Krankenhaus-Ransomware-Angriff legt Daten von 337.917 Patienten offen

Ransomware-Angriff auf das Cookeville Regional Medical Center: Was geschah

Ein schwerwiegender Datenschutzverstoß im Cookeville Regional Medical Center (CRMC) in Tennessee hat fast 338.000 Personen betroffen und zählt damit zu den bedeutenderen Ransomware-Vorfällen im Gesundheitswesen, die in den letzten Monaten gemeldet wurden. Das Krankenhaus hat die Behörden offiziell über den Vorfall informiert und den Angriff der Ransomware-Gruppe Rhysida zugeschrieben – einer kriminellen Cyberorganisation mit einer dokumentierten Geschichte von Angriffen auf Gesundheitseinrichtungen.

Laut den Offenlegungen des CRMC exfiltrierten die Angreifer etwa 500 GB sensibler Daten, bevor der Angriff eingedämmt werden konnte. Zu den kompromittierten Informationen gehören Patientennamen, Sozialversicherungsnummern, medizinische Behandlungsunterlagen und Finanzkontodaten. Das CRMC begann am 18. April 2026 damit, Benachrichtigungsschreiben an die 337.917 betroffenen Personen zu versenden, nachdem eine umfangreiche forensische Untersuchung zum Umfang und zur Art des Vorfalls abgeschlossen worden war.

Die Zeitspanne zwischen dem Angriff und der Benachrichtigung verdeutlicht, wie komplex solche Untersuchungen sein können. Gesundheitseinrichtungen müssen sorgfältig ermitteln, auf welche Daten genau zugegriffen wurde, wem diese gehören und welche gesetzlichen Meldepflichten gelten, bevor die Betroffenen kontaktiert werden können.

Was die Ransomware-Gruppe Rhysida tut

Rhysida ist ein Ransomware-as-a-Service-Betrieb, der seit mindestens 2023 aktiv ist. Die Gruppe verschafft sich typischerweise durch Phishing-E-Mails oder die Ausnutzung gestohlener Zugangsdaten einen ersten Zugang, bewegt sich dann seitwärts durch das Netzwerk, exfiltriert Daten und setzt anschließend Verschlüsselung ein. Das Double-Extortion-Modell bedeutet, dass Opfer sowohl mit gesperrten Systemen als auch mit der Drohung konfrontiert sind, dass ihre Daten veröffentlicht oder verkauft werden, wenn kein Lösegeld gezahlt wird.

Gesundheitseinrichtungen sind häufige Angriffsziele, weil sie hochwertige persönliche und medizinische Daten besitzen, oft veraltete Systeme mit bekannten Schwachstellen betreiben und einem enormen Druck ausgesetzt sind, Dienste schnell wiederherzustellen. Dieser Druck kann dazu führen, dass sie eher bereit sind, Lösegeld zu zahlen, was sie wiederum zu attraktiven Zielen macht.

Der CRMC-Vorfall ist ein Paradebeispiel dafür, wie ein einziger erfolgreicher Einbruch die Daten von Hunderttausenden von Menschen kompromittieren kann – darunter so sensible Informationen wie Krankengeschichten und Sozialversicherungsnummern.

Was das für Sie bedeutet

Wenn Sie ein Benachrichtigungsschreiben vom CRMC erhalten haben oder Patient dieser Einrichtung waren, sollten Sie jetzt konkrete Maßnahmen ergreifen.

Überwachen Sie Ihre Finanzkonten sorgfältig. Der Angriff hat Finanzkontodaten zusammen mit personenbezogenen Informationen offengelegt. Überprüfen Sie regelmäßig Ihre Bank- und Kreditkartenabrechnungen auf unbekannte Transaktionen. Kontaktieren Sie Ihr Finanzinstitut, wenn Ihnen etwas Verdächtiges auffällt.

Stellen Sie eine Kreditsperre oder einen Betrugswarnhinweis ein. Da Sozialversicherungsnummern zu den kompromittierten Daten gehören, sind betroffene Personen einem erhöhten Risiko für Identitätsdiebstahl ausgesetzt. Eine Kreditsperre bei allen drei großen Kreditauskunfteien (Equifax, Experian und TransUnion) verhindert, dass ohne Ihre ausdrückliche Genehmigung neue Konten in Ihrem Namen eröffnet werden. Ein Betrugswarnhinweis ist eine weniger weitreichende Option, die Ihre Akte für eine genauere Überprüfung markiert.

Achten Sie auf Phishing-Versuche. Angreifer, die bei solchen Datenpannen Informationen erwerben, nutzen diese häufig, um überzeugende Folge-Phishing-E-Mails oder Telefonanrufe zu gestalten. Seien Sie skeptisch gegenüber unaufgeforderten Nachrichten, die sich auf Ihre medizinische Versorgung beziehen, insbesondere wenn Sie darin aufgefordert werden, auf einen Link zu klicken oder zusätzliche persönliche Informationen preiszugeben.

Lesen Sie das Benachrichtigungsschreiben sorgfältig. Das Schreiben des CRMC sollte Einzelheiten darüber enthalten, welche spezifischen Informationen in Ihrem Fall betroffen sind, sowie Angaben zu etwaigen Kreditüberwachungs- oder Identitätsschutzleistungen, die das Krankenhaus anbietet. Nutzen Sie diese Dienste, sofern sie verfügbar sind.

Wie Gesundheitseinrichtungen und Mitarbeiter das Risiko reduzieren können

Für Fachkräfte und Administratoren im Gesundheitswesen verdeutlichen Vorfälle wie der CRMC-Angriff die Bedeutung mehrschichtiger Sicherheitspraktiken. Zugangsdatendiebstahl ist einer der häufigsten Einstiegspunkte für Ransomware-Gruppen. Die Verwendung eines VPNs, insbesondere in ungesicherten oder öffentlichen Netzwerken, hilft dabei, den Datenverkehr zu verschlüsseln und das Risiko zu verringern, dass Anmeldedaten während der Übertragung abgefangen werden. Dies ist besonders relevant für Mitarbeiter im Gesundheitswesen, die remote auf Patientenakten oder Krankenhaussysteme zugreifen.

Über die VPN-Nutzung hinaus sind eine konsequente Passworthygiene und die Mehrfaktorauthentifizierung für alle Systeme, die geschützte Gesundheitsinformationen verarbeiten, unerlässlich. Schulungen zur Phishing-Erkennung bleiben eine der wirksamsten Maßnahmen gegen die anfänglichen Einbruchstaktiken, auf die Gruppen wie Rhysida angewiesen sind.

Regelmäßige Überprüfungen der Zugriffsberechtigungen auf sensible Systeme, kombiniert mit dem Prinzip der minimalen Rechtevergabe, können ebenfalls einschränken, wie weit sich ein Angreifer innerhalb eines Netzwerks bewegen kann. Die 500 GB, die aus dem CRMC exfiltriert wurden, legen nahe, dass die Angreifer ausreichend Zeit und Zugang hatten, um sich durch erhebliche Teile der Datenumgebung des Krankenhauses zu bewegen.

Gesundheitsdatenpannen immer einen Schritt voraus sein

Der Datenschutzverstoß beim CRMC ist eine Erinnerung daran, dass Gesundheitsdaten zu den sensibelsten Informationen überhaupt gehören. Krankenakten kombinieren persönliche Identifikatoren, Finanzdetails und intime Gesundheitsgeschichten in einer einzigen Datei, was sie für Kriminelle außerordentlich wertvoll und im Falle einer Offenlegung außerordentlich schädlich macht.

Wenn Sie von diesem Datenschutzverstoß betroffen sind, handeln Sie schnell. Sperren Sie Ihre Kreditauskunft, überwachen Sie Ihre Konten und bleiben Sie wachsam gegenüber Phishing-Versuchen. Wenn Sie im Gesundheitswesen tätig sind, nehmen Sie dies als Anlass, Ihre eigenen Sicherheitsgewohnheiten zu überprüfen – einschließlich der Frage, wie und wo Sie auf Patientensysteme zugreifen. Die Werkzeuge zur Reduzierung persönlicher Risiken sind vorhanden; entscheidend ist, sie konsequent einzusetzen, bevor ein Vorfall dazu zwingt.