DatenschutzRansomwareHackerangriffe

Datenpannen in US-Kliniken: 600.000 Patienten betroffen – auch deutsche Gesundheitseinrichtungen gefährdet

Datenpannen in US-Kliniken: 600.000 Patienten betroffen – auch deutsche Gesundheitseinrichtungen gefährdet
Zusammenfassung

Drei amerikanische Gesundheitsorganisationen sind Opfer erheblicher Datenpannen geworden, die insgesamt fast 600.000 Personen betreffen. Die Vorfälle wurden diese Woche im Datenbank-Tracker des US-amerikanischen Gesundheitsministeriums (HHS) dokumentiert. Die größte Panne betraf die North Texas Behavioral Health Authority mit 285.000 betroffenen Personen, nachdem eine Netzwerkinfektion im Oktober 2025 entdeckt wurde und persönliche Daten wie Sozialversicherungsnummern kompromittiert wurden. Southern Illinois Dermatology meldete 160.000 Opfer eines Cybersicherheitsvorfalls im November 2025, wobei die Ransomware-Gruppe Insomnia sogar damit prahlte, die Patientendaten gestohlen und veröffentlicht zu haben. Das Saint Anthony Hospital in Chicago verzeichnete 146.000 betroffene Personen durch einen E-Mail-Sicherheitsvorfall im Februar 2025. Diese Fälle unterstreichen ein wachsendes Problem für deutsche Gesundheitseinrichtungen und Unternehmen: Mit zunehmenden Cyberangriffen auf medizinische Systeme weltweit steigt das Risiko auch für hiesige Krankenhäuser und Arztpraxen. Deutsche Datenschutzbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) müssen verstärkt Cybersicherheitsmaßnahmen im Gesundheitswesen fördern und durchsetzen, um ähnliche Vorfälle zu verhindern.

Die drei Datenpannen verdeutlichen ein wachsendes Problem in der US-amerikanischen Gesundheitsbranche. Die North Texas Behavioral Health Authority, eine Einrichtung für psychische Gesundheit und Suchtbehandlung, entdeckte im Oktober 2025 einen unbefugten Netzwerkzugriff. Erst im März 2026 machte die Organisation dies öffentlich. Ermittlungen zeigten, dass Unbefugte Dateien mit persönlichen Informationen einschließlich Sozialversicherungsnummern abgezogen haben könnten.

Bei Southern Illinois Dermatology in Salem, Illinois, wurde die Sicherheitsverletzung Ende November 2025 bemerkt. Eine Untersuchung im März 2026 offenbarte, dass Dateien mit persönlichen Daten kompromittiert waren. Besonders kritisch: Die Insomnia-Ransomware-Gruppe prangte die Klinik im Februar auf ihrer Website an und behauptete, Daten von 150.000 Patienten gestohlen zu haben. Die Cyberkriminellen veröffentlichten das Material tatsächlich.

Saint Anthony Hospital in Chicago meldete 146.000 Betroffene nach einer Email-Sicherheitsverletzung. Zwei Mitarbeiter-Email-Konten wurden kompromittiert, was Patienten- und Gesundheitsinformationen gefährdet. Der Angriff fand im Februar 2025 statt. Interessanterweise war die Klinik bereits 2024 Ziel der LockBit-Ransomware-Gruppe.

Diese Vorfälle illustrieren mehrere wichtige Sicherheitslücken: Verzögerte Entdeckung von Angriffen (Monate zwischen Intrusion und Erkennung), unzureichender Email-Schutz und die Rolle organisierter Ransomware-Gruppen bei der Datenexfiltration. Deutsche Gesundheitsorganisationen sollten daraus lernen. Das deutsche Gesundheitssystem mit seinen strengeren Datenschutzanforderungen (DSGVO, BDSG) bietet zwar konzeptionell besseren Schutz, doch auch hiesige Kliniken und Praxen sind nicht immun gegen solche Angriffe.

Experten warnen: Schnellere Erkennung von Eindringlingen, mehrstufige Authentifizierung, Endpoint-Detection-and-Response-Systeme und regelmäßige Datenschutz-Audits sind essenziell. Die US-Vorfälle zeigen zudem, dass selbst etablierte Institutionen Jahre benötigen können, um Verstöße vollständig aufzuklären und Betroffene zu informieren. Deutsche Behörden und Kliniken sollten ihre Incident-Response-Pläne überprüfen und sicherstellen, dass sie zeitnah reagieren können.

Ähnliche Artikel