Das französische Gesundheits-Tech-Unternehmen Cegedim hat Ende des Jahres 2025 einen schweren Cyberangriff erlitten, durch den persönliche Daten von rund 15 Millionen Patienten kompromittiert wurden, bestätigten Behörden am Mittwoch. Die Angreifer nutzten Schwachstellen in der vom Unternehmen weit verbreiteten medizinischen Software, um Namen, Adressen und in einigen Fällen äußerst sensible medizinische Vermerke einschließlich Krankheitsdiagnosen und persönlicher Informationen zu stehlen.
Der Angriff richtete sich gegen Cegedims „Mon Logiciel Médical“ (MLM)-Software, ein weithin genutztes Praxisverwaltungssystem, wobei 1.500 der 3.800 medizinischen Fachkräfte auf der Plattform direkt betroffen waren, wie das Unternehmen mitteilte. Die Eindringlinge blieben mehrere Monate unentdeckt, bevor die Sicherheitsteams von Cegedim auf der Plattform ein ungewöhnliches Verhalten identifizierten und am 27. Oktober 2025 Anzeige bei der Pariser Staatsanwaltschaft erstatteten.
Der Vorfall wurde erst dieser Woche bekannt, als France 2 erstmals darüber berichtete, was eine sofortige Bestätigung sowohl von Cegedim als auch dem Gesundheitsministerium veranlasste. Laut Le Monde hat einer der Hacker bereits eine Stichprobe der gestohlenen Daten online gestellt und die vollständige Datenbank zum Verkauf auf einem Forum angeboten, wobei er behauptet, sie enthalte Informationen über 19 Millionen Patienten, was die offiziellen Schätzungen übersteigt.
Schwere der offengelegten Informationen
Während administrative Daten einschließlich Namen, Telefonnummern und Adressen bei der großen Mehrheit der Opfer offengelegt wurden, erlebten dagegen ca. 169.000 Patienten einen weitaus schwereren Verstoß. Für diese Teilgruppe griffen die Angreifer auf medizinische Freitextnotizen zu, die hochsensible Details zu spezifischen Erkrankungen enthielten, darunter AIDS, die Sexualität des Patienten und persönliche Umstände wie Familienmitglieder im Gefängnis, so Berichte von Nachrichtenorganisationen, die die Daten überprüften.
Cybersicherheits-Experten warnten, dass die dauerhafte Natur medizinischer Daten sie besonders wertvoll für Kriminelle mache, die sie für gezielte Phishing-Angriffe, medizinischen Identitätsbetrug und Erpressungskampagnen über Jahre hinweg nutzen könnten. Der Verstoß schaffe eine direkte Verbindung zwischen Patienten und ihren Ärzten und erzeuge langfristige Datenschutzrisiken.
Die Pariser Staatsanwaltschaft hat eine formelle Untersuchung wegen „Angriffen auf ein automatisiertes Datensystem“ eingeleitet und den Fall ihrer spezialisierten Cybercrime-Brigade zugewiesen. Das Gesundheitsministerium stellte eine formelle Forderung, Cegedim zur Umsetzung sofortiger korrigierender Sicherheitsmaßnahmen zu verpflichten.
Experten halten dies für den wohl größten Gesundheitsdatenverstoß in der französischen Geschichte, der das unterstreicht, was sie als systemische Unterinvestition in die Cybersicherheit im gesamten Gesundheitssektor bezeichnen. Cegedim hat die kompromittierten Zugriffsstellen gesichert und die französische Datenschutzbehörde (CNIL) benachrichtigt, doch die vollständigen Folgen für das Unternehmen und die betroffenen Personen bleiben abzuwarten.
Sources
- Le Monde
- France Info
