe. Die Kosten der schwersten Vorfälle belaufen sich auf mehrere Millionen Euro. Die Bedrohungslage hat sich grundlegend gewandelt: Statt von Menschen gesteuerter Angriffe dominieren zunehmend KI-generierte, autonome Exploits, die schneller agieren als jede manuelle Abwehr.
Experten fordern daher „maschinenschnelle“ Gegenmaßnahmen und eine robuste Mikrosegmentierung in Krankenhausnetzwerken.
Regulatorische Lücken
Eine wachsende Debatte entzündet sich an den gesetzlichen Vorgaben. Die HIPAA-Richtlinien schreiben eine Meldung innerhalb von 60 Tagen nach Entdeckung vor – aber sie legen keine Frist für den Abschluss forensischer Untersuchungen fest. Verbraucherschützer und Juristen verweisen auf die aktuelle Welle als Beleg dafür, dass Patienten während der monatelangen Ermittlungen schutzlos bleiben.
Ausblick: Was kommt auf die Branche zu?
Die nächsten Monate dürften von rechtlichen und technologischen Reformen geprägt sein. Juristen rechnen mit einer Welle von Sammelklagen gegen Anbieter, die zu spät warnen oder nachweislich zu wenig in Sicherheit investiert haben.
Für den Rest des Jahres 2026 steht die Branche vor einer Mammutaufgabe: Der Ersatz veralteter Server und die Einführung von Zero-Trust-Architekturen haben höchste Priorität. Doch solange Erpresserbanden wie Black Basta und Rhysida weiterhin medizinische Infrastruktur attackieren, bleibt der Druck enorm. Die aktuelle Welle ist eine bittere Lektion: Cybersicherheit ist kein Compliance-Thema mehr – sie ist zur Grundlage der Patientenversorgung geworden.
