Comparitech sieht im Gesundheitswesen eine klare Verschiebung der Angreiferstrategie. Statt vorrangig einzelne Krankenhäuser oder Arztpraxen anzugreifen, nehmen Cyberkriminelle zunehmend Unternehmen ins Visier, die diese Einrichtungen versorgen oder für sie Dienstleistungen erbringen. Rebecca Moody von Comparitech begründet das damit, dass ein kompromittierter zentraler Anbieter Zugang zu mehreren Krankenhäusern zugleich eröffnen kann.

Moody verweist darauf, dass ein einziges Drehkreuz oft mit zahlreichen Gesundheitsorganisationen verbunden ist, die große Datenbestände verwalten oder Drittleistungen für Hunderte Krankenhäuser erbringen. Das erhöhe den Druck auf das betroffene Unternehmen, weil es sich zugleich gegenüber vielen Kunden verantworten müsse. Wenn große Datenmengen gestohlen werden, könne das aus Sicht der Täter zudem die Chancen auf eine Lösegeldzahlung erhöhen.

Die Zahlen von Comparitech zeigen zwar, dass Gesundheitsdienstleister wie Krankenhäuser und Arztpraxen in der ersten Hälfte 2026 mit 247 bestätigten und unbestätigten Angriffen weiterhin häufiger betroffen waren als Gesundheitsunternehmen mit 163 Fällen. Der stärkere Zuwachs entfiel aber auf die Unternehmen: Dort hat sich die Zahl der Attacken im Vergleich zum gleichen Zeitraum 2025 mehr als verdoppelt.

Konkrete Vorfälle stützen diesen Trend. Im Februar meldete TriZetto Provider Solutions eine Datenpanne, die 3,4 Millionen Patienten in den Einrichtungen seiner Kunden betraf. QualDerm Partners legte im selben Zeitraum eine eigene Datenschutzverletzung aus dem Dezember offen, von der 3,1 Millionen Menschen betroffen waren. Im März führte ein Cyberangriff auf Unimed, einen deutschen Anbieter für medizinische Abrechnung, nach Angaben im Quelltext zum Diebstahl sensibler Gesundheitsdaten von Zehntausenden Patienten. Unimed bedient 95 Prozent der Universitätskliniken des Landes und mehr als die Hälfte der großen Kliniken.

Auch direkte Angriffe auf Versorger bleiben folgenreich. Das University of Mississippi Medical Center musste nach einem Ransomware-Angriff den Netzwerkzugang in allen 35 Einrichtungen abschalten, was erhebliche Betriebsstörungen verursachte. Laut Quelltext hielten die Einschränkungen dort mehr als zwei Wochen an.

Dass das Gesundheitswesen für Cyberkriminelle attraktiv bleibt, bestätigen auch andere Quellen. Das Internet Crime Complaint Center (IC3) des FBI erklärte im April, die Gesundheitsbranche sei 2025 der am stärksten angegriffene Sektor der kritischen Infrastruktur gewesen. Errol Weiss, Sicherheitschef von Health-ISAC, berichtet zudem von mehr Identitätsvortäuschung und Social-Engineering-Angriffen auf Krankenhäuser.

Weiss nennt mehrere strukturelle Schwachpunkte: Schwierigkeiten beim Auffinden und Patchen veralteter Geräte, dauerhaft laufende klinische Abläufe und eine starke Abhängigkeit von Drittanbietern. Hinzu kämen übersehene Schutzmaßnahmen wie abgesicherter Fernzugang und Multifaktor-Authentifizierung, die Angreifern den Erstzugang erleichtern könnten. Nach seiner Einschätzung verschärft außerdem das Modell Ransomware-as-a-Service die Lage, weil es den Kreis potenzieller Täter vergrößert.

Laut Comparitech richtet sich die Aktivität von Gruppen wie Qilin gegen die US-Gesundheitsbranche, während neuere Gruppen wie The Gentlemen sich nach Einschätzung von Moody stärker auf Europa und andere Regionen konzentrieren. Insgesamt stiegen Ransomware-Angriffe auf Unternehmen laut dem Bericht in den vergangenen sechs Monaten um 11 Prozent gegenüber dem vorherigen Zeitraum. Im Gesundheitswesen lag der Zuwachs damit nur einige Prozentpunkte höher, traf aber besonders stark die Unternehmen rund um die Versorgung der Kliniken.