Eine der größten Gesundheitsdatensicherheitslücken des Jahres

NYC Health and Hospitals sagt, ein Cyberangriff habe hochsensible Informationen von mindestens 1,8 Millionen Menschen offengelegt. Damit gehört der Vorfall bislang zu den größten gemeldeten Gesundheitsdatenlecks des Jahres 2026. Das öffentliche Gesundheitssystem teilte mit, Hacker hätten persönliche Daten, medizinische Unterlagen und biometrische Scans gestohlen, darunter Fingerabdrücke und Handabdrücke.

Schon die schiere Größe würde den Vorfall zu einem schweren Ereignis machen. Die Art der Daten verschärft das Problem noch. Anders als Passwörter lassen sich biometrische Merkmale nicht einfach zurücksetzen und neu ausstellen. Einmal kompromittiert, schaffen sie ein dauerhaftes Risiko für die Betroffenen.

Eine lange Verweildauer im Netzwerk

Laut der in dem bereitgestellten Bericht beschriebenen Benachrichtigung über den Vorfall wurde der Angriff am 2. Februar 2026 entdeckt, die Eindringlinge hatten jedoch von November 2025 bis Februar 2026 Zugriff auf das Netzwerk. In diesem Zeitraum kopierten sie Dateien aus den Systemen.

Die Organisation erklärte, die Kompromittierung gehe auf einen Vorfall bei einem nicht genannten Drittanbieter zurück. Das unterstreicht ein wiederkehrendes Muster in der Cybersicherheit des Gesundheitswesens: Selbst große Einrichtungen mit umfangreicher Infrastruktur können über verbundene Dienstleister angreifbar werden.

PeopleSoft 0-day affecting hundreds of organizations steals gigabytes of data
More in News

PeopleSoft-Null-Day-Einbrüche weiten sich aus, bevor der Patch kommt

Eine kritische PeopleSoft-SSRF-Schwachstelle mit der Kennung CVE-2026-35273 wurde mehr als zwei Wochen lang ausgenutzt, bevor Oracle sie offenlegte. Forscher bringen die Angriffe mit ShinyHunters und Erpressungsaktivitäten in Verbindung.

Read article

Die entwendeten Daten waren ungewöhnlich umfangreich

NYC Health and Hospitals sagte, die offengelegten Informationen seien je nach Person unterschiedlich, könnten aber Versicherungs- und Policendaten, Diagnosen, Medikamente, Tests, medizinische Bildgebung, Abrechnungs- und Forderungsdaten, Zahlungsinformationen sowie staatliche Ausweisdokumente wie Sozialversicherungsnummern, Pässe und Führerscheine umfassen.

Der Bericht sagt außerdem, dass präzise Geolokalisierungsdaten entwendet wurden, was darauf hindeutet, dass hochgeladene Bilder von Ausweisdokumenten Standortinformationen enthalten haben könnten. Sollte sich das für viele Datensätze bestätigen, würden die Datenschutzfolgen über das klassische Risiko eines Identitätsdiebstahls hinausgehen.

Warum der biometrische Aspekt heraussticht

Die Einbeziehung von Fingerabdrücken und Handabdrücken erhöht die Schwere des Vorfalls deutlich. Biometrische Daten sind dauerhaft. Wenn sie missbraucht oder weiterverbreitet werden, haben Betroffene deutlich weniger Möglichkeiten zur Wiederherstellung, als dies nach der Offenlegung einer Kreditkarte oder eines Passworts der Fall wäre.

Das Gesundheitssystem erklärte nicht, warum es biometrische Daten speicherte, obwohl der Bericht anmerkt, dass Bewerber für eine Stelle in der Regel Fingerabdrücke für Strafregisterprüfungen abgeben müssen. Ob auch die Biometriedaten von Patienten betroffen waren, war zunächst unklar.

Here’s everything new in iOS 27 and more, per Apple’s keynote list - 9to5Mac
More in News

Apples Trennung der Foundation Models deutet auf eine hybride KI-Strategie hin

Der bereitgestellte Quelltext von 9to5Mac legt nahe, dass Apple neue Foundation Models über On-Device-KI und Cloud-KI hinweg erklärt und damit eher eine hybride Architektur als einen Ein-Modell-Ansatz andeutet.

Read article

Eine Warnung für den öffentlichen Gesundheitssektor

NYC Health and Hospitals ist das größte öffentliche Gesundheitssystem der Vereinigten Staaten und versorgt mehr als eine Million New Yorker, viele davon ohne Versicherung oder mit staatlichen Gesundheitsleistungen. Dieses Profil macht den Vorfall besonders folgenschwer. Öffentliche Gesundheitssysteme verwalten große Mengen sensibler Daten und arbeiten zugleich unter hohem budgetären, technischen und operativen Druck.

Der Vorfall ist eine weitere Erinnerung daran, dass das Gesundheitswesen weiterhin ein bevorzugtes Ziel finanziell motivierter Cyberkrimineller bleibt. Medizinische und Identitätsdaten sind wertvoll, schwer zu ersetzen und oft über komplexe Lieferantennetzwerke verteilt. Sobald Angreifer eine Schwachstelle finden, kann der Folgeschaden enorm sein.

Für die Betroffenen ist die nächste Frage ganz praktisch: Welche Schutzmaßnahmen, Benachrichtigungen und langfristigen Überwachungen folgen nun? Für die Branche insgesamt ist die Botschaft noch klarer. Im Gesundheitswesen reichen Drittparteienexposition und langsame Entdeckung weiterhin aus, um aus einem Systemeinbruch ein dauerhaftes persönliches Sicherheitsproblem zu machen.

Dieser Artikel basiert auf Berichterstattung von TechCrunch. Den Originalartikel lesen.

Originally published on techcrunch.com