Xsolis-Datenleck: 1,4 Millionen Patientendaten gestohlen
23.06.2026 - 16:29:29 | boerse-global.de
Ein gezielter Phishing-Angriff auf den US-Gesundheitstechnologie-Dienstleister Xsolis hat die sensiblen Daten von fast 1,4 Millionen Menschen offengelegt. Der Vorfall wirft erneut Fragen zur Sicherheit von Patientendaten auf – auch für deutsche Gesundheitsdienstleister, die mit ähnlichen Drittanbietern zusammenarbeiten.
Angriff im Januar – Entdeckung nach zwei Tagen
Der Cyberangriff ereignete sich am 20. Januar 2026. Bereits zwei Tage später, am 22. Januar, entdeckte das in Nashville ansässige Unternehmen die unbefugten Zugriffe. Die genaue Dimension des Schadens wurde nun am 23. Juni 2026 öffentlich: Laut dem US-amerikanischen Gesundheitsministerium (HHS) sind insgesamt 1.396.519 Personen betroffen.
Anzeige: Der Xsolis-Vorfall zeigt: Ein gezielter Phishing-Angriff auf einen Dienstleister reicht, um 1,4 Millionen Patientendaten zu kompromittieren. Deutsche Kliniken sind ähnlich verwundbar. Dieser Report liefert Checkliste und Notfallplan, um Ihre Drittanbieter-Risiken zu minimieren. Jetzt kostenlosen Sicherheits-Report anfordern
Xsolis fungiert als sogenannter „Business Associate“ nach dem US-Datenschutzgesetz HIPAA. Das Unternehmen stellt Technologielösungen für Krankenhäuser und Kliniken bereit – ähnlich wie deutsche Dienstleister wie CGM oder Dedalus. Die gestohlenen Daten stammen nicht direkt von den Krankenhäusern selbst, sondern von der Plattform des Dienstleisters.
Welche Daten abgeflossen sind
Die Angreifer erbeuteten einen umfangreichen Datensatz mit persönlichen und medizinischen Informationen:
- Vollständige Namen und Geburtsdaten
- Wohnadressen
- Sozialversicherungsnummern (entspricht der deutschen Steuer-ID)
- Krankenversicherungsdaten
- Behandlungsunterlagen und klinische Aufzeichnungen
Bislang gibt es keine Hinweise darauf, dass die Daten für Betrug oder Identitätsdiebstahl genutzt wurden. Auch bekannte Erpresserbanden haben sich nicht zu dem Angriff bekannt.
Prominente Kliniken betroffen
Mehrere große US-Gesundheitssysteme sind von dem Datenleck betroffen. Die renommierte Mayo Clinic bestätigte, am 23. April 2026 informiert worden zu sein. Zwar seien Patientendaten der Klinik betroffen, der Vorfall habe aber nichts mit der eigenen IT-Infrastruktur zu tun.
Das Infirmary Health-System meldete rund 89.700 betroffene Patienten. Weitere betroffene Einrichtungen sind VHC Health und Rochester Regional Health. Xsolis informiert die Betroffenen derzeit direkt.
Schutzmaßnahmen und rechtliche Konsequenzen
Xsolis reagiert mit einem umfassenden Sicherheitspaket: Betroffene erhalten zwölf Monate kostenlosen Kreditkarten- und Identitätsschutz über den Dienstleister Kroll. Eine spezielle Website wurde für Rückfragen eingerichtet.
Mehrere US-Anwaltskanzleien haben bereits Ermittlungen eingeleitet. Edelson Lechtzin LLP und Emery Reddy prüfen, ob Fahrlässigkeit bei der Datensicherheit vorliegt – und ob Sammelklagen im Namen der Betroffenen möglich sind.
Anzeige: Reputationsverlust nach Datenpanne? Mit dem richtigen Notfallplan vermeiden Sie Imageschäden und DSGVO-Strafen. Dieser Leitfaden zeigt, wie Sie im Ernstfall innerhalb von 72 Stunden korrekt reagieren – und Ihre Patienten informieren. Notfallplan-Datenleck jetzt sichern
Lehren für den deutschen Gesundheitssektor
Der Fall zeigt einmal mehr: Die zunehmende Digitalisierung im Gesundheitswesen macht Krankenhäuser und Kliniken verwundbar – nicht nur durch eigene Sicherheitslücken, sondern vor allem durch die IT-Dienstleister, die sie beauftragen. In Deutschland gelten zwar mit der DSGVO und dem BSI-Kritisgesetz strenge Auflagen. Doch auch hierzulande arbeiten Kliniken mit externen Partnern zusammen, die sensible Patientendaten verarbeiten.
Die Frage, die sich nach diesem Vorfall stellt: Wie sicher sind die Daten deutscher Patienten wirklich, wenn sie über Drittanbieter abgewickelt werden?
