Media Alert: Neue TrendAI-Studie: Gesundheitsdaten gehören zu den wertvollsten Gütern der Cyberkriminalität
- Bild-Infos
- Download
- 3 weitere Medieninhalte
Gesundheitsdaten gehören zu den wertvollsten Gütern der Cyberkriminalität
TrendAI analysiert den Handel mit Gesundheitsdaten im Cyber-Untergrund und warnt: Deutschland zählt zu den Ländern mit den meisten öffentlich erreichbaren Medizinsystemen
Garching bei München, 11. Juni 2026 – TrendAI™, der Enterprise-Cybersecurity-Geschäftsbereich von Trend Micro, veröffentlicht neue Forschungsergebnisse, die zeigen: Gestohlene Gesundheitsdaten werden heute in einer ausgereiften Underground-Economy gehandelt, an der Ransomware-Gruppen, Access Broker, Fraud-Marktplätze und Credential-Händler gleichermaßen beteiligt sind.
Über einen Zeitraum von zwölf Monaten analysierten TrendAI-Forscher 7.779 Beiträge in Untergrund-Foren, 21.813 Marktplatz-Inserate und 95 Ransomware-Leak-Sites mit Bezug zu Cyberkriminalität im Gesundheitswesen. Die Ergebnisse zeigen: Gesundheitsdaten zählen nach wie vor zu den begehrtesten Gütern, die im kriminellen Untergrund gehandelt werden. Ihre Dauerhaftigkeit, Sensitivität und die Möglichkeit, sie für verschiedene Formen von Betrug und Erpressung gleichzeitig zu nutzen, machen sie für Kriminelle besonders attraktiv.
Ransomware als Motor des Untergrundhandels
Datenverkäufe aus Ransomware-Vorfällen machten dabei mehr als ein Drittel (36,3 Prozent) der gesamten Marktplatzaktivität aus. Ransomware-Akteure kombinieren dabei zunehmend Verschlüsselung mit Datendiebstahl und Erpressung. Darüber hinaus identifizierten die Forscher eine wachsende Zielausrichtung auf Anbieter von elektronischen Gesundheitsakten. Ein einziger erfolgreicher Angriff kann dann hunderte nachgelagerte Healthcare-Einrichtungen kompromittieren.
Der Report zeigt zudem, dass sich Cyberkriminelle längst nicht mehr auf den Verkauf kompletter Datensätze beschränken. Auf Untergrund-Marktplätzen werden Gesundheitsdaten zunehmend als Grundlage für Identitätsdiebstahl, Versicherungsbetrug, gefälschte Atteste und Rezepte sowie die Übernahme von Patienten- und Mitarbeiterkonten gehandelt. Dadurch lassen sich gestohlene Datensätze über Jahre hinweg mehrfach monetarisieren.
„Gesundheitsdaten haben sich von gestohlenen Informationen zu Assets entwickelt, die Cyberkriminelle langfristig nutzen können“, erklärt Mayra Rosario, Senior Threat Researcher bei TrendAI. „Anders als eine Kreditkarte lassen sich Diagnosen, Behandlungshistorien oder biometrische Daten eines Patienten nicht einfach sperren und neu ausstellen – das macht sie für Ransomware-Gruppen und Datenhändler besonders attraktiv.“
Vom Einzeltäter zur kriminellen Lieferkette
Die Studie beleuchtet auch die fortschreitende Industrialisierung der Cyberkriminalität im Gesundheitssektor: Underground-Marktplätze bieten mittlerweile ein breites Spektrum an – von Zugangsdaten zu Krankenhausnetzwerken und Versicherungsdaten bis hin zu vollständigen Identitätspaketen und gefälschten medizinischen Dokumenten.
Besonders stark wächst dabei die Rolle sogenannter Initial Access Broker. Diese spezialisierten Akteure verschaffen sich Zugang zu Netzwerken von Krankenhäusern, Kliniken oder Gesundheitsdienstleistern und verkaufen diesen anschließend an Ransomware-Gruppen oder andere Cyberkriminelle weiter. Die Arbeitsteilung senkt die Einstiegshürden für Angreifer und beschleunigt die Kommerzialisierung von Angriffen auf Gesundheitseinrichtungen.
„Was wir beobachten, sind keine isolierten Einzelfälle, sondern eine ausgereifte Untergrund-Wirtschaft, die gezielt rund um Cyberangriffe auf das Gesundheitswesen aufgebaut wurde“, sagt Dirk Arendt, Director Government, Public and Healthcare DACH bei TrendAI. „Aktuelle Vorfälle auch in Deutschland zeigen eindrücklich, wie sehr Patientendaten im Fokus von Cyberkriminellen stehen und unbedingt besser geschützt werden müssen.“
Softwareanbieter als Einfallstor: Risiko mit Multiplikatoreffekt
Die Studie warnt zudem davor, dass Lieferketten-Kompromittierungen über Software-Anbieter und medizinische Plattformen zu einem zentralen Risikoverstärker für den gesamten Sektor werden. Sie ermöglichen es Angreifern, ihre Operationen weit über einzelne Krankenhäuser oder Kliniken hinaus zu skalieren.
Ungeschützte Medizinsysteme: Deutschland auf Rang 5 weltweit
Parallel dazu identifizierten TrendAI-Forscher erhebliche Risiken bei an das Internet angebundenen medizinischen Bildgebungssystemen. Eine separate Untersuchung fand weltweit 3.627 öffentlich erreichbare DICOM-Server in mehr als 100 Ländern. Deutschland belegte mit 138 exponierten Severn Rang 5 im weltweiten Vergleich. DICOM (Digital Imaging and Communications in Medicine) ist der zentrale Standard für den Austausch medizinischer Bilddaten wie MRT-, CT- oder Röntgenaufnahmen.
Als besonders kritisch stellte sich heraus, dass DICOM zwar seit Jahrzehnten Sicherheitsmechanismen wie Verschlüsselung, Authentifizierung und Zugriffskontrollen unterstützt, diese in der Praxis jedoch kaum genutzt werden. Nur 0,14 Prozent der identifizierten Systeme verwendeten die vorgesehene TLS-Verschlüsselung, während 99,56 Prozent Verbindungen ohne wirksame Authentifizierungsprüfung akzeptierten. Der Report warnt davor, dass Angreifer dadurch Patientendaten ausspähen, medizinische Bilddaten manipulieren, Ransomware einschleusen oder sich seitlich in Krankenhausnetzwerke bewegen könnten.
Weitere Informationen
Den vollständigen Report The Cybercriminal Underground: Mapping the Healthcare Data Economy finden Sie hier:
Den vollständigen Report Exposed DICOM Servers and the Risk to Patient Data finden Sie hier:
Über TrendAI™
TrendAI™, ein weltweit führender Anbieter von KI-Sicherheit und der Enterprise-Geschäftsbereich von Trend Micro, ermöglicht Organisationen vollständige Transparenz über ihre KI-Nutzung und eine konsolidierte Sicherheit, die Vertrauen schafft, Innovation fördert und Risiken eliminiert. Weltweit vertrauen die größten Unternehmen und Regierungsbehörden in 185 Ländern auf TrendAI™, um ihre gesamte Organisation zu schützen – von Identitäten über Infrastrukturen bis hin zu Daten.
Globale Fortune-500-Unternehmen verlassen sich auf TrendAI™, um Risiken zu reduzieren und Bedrohungen bis zu drei Monate früher zu stoppen – gestützt auf führende Bedrohungs- und Angriffsanalysen. Durch enge Partnerschaften mit Technologiepionieren wie NVIDIA, Anthropic, AWS, Google und Microsoft befähigt TrendAI™ Organisationen, sicher mit der Geschwindigkeit von KI voranzuschreiten.
Mit TrendAI™ erhalten Unternehmen einen klaren Überblick darüber, wie KI in ihren Umgebungen eingesetzt wird, können neu entstehende Risiken identifizieren und schneller reagieren. Durch die Integration und Konsolidierung von Sicherheitsfunktionen im gesamten Unternehmen ermöglicht TrendAI™ CISOs, ihre Sicherheitsarchitektur zu vereinfachen und Geschäftsführungen, Innovationen Sicher voranzutreiben. AI Fearlessly.
Pressekontakt: Akima Media GmbH Christina M. Rottmair / Anna Magali Golling Hofmannstraße 54 D-81379 München Telefon: +49 (0) 89 17959 18 – 0 E-Mail: trendmicro@akima.de Internet: www.akima.net
Unternehmenskontakt: Trend Micro Deutschland Tobias Grabitz Parkring 29 D-85748 Garching bei München Telefon: +49 (0) 170 144 23 68 E-Mail: tobias_grabitz@trendmicro.com Internet: www.trendmicro.com
