Datenleck Xsolis: 1,4 Millionen Patienten-Daten gestohlen
24.06.2026 - 00:52:22 | boerse-global.de
Ein gezielter Phishing-Angriff auf den Gesundheitstechnologie-Anbieter Xsolis hat die persönlichen und medizinischen Daten von fast 1,4 Millionen Menschen offengelegt. Der Vorfall zählt zu den größten Datenschutzverstößen im US-Gesundheitswesen des Jahres 2026.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Angriff über Phishing-Masche
Am 20. Januar 2026 gelang es Unbekannten, durch eine Phishing-Kampagne in die Systeme von Xsolis einzudringen. Zwei Tage später, am 22. Januar, entdeckte das Unternehmen die unbefugten Aktivitäten. Die betroffene Personenzahl von 1.396.519 macht den Vorfall zum fünftgrößten gemeldeten Datenleck im Gesundheitssektor dieses Jahres.
Die gestohlenen Daten sind brisant: Sie umfassen Namen, Geburtsdaten, Adressen, Sozialversicherungsnummern, Krankenversicherungsdetails und medizinische Behandlungsinformationen. Über Partnerschaften mit Xsolis sind mehrere große Kliniken betroffen. Die UW Medicine meldet rund 26.000 betroffene Patienten, Infirmary Health sogar 89.700. Auch die renommierte Mayo Clinic zählt zu den betroffenen Kunden.
Bislang gebe es keine Hinweise auf einen Missbrauch der Daten, so Xsolis. Das Unternehmen bietet betroffenen Personen zwölf Monate Identitätsschutz über den Dienstleister Kroll an. Eine bekannte Ransomware-Gruppe hat sich nicht zu der Attacke bekannt. Die Anwaltskanzlei Edelson Lechtzin LLP hat jedoch bereits Ermittlungen für eine mögliche Sammelklage eingeleitet.
Welle von Sicherheitsvorfällen erschüttert Gesundheitsbranche
Der Xsolis-Vorfall reiht sich in eine Serie schwerwiegender Sicherheitsverstöße ein. Branchenanalysen zufolge entfielen im Frühjahr 2026 mehr als 76 Prozent aller Datenlecks im Gesundheitswesen auf Hacking und IT-Zwischenfälle. Allein im April meldeten 47 Einrichtungen Verstöße mit jeweils über 500 betroffenen Personen – insgesamt mehr als 1,3 Millionen Menschen.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Anti-Phishing-Paket jetzt gratis herunterladen
Parallel dazu bekannte sich die Erpressergruppe ShinyHunters zum Diebstahl von 8,8 Terabyte Daten von One Medical Seniors, einer Tochter von Amazon. Der Vorfall wurde am 13. Juni entdeckt. Betroffen sind offenbar alte Daten des Vorgängerunternehmens Iora Health, die auf einem Drittsystem lagerten. Der unbefugte Zugriff erfolgte zwischen dem 8. und 11. Juni. Die Erpresser setzten ein Lösegeld mit Frist zum 22. Juni.
Auch der dänische Pharmakonzern Novo Nordisk bestätigte einen IT-Sicherheitsvorfall Mitte Juni. Ziel war der Diebstahl von Daten klinischer Studienteilnehmer. Die Gruppen FulcrumSec und TheUSERS007 forderten 25 beziehungsweise 50 Millionen Dollar Lösegeld. Novo Nordisk lehnte eine Zahlung ab, obwohl sensible Gesundheitsdaten wie Lebensstilfaktoren und Biomarker der Probanden offengelegt wurden.
Weitere Vorfälle betreffen LifePoint Health (Ende Februar 2026), Southwest Behavioral & Health Services (April 2026) und Nottingham Village (Mai 2026). Experten fordern angesichts dieser Entwicklung strengere Kontrollen für Drittanbieter und KI-Plattformen im Gesundheitswesen.
