NYC Health + Hospitals hat einen großen Cyberangriff offengelegt, der sensible persönliche, medizinische und biometrische Daten von etwa 1,8 Millionen Personen offengelegt hat. Der Verstoß gilt heute als einer der größten im Jahr 2026 gemeldeten Sicherheitsvorfälle im Gesundheitswesen.
Laut dem öffentlichen Gesundheitsdienstleister erhielten Angreifer zwischen November 2025 und Februar 2026 unbefugten Zugang zu internen Systemen, bevor der Einbruch erkannt und eingedämmt wurde. Die Organisation teilte mit, dass am 2. Februar verdächtige Aktivitäten entdeckt wurden, was eine interne Untersuchung und Notfallmaßnahmen auslöste.
Die kompromittierten Daten umfassen hochsensible medizinische Unterlagen, Versicherungsinformationen, Rechnungsdaten, Sozialversicherungsnummern, Führerscheindaten und von der Regierung ausgestellte Ausweise. Der Sicherheitsvorstoß legte zudem biometrische Informationen offen, darunter Fingerabdruck- und Handabdruckscans, was langfristige Bedenken hinsichtlich Datenschutz und Identitätssicherheit aufwirft.
Im Gegensatz zu Passwörtern oder Zahlungskarten können biometrische Kennungen nach einer Kompromittierung nicht mehr geändert werden. Sicherheitsexperten warnen, dass gestohlene Fingerabdruck- und Handabdruckdaten dauerhafte Risiken für betroffene Personen darstellen könnten, falls die Informationen später für Betrug, Identitätsnachahmung oder Umgehung von Identitätsverifizierung missbraucht werden.
NYC Health + Hospitals gab an, dass der Datenverstoß offenbar von einem kompromittierten Drittanbieter ausgelöst wurde. Der Gesundheitsdienstleister hat den beteiligten Anbieter nicht öffentlich genannt, bestätigt jedoch, dass Angreifer während des Eindringlingsfensters auf interne Systeme Zugriff hatten und Dateien kopieren konnten.
Forscher warnen weiterhin, dass Gesundheitseinrichtungen weiterhin hochrangige Ziele für Cyberkriminelle sind, da medizinische Unterlagen umfangreiche persönliche und finanzielle Informationen enthalten, die in Phishing-Kampagnen, Versicherungsbetrug, Identitätsdiebstahl und Social Engineering-Angriffen ausgenutzt werden können. Gesundheitsnetzwerke sind zudem stark mit Lieferanten, Auftragnehmern und externen Dienstleistern vernetzt, was die Risiken in der Lieferkette erhöht.
Die Organisation teilte mit, dass betroffene Personen benachrichtigt werden und ihnen Identitätsschutz sowie Kreditüberwachungsdienste angeboten werden. Beamte meldeten den Vorfall außerdem dem US-Gesundheitsministerium, wie es die bundesstaatlichen Vorschriften zu Gesundheitsverstößen vorschreiben.
Der Vorfall verstärkt die wachsenden Bedenken hinsichtlich der Cybersicherheit im Gesundheitssektor, wo Ransomware-Angriffe, Sicherheitsverletzungen durch Dritte und groß angelegte Patientendatenexponierungen weiterhin zunehmen. Sicherheitsanalysten haben wiederholt gewarnt, dass Krankenhäuser und öffentliche Gesundheitssysteme aufgrund alternder Infrastruktur, komplexer Anbieterökosysteme und des hohen Wertes medizinischer Informationen auf unterirdischen Cyberkriminalitätsmärkten weiterhin verwundbar sind.