Zunächst hatte Ende Februar das Fernsehen über den Angriff sowie den Abfluss der Daten von der Ärzte-Softwareplattform MLM (MonLogicielMedical) von Cegedim Santé berichtet. Im Anschluss bezog das Unternehmen Stellung. Demnach seien von etwa 3800 Praxen, die dieses PVS nutzten, etwa 1500 kompromittiert worden.

Die Pariser Staatsanwaltschaft habe die Ermittlungen aufgenommen. Aufgefallen sei das Ganze bereits Ende des vergangenen Jahres, sorgt nun aber für ein großes Medienecho. Laut Cegedim Santé sei „Ende 2025 ein ungewöhnliches Abfrageverhalten der Anwendung auf Arztkonten“ festgestellt worden. „Alle betroffenen Ärzte wurden Anfang Januar kontaktiert.“

In dieser Woche äußerte sich auch das Unternehmen noch einmal zum Vorfall: Demnach hätten die Angreifer im Darknet Dubletten der betroffenen 15,8 Millionen Verwaltungsdateien mit Namen, Geburtsdatem und teilweise Postanschriften, Telefonnummern und E-Mail-Adressen der Patient:innen veröffentlicht. „Nach eingehender Analyse des tatsächlichen Inhalts enthalten 165.000 dieser Dateien (rund 1 Prozent) eine persönliche Anmerkung des Arztes zu sensiblen Informationen (gesundheitsbezogene oder nicht gesundheitsbezogene) innerhalb des Freitext-Kommentars“, schreibt das Unternehmen. „Die strukturierten medizinischen Unterlagen der Patienten blieben unverändert.“

„Der Vorfall ist nun unter Kontrolle“

Cegedim Santé weist darauf hin, dass die veröffentlichte Dateien keine Patientenakten enthalten würden und der Angriff „ausschließlich auf die MLM-Software von Cegedim Santé abzielte“. Andere Dienste und Software-Produkte der Gruppe seien nicht betroffen. „Nachdem der Vorfall Ende 2025 festgestellt wurde, wurden umgehend alle notwendigen Maßnahmen zu seiner Eindämmung und Bewältigung ergriffen. Der Vorfall ist nun unter Kontrolle.“

Gemäß der gesetzlichen Verpflichtungen seien die zuständigen Behörden, einschließlich der Daten CNIL (Commission Nationale de l’Informatique et des Libertés, Frankreichs Datenschutzbehörde), informiert und Anzeige erstattet worden. „Cegedim und ihre Tochtergesellschaft Cegedim Santé sind sich der Schwere dieses Cyberangriffs vollauf bewusst und setzen alles daran, ihren Kunden bestmögliche Unterstützung zu bieten. Darüber hinaus kooperieren sie mit den Behörden bei den laufenden Ermittlungen“, so das Unternehmen.

Umdenken bei Datensicherheit nötig

Auch deutsche Anbieter bringt der Vorfall in Bewegung. „Der Vorfall verdeutlicht: Zentral gespeicherte Klartextdaten und Daten mit providerseitig zugänglichen Schlüsseln sind ein systemisches Risiko. Red ist überzeugt: Nur Ende-zu-Ende-verschlüsselte Cloud-Systeme, bei denen ausschließlich die Leistungserbringer die Daten entschlüsseln können, verhindern solche Leaks wirksam“, heißt es nun unter anderem vom Anbieter Red Medical. Die Attacke habe gezeigt, „wie schnell aus ‚Verwaltungsdaten‘ ein existenzielles Vertrauensproblem werden kann“.