Manage My Health: Cyberangriff legt Gesundheitsdaten offen

Ein schwerer Hackerangriff auf Manage My Health hat sensible Dokumente von über 100.000 Patienten kompromittiert. Der Vorfall löste eine nationale Sicherheitsdebatte aus.

Ein schwerer Cyberangriff auf Neuseelands führende Gesundheitsplattform Manage My Health hat sensible Dokumente von über 100.000 Patienten gefährdet. Die Attacke löste eine nationale Sicherheitskrise aus.

Kern der Krise: Zugriff auf medizinische Dokumente

Die Betreiber entdeckten den Vorfall am 30. Dezember 2025. Unbefugte drangen in das Modul für Gesundheitsdokumente ein. Dort lagern Arztbriefe, Entlassungsberichte und klinische Korrespondenz. Betroffen sind schätzungsweise 108.000 bis 126.000 der 1,8 Millionen registrierten Nutzer – das entspricht sechs bis sieben Prozent.

Laut Unternehmen blieb die zentrale Patientendatenbank unangetastet. Auch Passwörter seien nicht gestohlen worden. Doch externe Cybersicherheitsfirmen melden Alarmierendes: Die Angreifergruppe „Kazu“ will rund 108 Gigabyte Daten erbeutet haben. Sie forderte ein Lösegeld von umgerechnet 60.000 Euro.

Notfallmaßnahmen und juristische Schritte

Manage My Health reagierte schnell. Bis zum 3. Januar wurde die genutzte Sicherheitslücke geschlossen. Externe Experten bestätigten die Wirksamkeit der Maßnahmen. Zusätzlich verschärfte das Unternehmen die Login-Prozesse und erweiterte die Echtzeit-Überwachung.

Der Angriff auf Manage My Health macht deutlich, wie verwundbar Gesundheitsdaten sind – und wie schnell Reputation und Patientenvertrauen verloren gehen können. Für Klinikbetreiber, App‑Anbieter und IT‑Verantwortliche steht deshalb Sofortschutz an erster Stelle: Ein kostenloser Experten‑Leitfaden erklärt praxisnahe Maßnahmen zur Absicherung von Dokumentenmodulen, Sofortmaßnahmen gegen Ransomware, Härtung von Logins und Einrichtung von Monitoring. Der Report enthält Checklisten, Kommunikationsvorlagen für Betroffene und Hinweise zur Audit‑Vorbereitung. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Parallel läuft die genaue forensische Analyse. Sobald feststeht, welche Dokumente konkret betroffen sind, erhalten die betroffenen Nutzer direkte Benachrichtigungen. Das soll in der kommenden Woche geschehen. Das Unternehmen kündigte zudem rechtliche Schritte zum Schutz der Kundendaten an. Details dazu sind noch nicht öffentlich.

Politisches Erdbeben und Systemfragen

Der Vorfall zog sofort politische Kreise nach sich. Gesundheitsminister Simeon Brown nannte den Angriff „besorgniserregend für die Privatsphäre der Patienten“. Er betonte jedoch, dass die staatlichen Systeme von Health New Zealand, darunter das „My Health Account“, nicht kompromittiert seien. Manage My Health operiere auf privater Infrastruktur.

Doch die Gewerkschaft Public Service Association (PSA) sieht einen direkten Zusammenhang. Sie kritisiert IT-Personalkürzungen im Gesundheitssektor scharf. Solche Einsparungen würden die digitale Widerstandsfähigkeit des gesamten Systems gefährden. Die PSA erinnert an den folgenschweren Ransomware-Angriff auf das Waikato District Health Board im Jahr 2021.

Die neuseeländische Datenschutzbehörde hat den Fall auf dem Schirm. Sie wird genau prüfen, ob Manage My Health die gesetzlichen Sicherheitsvorgaben eingehalten hat. Eine frühere Untersuchung von Health New Zealand selbst hatte die Behörde noch abgelehnt – ein Punkt, den die PSA nun erneut anprangert.

Warum Gesundheitsdaten so wertvoll

Der Angriff unterstreicht eine bittere Wahrheit: Die Gesundheitsbranche bleibt ein Top-Ziel für Cyberkriminelle. Der Grund ist einfach: Medizinische Daten sind auf dem Schwarzmarkt extrem wertvoll. Im Gegensatz zu Kreditkartennummern lassen sie sich nicht sperren. Sie ermöglichen langfristigen Identitätsdiebstahl und Betrug.

Die vergleichsweise geringe Lösegeldforderung deutet Analysten zufolge auf ein Verbrechen der Gelegenheit hin, nicht auf einen staatlich gelenkten Angriff. Die wahre Kosten liegen anderswo: im Vertrauensverlust und im Reputationsschaden. Die Schwachstelle im Dokumentenmodul zeigt ein typisches Muster. Angreifer nutzen oft ungepatchte Schnittstellen in Zusatzsystemen als Einfallstor.

Folgen für die digitale Gesundheitsversorgung

Die Grenze zwischen privaten Anbietern und öffentlicher Infrastruktur verschwimmt für Patienten zusehends. Dieser Vorfall macht deutlich: Die Sicherheit von Drittanbietern ist entscheidend für die nationale Gesundheitsversorgung. Eine Lücke bei einem privaten Partner kann eine landesweite Krise auslösen.

In den kommenden Wochen steht Manage My Health vor einer Herkulesaufgabe. Die Kommunikation mit den betroffenen Nutzern muss transparent, aber nicht panikmachend sein. Vage Erklärungen würden das verlorene Vertrauen weiter beschädigen.

Mittelfristig dürfte der Angriff zu strengeren Sicherheitsauflagen für Gesundheits-Apps führen. Regulierungsbehörden werden „Security by Design“ und regelmäßige Audits für alle datenverarbeitenden Drittanbieter forcieren. Für Manage My Health geht es nun nicht nur um technische Lösungen, sondern um den Kampf um Glaubwürdigkeit. Für die gesamte Branche ist es eine ernüchternde Lektion: Cybersicherheit ist im Jahr 2026 kein IT-Thema mehr, sondern eine Grundvoraussetzung für Patientensicherheit.

PS: Wenn Patientenakten auf dem Spiel stehen, zählt jede Stunde. Dieses Gratis‑Dossier fasst in vier klaren Schritten zusammen, wie Sie Sicherheitslücken erkennen, Incident Response einleiten, Logins und Schnittstellen härten sowie Phishing‑ und Malware‑Risiken minimieren. Es enthält Vorlagen für die Kommunikation mit Betroffenen und konkrete Compliance‑Checks, damit Sie Vertrauen zurückgewinnen und regulatorische Folgen abmildern. Ideal für Gesundheits‑Apps, Praxen und Entscheidungsträger. Gratis Cyber‑Security‑Report & Maßnahmenplan sichern