Datenleck bei DXS International: Lehren für das Gesundheitswesen

Von Kate O'Flaherty • 19 Februar 2026

Angesichts der zunehmenden Zahl schwerwiegender Vorfälle im Gesundheitswesen müssen Organisationen lernen, Informationssicherheit, Datenschutz und KI-Risiken als zusammenhängende Governance-Herausforderung zu bewältigen. Wie kann dies gelingen?

Von Kate O'Flaherty

Am 14. Dezember 2025 erlitt DXS International – ein Unternehmen, das Gesundheitsinformationen und klinische Entscheidungshilfen für etwa 10 % aller NHS-Überweisungen in England bereitstellt – einen Datenverstoß, der die Server in seinen Büroräumen betraf.

In einer Akte DXS International behauptete gegenüber der Londoner Börse, der Sicherheitsvorfall sei durch eine gemeinsame Anstrengung seiner internen IT-Sicherheitsteams in enger Zusammenarbeit mit NHS England „unverzüglich eingedämmt“ worden. Doch kurz darauf schlug die Ransomware-Gruppe DevMan zu. behauptet 300 GB an Daten, darunter interne Budgets und Finanzdateien, sollen gestohlen worden sein.

Obwohl der Vorfall selbst nur minimale Auswirkungen hatte und die klinischen Dienstleistungen des Unternehmens weiterhin aufrechterhalten werden konnten, ist er ein Paradebeispiel dafür, wie sich Risiken durch Dritte entlang der Lieferkette ausbreiten können.

Angesichts der Zunahme solcher Vorfälle müssen Gesundheitsorganisationen lernen, Informationssicherheit, Datenschutz und KI-Risiken als zusammenhängende Governance-Herausforderung zu bewältigen. Wie kann dies gelingen?

Ein Hauptproblem

Da die Dienste von DXS International weiterhin funktionierten, erscheint der Vorfall zunächst unbedeutend. Doch obwohl die klinischen Dienste an vorderster Front aufrechterhalten wurden, könnten später andere Probleme auftreten, warnt Skip Sorrels, Field CTO-CISO bei Claroty. „Wenn die administrative Infrastruktur des Gesundheitswesens kompromittiert wird, entstehen langfristige Risiken wie Identitätsdiebstahl, Phishing-Angriffe und ein Vertrauensverlust bei den Patienten.“

Sorrels weist darauf hin, dass „betriebsbereit“ nicht gleichbedeutend mit „sicher“ ist: „Angreifer zielen gezielt auf die weniger sicheren administrativen Systeme ab, weil sie wissen, dass es diesen Anbietern oft an der gleichen Strenge an Sicherheit mangelt wie der klinischen Infrastruktur, die sie unterstützen.“

Kevin Curran, IEEE-Seniormitglied und Professor für Cybersicherheit an der Ulster University, stimmt dieser Einschätzung zu. „Gestohlene Daten können missbraucht werden und die Privatsphäre von Patienten über Jahre hinweg beeinträchtigen.“

Er beschreibt, wie finanzielle Folgen, darunter Ermittlungskosten, Anwaltsgebühren und mögliche Bußgelder, die ohnehin schon angespannte Ressourcen des öffentlichen Gesundheitswesens zusätzlich belasten könnten. „Darüber hinaus verdeutlicht dies systemische Probleme in der digitalen Gesundheitsinfrastruktur und führt zu einer umfassenderen Überprüfung des Umgangs vernetzter Technologien mit sensiblen Daten.“

Risiken durch Dritte

Das britische Gesundheitswesen hat seine Cybersicherheitsbemühungen seitdem kontinuierlich verstärkt. WannaCry Ransomware-Angriff Der NHS wurde 2017 getroffen. Die Regulierungsbehörden legen zunehmend Wert auf Lieferketten und erkennen, dass Schwachstellen bei Managed Service Providern oder kritischen Lieferanten weitreichende Auswirkungen haben können, sagt Katharina Sommer, Leiterin der Regierungsbeziehungen bei der NCC Group.

„Drittanbieter- und Lieferkettenrisiken stellen eine der dringlichsten Sicherheitsherausforderungen im Gesundheitswesen dar“, da der Sektor zunehmend auf externe Anbieter für wesentliche Dienstleistungen angewiesen ist, so Curran.

„Angriffe auf Software-Lieferketten sind hochgefährlich und immer häufiger anzutreffen, weil sie die Vernetzung der modernen Softwareentwicklung ausnutzen“, erklärt Curran. IO„Diese Angriffe zielen auf Schwachstellen in Abhängigkeiten, Build-Prozessen oder Komponenten von Drittanbietern ab und ermöglichen es Angreifern oft, mehrere Unternehmen über einen einzigen Fehlerpunkt zu kompromittieren.“

Neben den unmittelbaren Auswirkungen können auch kleinere Organisationen mit „großer systemischer Präsenz, aber begrenzter Sicherheitsreife“ Probleme verursachen, sagt Tracey Hannan-Jones, Consulting Director Information Security and GRC und Group DPO bei UBDS Digital.

Erschwerend kommt hinzu, dass der Gesundheitssektor laut Sorrels von Claroty mit einem Transparenzproblem zu kämpfen hat. „Die meisten Gesundheitsorganisationen tun sich schwer, die Sicherheitslage ihrer Dritt- und Viertanbieter wirklich zu verstehen. Man kann nicht einfach eine Dienstleistung auslagern und denken, man hätte damit auch das Risiko abgegeben.“

Regulatorische Erwartungen

Neben der Sicherung der Lieferkette fordern Regulierungsbehörden zunehmend, dass kritische Dienstleistungen wie das Gesundheitswesen zusätzliche Maßnahmen zur Stärkung ihrer Resilienz ergreifen. Im Falle von Sicherheitsvorfällen wird von den Akteuren dieses Sektors erwartet, dass sie Daten schützen und strenge Meldepflichten einhalten.

Der Datenverstoß bei DXS International gibt Aufschluss über die regulatorischen Anforderungen an Gesundheitsdaten in Großbritannien und der EU, insbesondere im Hinblick auf die Datenschutzbestimmungen. Allgemeine Datenschutzverordnung (DSGVO) und die entsprechenden britischen Datenschutzgesetze. „Diese Rahmenbedingungen schreiben vor, dass Organisationen, die personenbezogene Daten, einschließlich Gesundheitsdaten, verarbeiten, robuste Schutzmaßnahmen gewährleisten und transparent auf Vorfälle reagieren müssen“, sagt Curran von der Ulster University.

Laut Curran entspricht die „unverzügliche Benachrichtigung“ des Information Commissioner's Office (ICO) und der Strafverfolgungsbehörden durch DXS in diesem Fall Artikel 33 der DSGVO, der eine Meldung von Datenschutzverletzungen innerhalb von 72 Stunden vorschreibt, wenn eine Gefahr für die Rechte und Freiheiten von Einzelpersonen besteht.

Ebenso gelten im Vereinigten Königreich die Anforderungen gemäß Datenschutzgesetz 2018 Curran betont die Notwendigkeit, die Verantwortlichkeit zu stärken und Unternehmen zu verpflichten, die mit der Datenverarbeitung verbundenen Risiken zu dokumentieren und zu minimieren. „Die laufende Bewertung des Vorfalls durch das ICO zeigt, wie Aufsichtsbehörden nicht nur die Datenschutzverletzung selbst, sondern auch die Angemessenheit der Reaktionsmaßnahmen, einschließlich der Eindämmungs- und Untersuchungsprotokolle, prüfen“, erklärt er. IO.

Laut Curran fordern die Aufsichtsbehörden zunehmend Nachweise für ein proaktives Risikomanagement, da sich reaktive Ansätze angesichts sich ständig weiterentwickelnder Bedrohungen als unzureichend erwiesen haben – wie die steigende Zahl von Cybervorfällen im Gesundheitswesen belegt.

Vernetzte Risiken

Dies geschieht zu einer Zeit, in der Cyber-, Datenschutz- und KI-Risiken im Gesundheitswesen aufgrund vernetzter Systeme, Datenaustausch und Automatisierung immer untrennbarer werden. Gleichzeitig verändern KI-gestützte Tools die Risikoprofile grundlegend.

Der Vorfall bei DXS International ist ein Beispiel für diese Konvergenz, bei der ein Sicherheitsverstoß eines Zulieferers „möglicherweise integrierte Netzwerke, die Patientendaten verarbeiten, offenlegen und so Cybersicherheitsbedrohungen mit Datenschutzbedenken verbinden könnte“, sagt Curran.

Der Datenaustausch über verschiedene Ökosysteme hinweg – zwischen Anbietern, Lieferanten und sogar grenzüberschreitenden Organisationen – verwischt traditionelle Grenzen zusätzlich, betont er. „Im Rahmen von Strukturen wie dem des NHS …“ Netzwerk für Gesundheit und SozialesInformationen fließen dynamisch. Diese Vernetzung kann dazu führen, dass ein Cybervorfall eine Kettenreaktion von Datenschutzverletzungen auslöst, wie beispielsweise die unbeabsichtigte Offenlegung sensibler Gesundheitsdaten.“

Angesichts dieses Risikos führt die isolierte Behandlung von Cyber-, Datenschutz- und KI-Risiken im Gesundheitswesen zu „erheblichen blinden Flecken“, so Curran.

Stattdessen müssen Unternehmen einen ganzheitlichen Ansatz für das Risikomanagement verfolgen. Dies erfordert den Einsatz integrierter Rahmenwerke, die Informationssicherheit, Datenschutz und KI-Governance zusammenführen, um Resilienz, Vertrauen und langfristige Compliance zu fördern.

Organisationen müssen beispielsweise KI-Agenten und Menschen als „eine kombinierte Belegschaft betrachten, die mit Software und Infrastruktur interagiert“, sagt Javvad Malik, leitender CISO-Berater bei KnowBe4. „Dafür benötigen wir klare Verantwortlichkeiten, Lieferantensicherheit und eine Aufsicht, die Daten, Menschen und KI zusammenführt, um Vertrauen und Resilienz zu fördern.“

Rahmenwerke wie das des Nationalen Zentrums für Cybersicherheit Rahmenwerk zur Cyberbewertung, ISO 27001 und NIST Cybersicherheits-Framework „Wir bieten praktische Werkzeuge zur Integration von Kontrollen, Richtlinien und Risikokennzahlen“, sagt Sommer von der NCC Group. „Dies hilft Unternehmen, Vertrauen aufzubauen, die Einhaltung von Vorschriften nachzuweisen und Cyberrisiken kohärent und nachvollziehbar zu managen.“

Curran von der Ulster University empfiehlt die Bildung von „funktionsübergreifenden Teams“ aus Experten für Cybersicherheit, Datenschutz und KI, die bei Risikobewertungen zusammenarbeiten und sicherstellen, dass Bedrohungen aus einer „vielschichtigen Perspektive“ betrachtet werden.

Widerstandsfähig, vertrauenswürdig und zukunftsfähig

Organisationen im Gesundheitswesen und die Lieferanten, auf die sie angewiesen sind, müssen zusammenarbeiten, um widerstandsfähigere, vertrauenswürdigere und zukunftsfähige Risikomanagementpraktiken aufzubauen.

Um erfolgreich zu sein, müssen Unternehmen einen einheitlichen Risikomanagementansatz verfolgen, so Ivan Milenkovic, Vice President Risk Technology EMEA bei Qualys. „Anstatt das Rad neu zu erfinden, integrieren die besten Teams etablierte internationale Standards für Sicherheit, Datenschutz und das aufkommende Feld des KI-Managements in eine zentrale Plattform.“

Zentral hierfür ist die Verankerung des Risikomanagements in der Unternehmenskultur durch einheitliche Richtlinien, die „regelmäßige, integrierte Audits“ vorschreiben, rät Curran von der Ulster University.

Gleichzeitig empfiehlt Sorrels von Claroty, ein Modell der geteilten Verantwortung mit Ihren Lieferanten einzuführen. „Behandeln Sie Lieferantenverträge nicht als etwas, das man einmal abschließt und dann vergisst. Fordern Sie kontinuierliche Transparenz, Nachweise über Sicherheitstests und den Beleg, dass die Mindeststandards eingehalten werden.“

Kate O’Flaherty

Kate ist Journalistin für Cybersicherheit und Datenschutz mit über zehn Jahren Erfahrung in der Berichterstattung über wichtige Themen für Nutzer, Unternehmen und Regierungen. Neben ISMS.online veröffentlicht sie auch Artikel in Forbes, Wired, The Guardian, The Observer, The Times und The Economist.

Lesen Sie mehr von Kate O'Flaherty

Internet-Sicherheit 26 Februar 2026

EU-Digitalgesetz: Gemeinsame Compliance auf der Tagesordnung

EU-Digitalgesetz: Integrierte Compliance auf der Agenda

Die EU hat ein neues Digitalisierungsgesetz verabschiedet, das die Regulierung von Datenschutz, Cybersicherheit und KI vereinfachen soll. Wie können Unternehmen …

Kate O’Flaherty

Internet-Sicherheit 29 Januar 2026

700credit-API-Risiken rücken Governance in der Finanzlieferkette in den Fokus (Blog)

700Credit-Sicherheitsvorfall: API-Risiken rücken die Governance der Finanzlieferkette in den Fokus

Was offenbart der Datenverstoß bei 700Credit hinsichtlich der Risiken von Finanzdatensystemen und Lieferketten, und welche Lehren lassen sich daraus ziehen? Von Kate O'Flaherty in ...

Kate O’Flaherty

Internet-Sicherheit 22 Januar 2026

Banner der Herausforderung zur Einhaltung der Vorschriften für Versorgungsunternehmen

Die Herausforderung der Energieversorgungsunternehmen hinsichtlich der Einhaltung der Vorschriften

Energieversorgungsunternehmen kämpfen mit Fragmentierung und Silos, was einen einheitlichen Ansatz zur Einhaltung von Vorschriften verhindert. Eine solidere Grundlage ist erforderlich, ...

Kate O’Flaherty