Datenverstöße, Nachrichten

Biometrische Daten, Diagnosen und Bankdaten bei schwerwiegendem Datenschutzverstoß im Gesundheitswesen offengelegt

von Pieter Arntz | 19. Mai 2026
digitale Gesundheitsinformationen

NYC Health + Hospitals (NYC H+H) veröffentlichte eine Meldung über eine Datenpanne, bei der über einen Drittanbieter über einen Zeitraum von mehreren Monaten hochsensible Patienten- und Mitarbeiterdaten von mindestens 1,8 Millionen Personen offengelegt wurden, darunter Krankenakten, amtliche Ausweisdaten, Standortdaten sowie biometrische Daten wie Fingerabdrücke und Handabdrücke.

NYC H+H stellte am 2. Februar 2026 verdächtige Aktivitäten fest und bestätigte später, dass ein unbefugter Akteur von etwa Ende November 2025 bis Februar 2026 Zugriff auf Teile seines Netzwerks hatte.

In diesem Zeitraum kopierten die Angreifer Dateien, die persönliche, medizinische, finanzielle und biometrische Daten enthielten. Der Vorfall wurde am 24. März 2026 dem US-Gesundheitsministerium (HHS) gemeldet und betrifft derzeit mindestens 1,8 Millionen Personen, was ihn zu einem der bislang größten Datenschutzverletzungen im Gesundheitswesen des Jahres 2026 macht.

HHS-Anmeldung

NYC H+H führt den Angriff auf eine Sicherheitslücke bei einem nicht namentlich genannten Drittanbieter zurück, der Zugriff auf seine Systeme hatte. Dies entspricht dem aktuellen Muster von Angriffen auf die Lieferkette, bei denen ein Anbieter zum Einfallstor für Angreifer wird, um sich Zugang zu den Systemen oder Daten seiner Kunden zu verschaffen.

Vorfälle wie diese sind ein Paradebeispiel dafür, wie sehr persönliche Gesundheitsdaten langfristigen Betrug, Stalkerware-ähnlichenMissbrauch und einen dauerhaften Verlust der Privatsphäre begünstigen können.

Digitaler Fußabdruck-Scan

Überprüfen Sie, ob Ihre persönlichen Daten offengelegt wurden.

Arten von Daten

Laut der Mitteilung von NYC H+H und den dazugehörigen Berichten ist der offengelegte Datensatz ungewöhnlich umfangreich und detailliert.

Wir können die Daten in drei verschiedene Ebenen unterteilen:

  • Klassische personenbezogene Daten, die mit anderen durchgesickerten Datensätzen kombiniert werden können: Vollständige Namen und Kontaktdaten. Von Behörden ausgestellte Identifikationsnummern, darunter Sozialversicherungsnummern, Führerschein- und Reisepassnummern, sonstige behördliche Identifikationsnummern, Steueridentifikationsnummern und IRS-Identitätsschutz-PINs. Durch die Datenpanne wurden zudem Rechnungs- und Zahlungsdaten sowie Bank- und Kartendaten offengelegt, die für direkten Finanzdiebstahl und äußerst überzeugendes Social Engineering genutzt werden können.
  • Medizinische Daten und Versicherungsdaten: Detaillierte Diagnosen, Medikamentenlisten und Untersuchungsergebnisse legen Erkrankungen offen, die Menschen möglicherweise vor Arbeitgebern, Familienangehörigen oder Versicherern geheim gehalten haben, was Erpressung, gezielte Betrugsversuche und Diskriminierung ermöglicht. Versicherungs- und Schadensdaten können missbraucht werden, um betrügerische Ansprüche geltend zu machen, Erstattungen umzuleiten oder sich in Gesundheitssystemen als andere Personen auszugeben.
  • Biometrische Daten: Diese sind mindestens ebenso sensibel wie die Krankengeschichte, da sie in der Regel ein Leben lang bestehen bleiben. Sie lassen sich nicht ohne Weiteres löschen oder ersetzen. Sind große biometrische Datenbanken einmal kompromittiert, werden sie zu einer langfristigen Belastung für alle, die sich auf sie als vertrauenswürdige Identifikationsmittel verlassen.

Leider ist dies Teil eines umfassenderen Trends. Das Internet Crime Complaint Center (IC3) des FBI berichtet, dass das Gesundheitswesen im Jahr 2025 mit 460 Ransomware-Vorfällen und 182 gemeldeten Datenschutzverletzungen im Gesundheitswesen der am stärksten von Ransomware betroffene Sektor der kritischen Infrastruktur war.

Allein durch den Ransomware-Angriff auf Change Healthcare wurden medizinische Daten und Abrechnungsdaten von mehr als 190 Millionen Amerikanern offengelegt, was deutlich macht, wie ein einziger Vermittler im Gesundheitswesen ein ganzes System lahmlegen kann.

Was tun, wenn Sie davon betroffen sind?

Falls Sie mit NYC Health + Hospitals in Kontakt standen, besteht die Möglichkeit, dass Ihre personenbezogenen Daten betroffen sind.

NYC Health + Hospitals stellt allen Personen, die bei NYC Health + Hospitals gearbeitet haben oder dort als Patienten behandelt wurden, über Kroll Information Assurance, LLC für einen Zeitraum von 24 Monaten kostenlose Dienste zur Prävention und Eindämmung von Identitätsdiebstahl, einschließlich Kreditüberwachung, zur Verfügung. Weitere Informationen finden Sie in der Mitteilung zum Datenschutzverstoß.

Wenn Sie glauben,von einer Datenpanne betroffen zu sein, können Sie folgende Maßnahmen ergreifen, um sich zu schützen:

  • Befolgen Sie die Anweisungen des Unternehmens.Jeder Verstoß ist anders, daher sollten Sie sich beim Unternehmen erkundigen, was passiert ist, und die spezifischen Anweisungen befolgen, die es Ihnen gibt.
  • Ändern Sie Ihr Passwort. Sie können ein gestohlenes Passwort für Diebe unbrauchbar machen, indem Sie es ändern. Wählen Sie ein sicheres Passwort, das Sie für nichts anderes verwenden. Besser noch: Lassen Sie einen Passwort-Manager ein Passwort für Sie auswählen.
  • Aktivieren Siedie Zwei-Faktor-Authentifizierung (2FA).Verwenden Sie nach Möglichkeit einen FIDO2-kompatiblen Hardware-Schlüssel, Laptop oder ein Smartphone als zweiten Faktor. Einige Formen der 2FA können genauso leicht wie ein Passwort gehackt werden, aber eine 2FA, die auf einem FIDO2-Gerät basiert, kann nicht gehackt werden.
  • Hüten Sie sich vor Betrügern.Die Kriminellen könnten sich unter dem Deckmantel der betroffenen Plattform an Sie wenden. Überprüfen Sie auf der offiziellen Website, ob diese tatsächlich Kontakt zu den Betroffenen aufnimmt, und vergewissern Sie sich der Identität aller Personen, die Sie über andere Kommunikationskanäle kontaktieren.
  • Nehmen Sie sich Zeit. Phishing-Angriffe geben sich oft als Personen oder Marken aus, die Sie kennen, und verwenden Themen, die dringende Aufmerksamkeit erfordern, wie verpasste Lieferungen, Kontosperrungen und Sicherheitswarnungen.
  • Speichern Sie Ihre Kartendaten nicht. Es ist zwar bequemer, wenn Websites Ihre Kartendaten speichern, aber das Risiko steigt, wenn ein Händler Opfer eines Datenlecks wird.
  • Richten Sieeine Identitätsüberwachung ein, die Sie benachrichtigt, wenn Ihrepersönlichen Datenillegal online gehandelt werden, und Ihnen dabei hilft, die Folgen zu bewältigen.

Seien wir ehrlich: Ein Inkognito-Fenster hat seine Grenzen.

Datenlecks, Handel im Dark Web, Kreditbetrug. Malwarebytes Identity Theft überwacht all das, benachrichtigt Sie umgehend und beinhaltet eine Versicherung gegen Identitätsdiebstahl. 

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Betrug
Der Betrug mit der Aldi-Fleischbox

Facebook verspricht günstige Aldi-Fleischpakete, stiehlt stattdessen Zahlungsdaten

Mai 19, 2026

Ein gefälschtes Angebot für eine „Fleischbox“ von Aldi, das sich auf Facebook verbreitet, Facebook Opfer dazu, persönliche Daten und Zahlungsinformationen preiszugeben.

AI
Erkennung von YouTube

YouTube dein Gesicht, um deepfakes zu bekämpfen

Mai 19, 2026

Die „Gesichtsähnlichkeitserkennung“ verspricht Schutz vor deepfakes, doch manche Urheber haben Bedenken, dafür biometrische Daten preiszugeben.

Nachrichten
Passwörter merken

Microsoft ändert das Verhalten Edgebei Passwörtern im Klartext

Mai 18, 2026

Gespeicherte Passwörter in Microsoft Edge nicht mehr während der gesamten Browsersitzung im Klartext im Arbeitsspeicher verbleiben, nachdem ein Forscher Bedenken geäußert hatte.

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug