Laut der 8-K-Meldung an die SEC, die CareCloud am späten Freitag einreichte, kam es am 16. März zu einer Netzwerkstörung. Sie betraf eine der sechs Umgebungen für elektronische Gesundheitsakten, die das Unternehmen kontrolliert. Die betroffene Umgebung war acht Stunden lang offline, bevor CareCloud sie wiederherstellte. Weitere Plattformen des Unternehmens waren nach eigenen Angaben nicht betroffen.

Eine Untersuchung ergab, dass ein Angreifer “vorübergehend Zugriff auf das System” hatte. Anfangs meldete CareCloud den Vorfall ausschließlich den Strafverfolgungsbehörden. Bis zum 24. März kam das Unternehmen dann zu dem Schluss, dass der Vorfall “angesichts der Sensibilität der möglicherweise betroffenen Informationen und der möglichen Folgen wesentlich” sei.

Zu diesen Folgen zählt CareCloud Kosten für Behebung und Reaktion, rechtliche, regulatorische und meldebezogene Fragen sowie mögliche Auswirkungen auf Patienten, Kunden, Geschäftspartner, Reputation und Betrieb. In der Meldung erklärt das Unternehmen, es arbeite weiterhin daran zu bewerten, ob und in welchem Umfang Patienteninformationen oder andere Daten abgerufen oder entwendet wurden und um welche Kategorien und Mengen es sich dabei handele.

CareCloud ist ein großer Anbieter von Technik und Software für Krankenhäuser und Arztpraxen und betreut mehr als 45.000 Leistungserbringer. Das Angebot umfasst Systeme für elektronische Gesundheitsakten sowie digitale Abrechnungs- und Geschäftsprodukte. Im vergangenen Geschäftsjahr meldete das Unternehmen einen Umsatz von 120,5 Millionen US-Dollar. Auf Anfragen, wie viele Menschen betroffen sind, reagierte CareCloud nicht. Bis Montag hatte sich keine Hackergruppe zu dem Vorfall bekannt.

Mehrere der größten in diesem Jahr gemeldeten Datenpannen gehen auf Cyberangriffe gegen jene Technologieunternehmen zurück, die Werkzeuge und Software für Gesundheitsdienstleister oder große Versicherer mit Patientendaten bereitstellen. Vor zwei Wochen teilte das Analyseunternehmen Insightin den Aufsichtsbehörden mit, dass 1,1 Millionen Menschen von einem Datendiebstahl im September betroffen seien. Bei einem Angriff auf das Gesundheitstechnologieunternehmen TriZetto Provider Solutions im Jahr 2024 wurden sensible Gesundheitsdaten von weiteren 3 Millionen Menschen gestohlen, beim Angriff auf das Technologieunternehmen Episource waren 5 Millionen Menschen betroffen.