Die jüngste Datenpanne bei CareCloud reiht sich in eine besorgniserregende Serie von Sicherheitsverletzungen im Gesundheitssektor ein. Der Softwareanbieter, der 2023 120,5 Millionen Dollar Umsatz generierte, bestätigte gegenüber der SEC, dass ein nicht näher identifizierter Hacker am 16. März Zugang zu einer seiner sechs elektronischen Patientenaktensysteme erlangte. Das betroffene System war acht Stunden lang offline, bevor CareCloud es wiederherstellen konnte.
Besonders problematisch ist die zeitliche Verzögerung der Meldung: Während CareCloud die Behörden zunächst nur über das Vorfall-Management benachrichtigte, erkannte das Unternehmen erst acht Tage später die Materialität des Vorfalls. Dies deutet auf Unsicherheit im Umgang mit Sicherheitsmeldungen hin – ein bekanntes Problem in der Branche.
Bislang konnte CareCloud nicht beziffern, wie viele Patienten betroffen sind oder welche Daten konkret gestohlen wurden. In ihrem SEC-Bericht räumt das Unternehmen ein, noch dabei zu sein, “das Ausmaß und die Art der möglicherweise exfiltrierten Daten zu bewerten”. Auch hat sich bislang keine Hackergruppe zu dem Angriff bekannt.
Die Panne illustriert ein wachsendes Risiko: Der Gesundheitssektor wird zunehmend durch Angriffe auf seine Technologie-Partner destabilisiert. In diesem Jahr wurden mehrere massive Datendiebstähle bekannt: Das Healthcare-Analytics-Unternehmen Insightin meldete 1,1 Millionen betroffene Patienten, TriZetto Provider Solutions verlor Daten von 3 Millionen Personen, und der Angriff auf Episource betraf sogar 5 Millionen Menschen.
Deutsche Gesundheitseinrichtungen sollten diesen Fall aufmerksam verfolgen. Viele deutsche Kliniken und Praxen nutzen internationale Software-Lösungen, und Datenschutzverstöße können unter der DSGVO zu erheblichen Bußgeldern führen. Die mangelnde Transparenz von CareCloud über das Ausmaß des Vorfalls ist besorgniserregend und deutet darauf hin, dass Sicherheitsuntersuchungen in komplexen IT-Umgebungen Zeit brauchen – Zeit, in der Patientendaten bereits kompromittiert sein können.