Die neuseeländische Regierung hat umfangreiche Mittel für die Modernisierung der digitalen Gesundheitsinfrastruktur bereitgestellt. Grund sind schwere Sicherheitsmängel, die einen massiven Datendiebstahl ermöglichten. Gesundheitsminister Simeon Brown kündigte am heutigen Donnerstag ein Investitionspaket von umgerechnet rund 450 Millionen Euro an.
Der aktuelle Datendiebstahl zeigt, wie verwundbar digitale Infrastrukturen sind – ein Risiko, das durch neue Technologien und Gesetze stetig wächst. Dieses Gratis-E-Book klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken: Report für Unternehmen kostenlos anfordern
Budget 2026: Sicherheit hat Vorrang
Allein für die unmittelbare Stärkung der Cybersicherheit fließen umgerechnet rund 86 Millionen Euro an die Gesundheitsbehörde Health NZ. Das Geld ist für eine rund um die Uhr Überwachung der Systeme, kritische IT-Updates und den Aufbau von Sicherheitsexpertise vorgesehen. Auch die digitalen Systeme in Arztpraxen sollen strenger kontrolliert werden.
Darüber hinaus sind weitere 168 Millionen Euro für die ersten drei Jahre eines umfassenden Digitalisierungsplans reserviert. Dieser sieht die Modernisierung radiologischer Dienste, die Erneuerung der Hardware und die Aktualisierung klinischer Plattformen vor.
Drei Untersuchungen decken systematische Versäumnisse auf
Die Ankündigung folgt auf die Veröffentlichung von drei Untersuchungsberichten am Mittwoch. Sie analysieren einen Cyberangriff auf das Patientenportal „Manage My Health“ (MMH). Datenschutzbeauftragter Michael Webster stellte fest, dass sowohl MMH als auch Health NZ gegen den Gesundheitsinformations-Schutzcode verstoßen haben. Sie hätten keine ausreichenden Sicherheitsvorkehrungen getroffen.
Die Attacke Ende Dezember 2025 traf das Land hart. Die Hackergruppe Kazu erbeutete über 400.000 Dokumente. Darunter waren klinische Briefe und Krankenhausentlassungsberichte von 99.416 Patienten. Die Erpresser forderten umgerechnet rund 54.000 Euro Lösegeld.
Webster kündigte Abmahnungen für die beteiligten Organisationen an. Zudem empfahl er Gesetzesänderungen, um Drittanbieter stärker in die Pflicht zu nehmen.
Rekord-Schäden durch Cyberangriffe zwingen immer mehr Organisationen dazu, ihre Sicherheitsstrategien grundlegend zu überdenken. Experten erklären in diesem kostenlosen Paket, wie sich Unternehmen und Verwaltungen proaktiv gegen moderne Hacker-Methoden absichern können. Kostenloses Anti-Phishing-Paket zur Hacker-Abwehr jetzt herunterladen
Analyse: Angriff war vermeidbar
Die Sicherheitsfirma CyberCX stuft den Angriff als vermeidbar ein. MMH sei unvorbereitet gewesen und habe nicht einmal grundlegende technische Kontrollen besessen, um Massenzugriffe zu erkennen. Eine weitere Untersuchung der Wirtschaftsprüfungsgesellschaft Deloitte ergab: Der örtliche Gesundheitsbezirk Northland hatte bei der Beauftragung von MMH die Standard-Beschaffungsprotokolle umgangen. Der Vertragswert lag unter der Prüfschwelle von umgerechnet rund 56.000 Euro.
Besonders brisant: Das Gesundheitsministerium erhielt bereits im November 2025 eine Warnung eines unabhängigen Sicherheitsforschers über Sicherheitslücken in der Programmierschnittstelle. Die Behörde leitete die Warnung am 17. November an MMH weiter. Doch die Lücken wurden offenbar nie geschlossen. Am 21. Dezember begann die Hackergruppe mit dem Datendiebstahl.
Die Folgen trafen vor allem die Region Northland: 91 Prozent der betroffenen Patienten stammen von dort. Health NZ-Finanzvorstand Bevan McKenzie räumte ein, dass die Behörde ihren Pflichten nicht nachgekommen sei. Ein umfassender Aktionsplan werde derzeit entwickelt.
Ministerium übernimmt 26 Sicherheitsempfehlungen
Das Gesundheitsministerium hat alle 26 Empfehlungen eines unabhängigen Gutachtens angenommen. IT-Chef Quin Carver bestätigte, dass mehrere Maßnahmen bereits umgesetzt werden. Dazu gehören eine formelle Überprüfung des Sicherheitsrahmens und die Pflicht zu unabhängigen Audits für Drittanbieter.
Die Empfehlungen zielen darauf ab, das Risikomanagement für externe Dienstleister zu stärken und klarere Protokolle für die Benachrichtigung von Patienten bei Sicherheitsverstößen zu schaffen. Manage My Health teilte am Mittwoch mit, dass das Portal inzwischen eine Zwei-Faktor-Authentifizierung, Echtzeit-Überwachung und einen unabhängigen Sicherheitsbeirat eingeführt habe.
