Die Radiology Associates of Richmond (RAR) bestätigte in einer Mitteilung, dass Unbekannte Zugang zu Patientendaten erlangten und sensible Informationen erbeuteten. Betroffen sind Namen, Sozialversicherungsnummern, Regierungsausweisdaten sowie Finanz- und Versicherungsinformationen von 266.183 Personen. Die Benachrichtigungen wurden ab dem 21. Mai 2026 verschickt.
Der Angriff erfolgte am 25. Juli 2025, blieb aber zunächst unentdeckt. Erst nach einer umfassenden forensischen Untersuchung durch externe Cybersecurity-Experten konnte RAR die Situation einordnen und die volle Dimension des Vorfalls analysieren. Die Tatsache, dass zwischen Angriff und Erkennung fast ein Jahr verging, deutet auf unzureichende Anomalieerkennung und Intrusion-Detection-Systeme hin.
Besonders bemerkenswert ist ein zweiter Vorfall: Im Juli 2025 meldete RAR dem US-Department of Health and Human Services (HHS) ein weiteres Datenleck aus dem April 2024, bei dem 1,4 Millionen Menschen betroffen waren. Dies zeigt ein systembewunderndes Sicherheitsproblem bei der Organisation.
Die Opfer erhalten Angebote für kostenlosen Kredit-Monitoring, um Identitätsdiebstahl zu verhindern. RAR hat die zuständigen Behörden in mehreren Bundesstaaten benachrichtigt.
Für deutsche Unternehmen im Gesundheitssektor ist dieser Fall lehrreich: Unter der DSGVO müssen Datenpannen mit personenbezogenen Daten dem Bundesdatenschutzbeauftragten (BfDI) innerhalb von 72 Stunden gemeldet werden. Fahrlässige oder vorsätzliche Verstöße können Bußgelder bis zu 4 Prozent des Jahresumsatzes nach sich ziehen. Das BSI empfiehlt Krankenhäusern und medizinischen Einrichtungen, Segmentierung von Netzwerken, Zwei-Faktor-Authentifizierung und kontinuierliches Monitoring zu implementieren. Die lange Dauer zwischen Angriff und Erkennung hätte durch bessere Sicherheitstechnologie und geschultes Personal verkürzt werden können.