DatenschutzHackerangriffeCloud-Sicherheit

Datenpanne bei The Oncology Institute: Millionen Patientendaten gefährdet

Von CyberDeutsch Redaktion
Datenpanne bei The Oncology Institute: Millionen Patientendaten gefährdet
Zusammenfassung

Das Oncology Institute, ein US-amerikanischer Krebsbehandlungsanbieter mit über 100 Kliniken in fünf Bundesstaaten, hat bestätigt, dass ein Datenleck von September 2025 tatsächlich Patientendaten betroffen hat. Die Sicherheitsverletzung ereignete sich bei einem unbenannten Drittanbieter von Softwarelösungen, bei dem es sich möglicherweise um TriZetto Provider Solutions handelt – eine Gesundheitstechnologieplattform des IT-Konzerns Cognizant. Das Leck könnte sich auf mehrere Millionen Patienten ausgewirkt haben und betrifft nach aktuellem Stand zahlreiche weitere Gesundheitsdienstleister in den USA. Während die Identität der Angreifer weiterhin unklar bleibt, unterstreicht dieser Vorfall ein zunehmendes Risiko für deutsche Unternehmen und Behörden: Viele deutsche Arztpraxen, Kliniken und Krankenkassen nutzen internationale Softwarelösungen und Cloud-Services, deren Sicherheit sie oft nur begrenzt kontrollieren können. Ein ähnlicher Angriff auf in Deutschland genutzte Systeme könnte sensible Gesundheitsdaten von Millionen Patienten gefährden und erhebliche Bußgelder nach der DSGVO auslösen. Das Incident verdeutlicht die kritische Notwendigkeit verstärkter Third-Party-Risk-Management-Prozesse im Gesundheitswesen.

Die Datenpanne bei The Oncology Institute zeigt erneut die kritischen Schwachstellen in der Lieferkette digitaler Gesundheitsdienste. Während das Unternehmen selbst möglicherweise robuste Sicherheitsmaßnahmen implementiert hatte, ermöglichte die Abhängigkeit von einem Drittanbieter-Softwarevendor dennoch einen groß angelegten Datendiebstahl. Der Ablauf der Ereignisse verdeutlicht typische Verzögerungen bei der Aufdeckung solcher Vorfälle: Erst im November 2025 wurde die SEC informiert, doch die tatsächliche Kompromittierung wurde erst im Mai 2026 bestätigt — ein halbes Jahr später.

Die vermutlich involvierte TriZetto Provider Solutions ist ein bekannter Anbieter von Verwaltungssoftware für Gesundheitsdienstleister. Ein Kompromiss dieser zentral genutzten Plattform hat Kaskadeneffekte: Mehrere Healthcare-Organisationen wurden simultan betroffen, was auf ein systematisches Eindringen hindeutet. Bislang hat keine bekannte Ransomware-Gruppe die Verantwortung übernommen, was Spekulationen über staatliche Akteure oder opportunistische Cyberkriminelle aufkommen lässt.

Für Deutschland ist dieser Fall insbesondere im Kontext der DSGVO relevant. Deutsche Krankenhäuser und Arztpraxen, die ähnliche Softwarelösungen verwenden, müssen davon ausgehen, dass auch ihre Systeme potenziell betroffen sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesdatenschutzbeauftragte (BfDI) haben entsprechende Warnungen ausgegeben. Betroffene deutsche Organisationen hätten nur 72 Stunden Zeit, um Patienten und Behörden zu benachrichtigen.

Die Abwicklung durch Kroll, einen dritten Vermittler, deutet auf die Komplexität der modernen Breach-Management-Prozesse hin. TOI hat eine Patientenportal-Lösung angekündigt, doch bleibt unklar, wie transparent und zeitnah Betroffene informiert werden.

Dieser Vorfall unterstreicht die Notwendigkeit verstärkter Third-Party-Risk-Management-Strategien. Deutsche Behörden und große Unternehmen sollten ihre Dienstleister regelmäßig auditieren und Sicherheitsanforderungen vertraglich verankern.

Ähnliche Artikel