Cegedim: 15,8 Mio. Patientenakten gestohlen
Angreifer haben Anfang 2026 15,8 Millionen Patientendateien und 165.000 Arztnotizen von der Cloud-Plattform MonLogicielMedical von Cegedim Santé gestohlen, bestätigt am 3. März. Das Unternehmen war bereits 2024 von der französischen CNIL mit 800.000 Euro für den Umgang mit Gesundheitsdaten auf demselben System bestraft worden.
VaultTools · 7. April 2026
Foto auf Unsplash
Inhaltsverzeichnis
- Was passiert ist
- Was die Angreifer entwendeten
- Eine Behörde, die bereits Bescheid wusste
- Warum serverseitige Dokumentenspeicherung dieses Risiko schafft
- Was lokale Verarbeitung ändert
- Quellen
Was Passiert Ist
Am 3. März 2026 bestätigte das französische Gesundheitssoftwareunternehmen Cegedim Santé, dass Angreifer in MonLogicielMedical eingedrungen waren, seine cloudbasierte Praxisverwaltungsplattform, die von rund 3.800 Ärzten in Frankreich genutzt wird. France24 hatte am 27. Februar 2026 über den Vorfall berichtet; die offizielle Bestätigung von Cegedim erfolgte einige Tage später.
Der Vorfall gilt nun als größter Gesundheitsdateneinbruch in der Geschichte Europas. Keine Ransomware-Gruppe hat öffentlich die Verantwortung übernommen. Cegedim Santé meldete den Vorfall der CNIL, der französischen Datenschutzbehörde, und erklärte, dass eine Untersuchung eingeleitet wurde.
Was Die Angreifer Entwendeten
Berichten von The Register und SC Media zufolge exfiltrierten die Angreifer zwei Datenkategorien.
Die erste Kategorie umfasst administrative Patientenakten: 15,8 Millionen Dateien mit Namen, Geburtsdaten, Sozialversicherungsnummern und Versicherungsdaten von Patienten, deren Ärzte MonLogicielMedical nutzten.
Die zweite Kategorie sind 165.000 handschriftliche klinische Notizen von Ärzten. Diese Notizen enthielten Diagnosen einschließlich HIV-Status, psychiatrischer Erkrankungen und Angaben zur sexuellen Orientierung. Nach DSGVO-Artikel 9 fallen alle drei Kategorien unter besondere Datenkategorien, für deren Verarbeitung eine ausdrückliche Einwilligung erforderlich ist.
Das CPO Magazine wies darauf hin, dass zu den gestohlenen Akten auch Unterlagen von Politikern und Sicherheitsbeamten gehörten, deren Krankengeschichten in den Freitextnotizen enthalten waren.
Eine Behörde, Die Bereits Bescheid Wusste
Die CNIL hatte vor dem Einbruch bereits eine formale Warnung zu den Datenschutzpraktiken von Cegedim Santé ausgesprochen. Im September 2024 verhängte die Behörde eine Geldbuße von 800.000 Euro gegen das Unternehmen wegen unrechtmäßiger Verarbeitung von Gesundheitsdaten auf der MonLogicielMedical-Plattform, insbesondere wegen der Aufbewahrung von Patientendaten über zulässige Fristen hinaus und unzureichender Sicherheitsmaßnahmen.
Diese Geldbuße verhinderte den Einbruch nicht. Sie bestätigte, dass die CNIL dasselbe System geprüft, schwerwiegende Mängel festgestellt und eine finanzielle Strafe verhängt hatte, die zugrunde liegende Architektur jedoch unverändert blieb. Der Einbruch erfolgte etwa 18 Monate später.
Warum Serverseitige Dokumentenspeicherung Dieses Risiko Schafft
MonLogicielMedical betrieb eine zentralisierte Cloud-Plattform. Ärzte luden Patientennotizen und Verwaltungsdateien auf die Server von Cegedim hoch. Das Unternehmen speicherte und verarbeitete diese Dateien auf seiner Infrastruktur. Als die Infrastruktur kompromittiert wurde, waren 15,8 Millionen Patientenakten und 165.000 klinische Notizen in einem einzigen Vorfall exponiert.
Dies ist das strukturelle Risiko der serverseitigen Dokumentenspeicherung: Jede Datei, die auf einen Drittanbieterserver hochgeladen wird, wird Teil der Angriffsfläche dieses Servers. Ein einziger Einbruch in die Infrastruktur des Anbieters legt alle Dokumente jedes Nutzers offen, der der Plattform vertraut hat. Der Nutzer hat nach dem Hochladen keine Kontrolle mehr, keine Einblicke in den Sicherheitsstatus des Servers und keine Möglichkeit, den Schaden bei einer Kompromittierung des Servers zu begrenzen.
Der Cegedim-Einbruch ist keine Ausnahme. Er folgt auf Progress ShareFile (CVE-2026-2699, CVE-2026-2701), den Conduent-Dokumentenverarbeitungseinbruch mit 25 Millionen betroffenen Amerikanern und den ShinyHunters-Einbruch in die AWS-Infrastruktur der Europäischen Kommission. In jedem Fall war nicht das Dokument selbst die Schwachstelle, sondern der Server, auf dem es gespeichert war.
Was Lokale Verarbeitung Ändert
Browserbasierte Werkzeuge, die Dateien lokal verarbeiten, ohne sie hochzuladen, eliminieren diese Risikokategorie vollständig. Wenn eine Datei niemals an einen Server übermittelt wird, kann sie auch nicht von einem Server gestohlen werden. Verschlüsselung ruhender Daten, Zugriffskontrollen und Sicherheitsaudits der Anbieterinfrastruktur werden irrelevant, weil kein Anbieter die Datei jemals erhält.
Der technische Mechanismus ist unkompliziert. Auf WebAssembly basierende Werkzeuge kompilieren ihre Verarbeitungslogik so, dass sie im Browser ausgeführt wird. Wenn ein Nutzer ein PDF öffnet, ein Bild komprimiert oder ein Dokument konvertiert, findet die Berechnung auf seinem Gerät statt. Keine Bytes verlassen den Browser. Kein Server speichert eine Kopie.
Cegedim Santé wurde geprüft, mit einer Geldbuße belegt und gewarnt. Die Architektur, die 15,8 Millionen Datensätze gefährdete, blieb bestehen, weil das Geschäftsmodell auf zentralisierter Speicherung basierte. Lokale Verarbeitungswerkzeuge haben keine solche Abhängigkeit.
Quellen
- Hackers steal medical details of 15 million in France (France24, 27. Februar 2026)
- 15.8M medical records stolen from French health ministry supplier (The Register, 3. März 2026)
- French healthcare software provider Cegedim Santé suffers major data breach (SC Media)
- Centralized Healthcare System Data Breach Leaks Medical Records of 15 Million French Citizens (CPO Magazine)
- Health data: CEGEDIM SANTÉ fined €800,000 (CNIL, September 2024)