Canopy Healthcare: Sechs Monate lang unentdecket – Patientendaten gestohlen

Neuseelands größter privater Onkologie-Anbieter hat einen schweren Datendiebstahl erst mit großer Verzögerung öffentlich gemacht. Betroffen sind sensible Gesundheitsakten, Passdetails und Bankinformationen.

Der neuseeländische Gesundheitssektor steht nach einem schweren Datendiebstahl bei Canopy Healthcare unter Schock. Der größte private Anbieter für Krebsmedizin des Landes bestätigte diese Woche einen Angriff auf seine Verwaltungssysteme. Unbefugte hatten bereits im Juli 2025 Zugriff erlangt – die Betroffenen erfuhren davon erst ein halbes Jahr später. Die Verzögerung wirft grundlegende Fragen zur Transparenz und zum Datenmanagement privater Gesundheitsnetzwerke auf.

Sechsmonatiges Schweigen erschüttert Vertrauen

Canopy Healthcare räumte am Montag ein, dass Angreifer im Juli 2025 in administrative Systeme eingedrungen waren. Obwohl der Vorfall am 18. Juli entdeckt wurde, wurden Patienten und Mitarbeiter erst jetzt informiert. Sechs Monate lagen zwischen Entdeckung und Bekanntgabe.

Die gestohlenen Daten umfassen laut Unternehmen Patientengesundheitsakten, Personalausweise und eine „geringe Anzahl“ von Bankverbindungen, die für Rückerstattungen hinterlegt waren. Kreditkarteninformationen seien nicht betroffen. Doch die Weitergabe sensibler Passnummern und medizinischer Historie hat Patienten ein halbes Jahr lang unwissentlich der Gefahr von Identitätsdiebstahl ausgesetzt.

Der Angriff auf Canopy Healthcare macht deutlich, wie wertvoll und gleichzeitig verwundbar Patientendaten sind — und wie fatal verzögerte Benachrichtigungen sein können. Ein kostenloser Cyber-Security-Leitfaden für Kliniken und IT-Verantwortliche erklärt praxisnah, wie sich Verwaltungssysteme härten lassen, wie Erkennungs- und Meldeprozesse beschleunigt werden und welche Sofortmaßnahmen Betroffene schützen. Enthalten: Präventions-Checkliste, Krisenablauf und konkrete Verantwortlichkeiten. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Die Reaktionen sind scharf. Betroffene bezeichnen das Schweigen gegenüber Radio New Zealand als „empörend“. Sie fragen, warum sie im Ungewissen blieben, während ihre Daten gefährdet waren. Die massive Verzögerung verstärkt die Kritik an den Meldeprotokollen privater Kliniken, die forensische Untersuchungen gegen ihre Warnpflicht abwägen müssen.

So lief der Angriff ab

Laut Canopy Healthcare begann der Vorfall mit dem unbefugten Zugriff auf einen Server des Administrationsteams. Nach der Entdeckung wurden externe Cybersicherheitsexperten eingeschaltet. Deren forensische Untersuchung ergab, dass Daten „wahrscheinlich“ vom Server kopiert wurden. Der Vorfall sei inzwischen eingedämmt.

Der Diebstahl betrifft ein ganzes Netzwerk renommierter Dienste: Dazu zählen Canopy Cancer Care, Canopy Imaging, Absolute Radiology und das Auckland Breast Centre. Die Breite dieser Tochterunternehmen bedeutet, dass Patienten in der gesamten Nordinsel betroffen sein könnten – von der Diagnostik über die Onkologie bis zur Chirurgie.

Als Reaktion erwirkte Canopy Healthcare eine einstweilige Verfügung beim Hohen Gericht, um die Veröffentlichung der Daten zu verhindern. Man habe auch Polizei und den Datenschutzbeauftragten informiert. Für Sicherheitsexperten bleibt die verspätete Transparenz dennoch der Hauptkritikpunkt. Eine verzögerte Meldung verringert das Zeitfenster für Betroffene, ihre Konten und Identitäten zu schützen, erheblich.

Gesundheitssektor im Krisenmodus

Der Vorfall trifft den neuseeländischen Gesundheitssektor in einer angespannten Phase. Erst Ende Dezember 2025 war ein massiver Ransomware-Angriff auf das Patientenportal „Manage My Health“ bekannt geworden. Dieser betraf rund 127.000 Patienten und legte Schwachstellen in digitalen Systemen für Entlassungsberichte offen.

Branchenanalysten deuten diese aufeinanderfolgenden Angriffe als Zeichen systemischer Verwundbarkeit. Während die staatliche Gesundheitsbehörde private Anbieter wie Canopy nicht direkt reguliert, untergräbt die Häufung der Vorfälle das öffentliche Vertrauen in digitale Gesundheitsdienste.

Laut New Zealand Herald waren beim „Manage My Health“-Angriff über 400.000 Dokumente gestohlen und ein Lösegeld gefordert worden. Canopy Healthcare hat eine Lösegeldforderung nicht explizit bestätigt. Doch das Muster – der Angriff auf administrative Server – passt zum Trend: Cyberkriminelle zielen gezielt auf Gesundheitsunternehmen ab, weil diese besonders reichhaltige persönliche Daten (PII) speichern.

Drohende Regulierung und rechtliche Folgen

Die sechsmonatige Verzögerung der Benachrichtigung könnte regulatorische Konsequenzen haben. Nach dem Privacy Act 2020 müssen Organisationen den Datenschutzbeauftragten und Betroffene „so bald wie praktikabel“ über Datenschutzverletzungen informieren. Forensische Untersuchungen können kurze Verzögerungen rechtfertigen. Ein halbes Jahr dürfte jedoch eine strenge Prüfung durch die Behörde nach sich ziehen.

Rechtsexperten betonen, dass die Klausel „so bald wie praktikabel“ zwar Interpretationsspielraum lässt. Bei der Schwere der betroffenen Daten – medizinische und finanzielle Aufzeichnungen – sei jedoch ein deutlich schnelleres Handeln geboten. Die einstweilige Verfügung zeige, dass Canopy Healthcare nun aggressiv Schadensbegrenzung betreibe. Offen bleibe, warum diese rechtlichen Schritte nicht früher eingeleitet oder kommuniziert wurden.

Was kommt jetzt auf Patienten und Branche zu?

Canopy Healthcare rät betroffenen Patienten zu erhöhter Wachsamkeit. Das Unternehmen kontaktiert die Betroffenen direkt und schlägt vor, bei kompromittierten Passdetails eine Warnung beim Innenministerium hinterlegen zu lassen.

Für die gesamte Gesundheitsbranche könnte 2026 ein Wendepunkt in puncto Cybersicherheit werden. Experten prognostizieren, dass diese prominenten Vorfälle zu einer strengeren Durchsetzung von Meldefristen und möglicherweise zu neuen Gesetzen für private Gesundheitsdienstleister führen werden. Die Patienten im Canopy-Netzwerk müssen derweil ihre Kontoauszüge überwachen – und abwarten, wie viel ihres Privatlebens tatsächlich offengelegt wurde.

PS: Sie sind Patient, Angehöriger oder IT-Verantwortlicher und wollen jetzt akut handeln? Der kostenlose Cyber-Security-Leitfaden bietet eine leicht umsetzbare Checkliste für Betroffene (welche Konten sofort prüfen, wie Passdaten geschützt werden können) sowie ein Notfall-Playbook für Kliniken zur schnellen Eindämmung von Datenabfluss. Praktische Sofortmaßnahmen helfen, Identitätsdiebstahl und Folgeschäden zu minimieren. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen