Ende 2024 gab es auf „Alles Lægehus“, einen Betreiber von medizinischen Zentren in Dänemark, einen Cyberangriff. Infolgedessen sind persönliche Daten tausender Patient:innen in Gefahr, wie das Unternehmen selbst zugibt. Die Daten sind nach dem Angriff von den Kriminellen veröffentlicht worden.
Laut Medien wurden bei dem Angriff auch die CPR-Nummern abgefischt, die in Dänemark der zentralen Identifikation dienen und auch im Gesundheitswesen genutzt werden. Neben dieser Nummer kamen die Angreifer auch an Krankengeschichten und verschriebene Arzneimittel.
Wer genau betroffen ist, wird derzeit noch ermittelt – laut Berichten sind es etwa 130.000 Patient:innen. Hierzu arbeiten Polizei, das National Cyber Crime Center und „Alles Lægehus“ zusammen. Auch Phishingversuche und Erpressungen sind nicht ausgeschlossen; im Hintergrund soll es Verhandlungen um Lösegeld gegeben haben, so dänische Medien.
„Am 9. Dezember kam es bei Alles Lægehus zu einem IT-Absturz, der den Betrieb vorübergehend beeinträchtigte. Wir haben sofort reagiert und unsere Notfallbereitschaft aktiviert, sodass wir in der Lage waren, kritische und akute Funktionen aufrechtzuerhalten“, heißt es zum Vorfall vom Unternehmen am 30. Dezember. Man sei sich der Bedrohung bewusst gewesen und habe umgehend mit der Polizei zusammengearbeitet, heißt es weiter.
In einem letzten Update hierzu vor einer Woche schreibt „Alles Lægehus“: „Die Kriminellen, die das IT-System angegriffen haben, haben Tabellen mit Stammdaten gestohlen und nun eine Reihe sensibler personenbezogener Daten durchsickern lassen. Das Leck umfasst diese ausgewählten Tabellen aus unseren Systemen, die die Stammdaten der betroffenen Personen enthalten – grundlegende Informationen wie Name, Telefonnummer, CPR, ob ein Patient an COPD oder Diabetes leidet.“
Zudem müsse man davon ausgehen, dass noch weitere, darüber hinausgehende Daten gestohlen wurden: „Diese Informationen stammen aus den bereits erwähnten Tabellen, in denen die Mitarbeiter des Gesundheitswesens kurze individuelle Notizen über den einzelnen Patienten machen können, wenn diese von den einzelnen Mitarbeitern des Gesundheitswesens als relevant erachtet werden.“
Die Daten umfassen Aufzeichnungen der Praxisteams, genauso wie historische Informationen, „die wir erhalten haben, wenn ein Patient von einem anderen Arzt zu Alles Lægehus gewechselt ist oder wenn Alles Lægehus als Partner eine Klinik betreibt“. Schließlich sei man gesetzlich verpflichtet, Informationen zehn Jahre lang aufzubewahren. Man befinde sich nun im ständigen Austausch mit den Behörden, Betroffene sollen umgehend informiert werden. „Wir bedauern den Fall und seine Auswirkungen auf alle Beteiligten“, so „Alles Lægehus“.
Die Polizei hat derweil eine Warnung veröffentlicht: „Die gestohlenen Daten von Alles Lægehus sind durchgesickert. Dies bedeutet, dass aktuelle und ehemalige Patienten besonders wachsam sein müssen. Es wurde jetzt festgestellt, dass die im Dezember gestohlenen Patientendaten von Alles Lægehus an die Öffentlichkeit gelangt sind.“ Die durchgesickerten Daten seien zwar an sich nicht gefährlich, könnten aber als Hintergrundinformationen für einen Betrug verwendet werden.