Startseite > Medizintechnik > E-Health > Wenn das Arztgeheimnis im Darknet landet

Praxissoftware in Frankreich gehackt

Wenn das Arztgeheimnis im Darknet landet

6. März 2026, 9:36 Uhr | Elektronik Medical (uh)

Sensible Patientendaten sind ein neues Lieblingsziel von Hackern: Die jeweilige Schadensumme erreicht laut einer G-Data-Studie in Medizinbereich mit 11 Millionen Dollar den höchsten Wert aller Branchen.

Ein Cyberangriff auf das MLM-Tool von Cegedim Santé hat die Daten von rund 15 Millionen Patienten in Frankreich offengelegt. 165.000 davon enthielten Informationen, die eigentlich zwischen Arzt und Patient bleiben: möglicher HIV-Status, sexuelle Gesundheit und psychische Diagnosen. Was war passiert?

▶ Diesen Artikel anhören

Es ist der Worst Case der digitalen Gesundheitsversorgung: Waren früher noch Kreditkartendaten das Hauptziel von Cyberkriminellen, rücken derzeit vermehrt Gesundheitsdaten ins Visier: die haben nämlich, außer dem Tod, kein Ablaufdatum. Der aktuell ans Licht gekommene Hackangriff in Frankreich beschreibt sehr gut die aktuelle Sicherheitslage, die Versäumnisse der Vergangenheit und die Auswirkungen auf das schwächste Glied in der digitalen Versorgungskette - den Patienten.

Wenn das Arztgeheimnis im Darknet landet

Ein Cyberangriff auf die Praxissoftware MonLogicielMedical (MLM) von Cegedim Santé hat die Verwaltungsdaten von bis zu 15,8 Millionen Patienten in Frankreich offengelegt. Für rund 165.000 davon enthielten die entwendeten Dateien gefüllte Freitextfelder und damit Daten, die eigentlich zwischen Arzt und Patient bleiben: Hinweise auf HIV-Status, sexuelle Gesundheit, psychische Diagnosen.

Cegedim Santé ist kein kleiner Nischenanbieter. Der Softwareanbieter gehört zum börsennotierten französischen Technologiekonzern Cegedim, der seit Jahrzehnten zu den führenden Gesundheits-IT-Anbietern Europas zählt. Allein über MLM sind rund 3.800 niedergelassene Ärzte in Frankreich vernetzt – das System verwaltet Terminbücher, Patientenakten, Abrechnungsdaten. Es ist genau diese Zentralität, die einen Hackerangriff so folgenreich macht.

Angriff mit langer Vorlaufzeit

Öffentlich wurde der Vorfall erst am 26. Februar 2026 – ausgelöst durch einen Bericht des Fernsehsenders France 2. Doch die Spuren führen weiter zurück: Der Angriff begann nachweislich am 25. Oktober 2025, ein anonymer Angreifer hatte sich Zugang zu den Accounts niedergelassener Ärzte verschafft. Laut Medienberichten sollen Mitarbeiter kurz danach Erpressungsschreiben erhalten haben; Cegedim Santé selbst spricht in seinem offiziellen Statement lediglich von einem »abnormalem Anfrageverhalten« auf Arzt-Accounts. Rund 1.500 der angeschlossenen Praxen wurden kompromittiert – monatelang, ohne dass Patienten informiert wurden.

Und auch die betroffenen Ärzte wurden im Dunkeln gelassen: Sie wurden ebenfalls erst Anfang Januar 2026 benachrichtigt – mit einer E-Mail, die bei vielen im Spam-Ordner landete. Patienten wurden zum Zeitpunkt der Enthüllung noch immer nicht direkt kontaktiert. Dabei hatte Cegedim Santé bereits am 27. Oktober 2025 Strafanzeige erstattet; die Pariser Staatsanwaltschaft nahm die Ermittlungen am 3. November 2025 auf.

Was die Angreifer mitgenommen haben

Namen, Geburtsdaten, Adressen, E-Mail und Telefonnummern – das ist der administrative Grundstock, den jede Arztpraxis bei der Aufnahme erfasst. Genau diese Datenpunkte wurden aus dem System extrahiert. Was den Fall jedoch von einem »gewöhnlichen« Datenleck abhebt: Bei rund 165.000 bis 169.000 Patienten hatten Ärzte in die administrativen Freitextfelder direkt Diagnosehinweise eingetragen – HIV-Serostatus, Angaben zur Sexualgesundheit, psychische Erkrankungen. Strukturierte Krankenakten oder Rezepte seien laut Cegedim Santé nicht abgeflossen – das Unternehmen räumte aber ein, noch keinen vollständigen Überblick zu haben.

Nicht unerheblich: Laut The Register sollen sich unter den 15,8 Millionen betroffenen Datensätzen auch Daten hochrangiger Politiker befinden – was den politischen Druck erklärt, unter dem Cegedim Santé und das Gesundheitsministerium derzeit stehen.

Kein unbeschriebenes Blatt

Besonders pikant: Die CNIL hatte Cegedim Santé bereits im September 2024 mit einem Bußgeld von 800.000 Euro belegt – wegen dem Anlegen und Pflegen eines nicht genehmigten Datensatzes, in dem Patientendaten ohne rechtliche Grundlage gesammelt und verarbeitet wurden. Das Unternehmen wusste also, dass es im Fokus der Regulatoren stand. Eine Unterlassungsanordnung hatte die CNIL damals nicht erteilt, weil Cegedim Santé die formale Datenverantwortung inzwischen an eine Konzerntochter übertragen hatte – ob damit auch die tatsächliche Compliance-Lücke geschlossen wurde, beantwortet der aktuelle Vorfall.

Was die Entwickler-Community daraus lernen sollte

Der eigentliche technische Befund und informelle Knackpunkt sind die sogenannten Freitextfelder: In Verwaltungsmasken werden diese von Entwicklern oft als unkritisch behandelt, weil sie formal keine medizinischen Daten enthalten. In der Praxis landen dort trotzdem kritische Diagnosen, weil Ärzte effizient arbeiten wollen. Das Delta zwischen Systemarchitektur und klinischer Realität ist eine Angriffsfläche.

Eine Ende-zu-Ende-Verschlüsselung als Pflichtstandard für Praxissoftware steht daher oben auf der Forderungsliste von Sicherheitsexperten: Ein erfolgreicher Einbruch darf nicht automatisch zum Klartext-Datenleck werden. Für Hersteller, die unter NIS2-Anforderungen oder MDR-Vorgaben arbeiten, ist das keine neue Erkenntnis – aber Cegedim Santé liefert dazu jetzt ein konkretes, praktisches Negativbeispiel. Eines, das in Boardrooms und Entwickler-Reviews gleichermaßen Gewicht hat. (uh)