Neue Forschungsergebnisse von TrendAI zeigen, dass gestohlene Gesundheitsdaten heute in einer ausgereiften Underground-Economy gehandelt werden. Beteiligt sind dabei gleichermaßen Ransomware-Gruppen, Access Broker, Fraud-Marktplätze und Credential-Händler.
TrendAI hat in dem neuen Report „The Cybercriminal Underground: Mapping the Healthcare Data Economy“ den Handel mit Gesundheitsdaten im Cybercrime-Untergrund analysiert. Demnach zählt Deutschland zu den Ländern mit den meisten öffentlich erreichbaren Medizinsystemen. Über einen Zeitraum von zwölf Monaten analysierten die Forscher von TrendAI 7.779 Beiträge in Untergrund-Foren, 21.813 Marktplatz-Inserate und 95 Ransomware-Leak-Sites mit Bezug zu Cyberkriminalität im Gesundheitswesen.
Die Ergebnisse zeigen: Gesundheitsdaten zählen nach wie vor zu den begehrtesten Gütern, die im kriminellen Untergrund gehandelt werden. Ihre Dauerhaftigkeit, Sensitivität und die Möglichkeit, sie für verschiedene Formen von Betrug und Erpressung gleichzeitig zu nutzen, machen sie für Kriminelle besonders attraktiv.
Ransomware forciert Untergrundhandel mit Gesundheitsdaten
Datenverkäufe aus Ransomware-Vorfällen machten dabei mehr als ein Drittel (36,3 Prozent) der gesamten Marktplatzaktivität aus. Ransomware-Akteure kombinieren dabei zunehmend Verschlüsselung mit Datendiebstahl und Erpressung. Darüber hinaus identifizierten die Forscher eine wachsende Zielausrichtung auf Anbieter von elektronischen Gesundheitsakten. Ein einziger erfolgreicher Angriff kann dann hunderte nachgelagerte Healthcare-Einrichtungen kompromittieren.
Der Report zeigt zudem, dass sich Cyberkriminelle längst nicht mehr auf den Verkauf kompletter Datensätze beschränken. Auf Untergrund-Marktplätzen werden Gesundheitsdaten zunehmend als Grundlage für Identitätsdiebstahl, Versicherungsbetrug, gefälschte Atteste und Rezepte sowie die Übernahme von Patienten- und Mitarbeiterkonten gehandelt. Dadurch lassen sich gestohlene Datensätze über Jahre hinweg mehrfach monetarisieren.
Mayra Rosario ist Senior Threat Researcher bei TrendAI.
(Bild: TrendAI)
Mayra Rosario, Senior Threat Researcher bei TrendAI, erklärt: „Gesundheitsdaten haben sich von gestohlenen Informationen zu Assets entwickelt, die Cyberkriminelle langfristig nutzen können. Anders als eine Kreditkarte lassen sich Diagnosen, Behandlungshistorien oder biometrische Daten eines Patienten nicht einfach sperren und neu ausstellen – das macht sie für Ransomware-Gruppen und Datenhändler besonders attraktiv.“
Gesundheitsdaten: Vom Einzeltäter zur kriminellen Lieferkette
Die Angriffskette der Cyberkriminellen gegen Organisationen im Gesundheitswesen.
(Bild: TrendAI)
Die Studie beleuchtet auch die fortschreitende Industrialisierung der Cyberkriminalität im Gesundheitssektor: Underground-Marktplätze bieten mittlerweile ein breites Spektrum an – von Zugangsdaten zu Krankenhaus-Netzwerken und Versicherungsdaten bis hin zu vollständigen Identitätspaketen und gefälschten medizinischen Dokumenten.
Besonders stark wächst dabei die Rolle sogenannter Initial Access Broker. Diese spezialisierten Akteure verschaffen sich Zugang zu Netzwerken von Krankenhäusern, Kliniken oder Gesundheitsdienstleistern und verkaufen diesen anschließend an Ransomware-Gruppen oder andere Cyberkriminelle weiter. Die Arbeitsteilung senkt die Einstiegshürden für Angreifer und beschleunigt die Kommerzialisierung von Angriffen auf Gesundheitseinrichtungen.
Dirk Arendt ist Director Government, Public and Healthcare DACH bei TrendAI.
(Bild: TrendAI)
Dirk Arendt, Director Government, Public and Healthcare DACH bei TrendAI, berichtet: „Was wir beobachten, sind keine isolierten Einzelfälle, sondern eine ausgereifte Untergrund-Wirtschaft, die gezielt rund um Cyberangriffe auf das Gesundheitswesen aufgebaut wurde. Aktuelle Vorfälle auch in Deutschland zeigen eindrücklich, wie sehr Patientendaten im Fokus von Cyberkriminellen stehen und unbedingt besser geschützt werden müssen.“ Die Studie warnt zudem davor, dass Lieferketten-Kompromittierungen über Software-Anbieter und medizinische Plattformen zu einem zentralen Risikoverstärker für den gesamten Sektor werden. Sie ermöglichen es Angreifern, ihre Operationen weit über einzelne Krankenhäuser oder Kliniken hinaus zu skalieren.
Aktuelle Vorfälle auch in Deutschland zeigen eindrücklich, wie sehr Patientendaten im Fokus von Cyberkriminellen stehen und unbedingt besser geschützt werden müssen.
Dirk Arendt, TrendAI
Ungeschützte Medizinsysteme: Deutschland auf Rang 5
Der Anteil ausgewählter Länder an den 3.627 öffentlich erreichbaren DICOM-Servern.
(Bild: TrendAI)
Parallel dazu identifizierten die Forscher von TrendAI erhebliche Risiken bei an das Internet angebundenen medizinischen Bildgebungssystemen. Eine separate Untersuchung fand weltweit 3.627 öffentlich erreichbare DICOM-Server in mehr als 100 Ländern. Deutschland belegte mit 138 exponierten Severn Rang 5 im weltweiten Vergleich. DICOM (Digital Imaging and Communications in Medicine) ist der zentrale Standard für den Austausch medizinischer Bilddaten wie MRT-, CT- oder Röntgenaufnahmen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Als besonders kritisch stellte sich heraus, dass der DICOM-Standard zwar seit Jahrzehnten Sicherheitsmechanismen wie Verschlüsselung, Authentifizierung und Zugriffskontrollen unterstützt, diese in der Praxis jedoch kaum genutzt werden. Nur 0,14 Prozent der identifizierten Systeme verwendeten die vorgesehene TLS-Verschlüsselung, während 99,56 Prozent Verbindungen ohne wirksame Authentifizierungsprüfung akzeptierten. Der Report warnt davor, dass Angreifer dadurch Patientendaten ausspähen, medizinische Bilddaten manipulieren, Ransomware einschleusen oder sich seitlich in Krankenhausnetzwerke bewegen könnten.
:quality(80)/p7i.vogel.de/wcms/77/1a/771a1a831a75bab7e7d184998f1342d5/n8n-deutsdche-20telekom-partner-1440x810v1.jpeg "Als zertifizierter Partner bietet die Deutsche Telekom den Erwerb von n8n-Lizenzen an. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/d3/19/d31911fd898e587f77047ea76f15e1a2/procurement-surjukanto-20arts-adobestock-1979986511-mitki-1118x629v1.jpeg "(Bild: © Surjukanto Arts/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/02/6d/026d0405dac23952ad03fefa3f0a1963/ki-antony-20weerut-adobestock-767708309-neu-1200x675v1.jpeg "(Bild: © Antony Weerut/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/ea/8aea63c8c51100fdaacee5311838d58a/it-kosten-shubby-20studio-adobestock-1188535382-mitki-1195x672v1.jpeg "(Bild: © Shubby Studio/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/b5/d2/b5d2c5e678c8398f610dcac49405c4a5/l-c3-bcnendonk-listen-202026-teaser-1400x788v1.jpeg "(Bild: Lünendonk & Hossenfelder)")
:quality(80)/p7i.vogel.de/wcms/f9/12/f9121e1a3d8aaf483c69b0acfcc47be6/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/39/0b39bffef1676b6cce1e770875f5026d/nvidia-gtc-20taipei-202026-16-9-1798x1012v1.jpeg "Auf der GTC Taipei at Computex präsentierte CEO Jensen Huang Neuheiten von Nvidia. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/65/e4/65e4f2658845d8c11229259fbe7f2f70/digital-20health-sansert-adobestock-1525412792-neu-1188x668v1.jpeg "(Bild: © Sansert/stock.adobe.com )")
:quality(80)/p7i.vogel.de/wcms/6f/30/6f30ed88bc8858df3981221b69cc04db/deutschte-20telekom-t-20security-20cortex-1111x625v1.jpeg "(Bild: T Security)")
:quality(80)/p7i.vogel.de/wcms/be/8f/be8f6274af22658dff65358ad0c7dc1e/watchguard-firebox-1024x575v1.jpeg "Watchguard führt die neuen Firebox-Appliances M4850, M5850 und M6850 im Markt ein. (Bild: WatchGuard Technologies)")
:quality(80)/p7i.vogel.de/wcms/41/39/413904a0586b363371e179986d4790cf/compliance-murrstock-adobestock-453812786-neu-1200x674v1.jpeg "(Bild: © Murrstock/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/77/c5779cf2ff6bbea45a6acc76ff5be51b/pixabay-hamonazaryan1-1920x1079v1.jpeg "(Bild: hamonazaryan1/pixabay)")
:quality(80)/p7i.vogel.de/wcms/a5/53/a55383128cbff367a526d6fe12e23409/sps-sps-20worktech-16-9-1500x843v1.jpeg "Die Studie von SPS untersucht die Diskrepanz zwischen Potenzial und Performance am Arbeitsplatz durch KI-Tools. (Bild: )")
:quality(80)/p7i.vogel.de/wcms/17/a6/17a6115ea32097a305996a1b8fff67b1/ki-delstudio-adobestock-1756025427-neu-1165x655v1.jpeg "(Bild: DELstudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/70/0470a4f74847743b574964b497a65f5e/quantum-20photonics-stand-16-9-1200x674v1.jpeg "Aussteller wie Fraunhofer IOF präsentierten ihre aktuellen Entwicklungen in der Quantentechnologie. (Bild: Karina Heßland-Wissel)")
:quality(80)/p7i.vogel.de/wcms/8c/81/8c812149a8cf23be383184b1da53a55d/mhp-shutterstock-gorodenkoff-16-9-1126x633v1.jpeg "Die Mehrheit der Unternehmen treiben Post-Quantum-Kryptographie bereits aktiv voran – vom Pilotprojekt bis zur Migration. (Bild: Gorodenkoff/Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/e9/4d/e94d46aa750d5b4b9eff39ac86f3021e/quantencomputer-graphicview35-adobestock-1620461863-mitki-1165x655v1.jpeg "(Bild: © graphicview35/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/39/ce/39ce6fc51c8916c8f86c1d7e72756ff1/souver-c3-a4nit-c3-a4t-atmospheric-20stock-adobestock-1120624805-neu-999x562v1.jpeg "(Bild: atmospheric-20stock/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/d5/84d5d2c60b495ffbc25ea126ec34d0d1/adobestock-1901309797-yasin-digitale-souveraenitaet-1000x563v1.jpeg "(Bild: © Yasin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/ce/e4ce8603b64cfab2d408547cf4a555ad/medizinprodukte-j-c3-b8rgsson-20photography-adobestock-1999690267-neu-1200x674v1.jpeg "(Bild: © Jørgsson Photography/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/d8/d5/d8d5e59275f1894da0e4f12c6ba23a1a/veeva-20x-20kindeva-16-9-900x506v1.jpeg "(Bild: Veeva Systems)")
:quality(80)/p7i.vogel.de/wcms/0c/cf/0ccf1608d16cf85b08f9aa361bb4bb58/merck-hauptsitz-20in-20darmstadt-1500x844v1.jpeg "Die Merck KGaA hat ihren Haupsitz in Darmstadt. (Bild: © Merck KGaA, Darmstadt, Deutschland)")
:quality(80)/p7i.vogel.de/wcms/46/b5/46b5de5cc76e0e0bce35d33dab687eea/adobestock-1857527160--muhammad-ki-energieverbrauch-cloud-999x562v1.jpeg "(Bild: © Muhammad/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/01/0f01721b05953de8e14ea3b03c5d335a/rechenzentrum-real-adobestock-587469792-neu-900x506v1.jpeg "(Bild: © Real/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/b6/bfb64f01c1cb08b0b7b2d651d9f5a757/firstcolo-gda-20award-16-9-1200x674v1.jpeg "Das von firstcolo geplante Rechenzentrum FRA7 setzt auf High-Density-Racks mit Liquid Cooling mit einer Leistung von bis zu 200 kW. (Bild: German Datacenter Association e.V.)")
:quality(80)/p7i.vogel.de/wcms/d7/7e/d77ee857fc2f2f80cfd828c0c22db8c7/deutsche-20telekom-gr-c3-bcne-20ki-1296x728v1.jpeg "Künstliche Intelligenz kann die Energieeffizienz verbessern. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/d5/9c/d59c5bead62a3269ea1a2684ec09f518/adobestock-23589239-a-bruno-e-mail-rechnungen-sicherheit-1000x563v1.jpeg "(Bild: © A_Bruno/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/f5/16f5516a4499148e90edf2bb15ee0694/rechenzentrum-nurionstudio-adobestock-990833600-mitki-1056x594v1.jpeg "(Bild: © nurionstudio/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/2b/81/2b818b5f7ba733b3e1cb4f28959a71ab/digital-souvereignty-washing-16-9-1200x674v1.jpeg "(Bild: Generiert mit Claude Opus)")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/45/fc/45fc146eb970ccbfcf619001f5a53b98/ki-sicherheit-olia-adobestock-1766595241-mitki-1200x674v1.jpeg "ki-sicherheit-olia-adobestock-1766595241-mitki-1200x674v1 (Bild: © Olia/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/cc/5b/cc5b1cb944ed35aea7d845615d1a590a/adobestock-1808356611-jafaewafa-digital-health-cloud-klinik-996x560v1.jpeg "adobestock-1808356611-jafaewafa-digital-health-cloud-klinik-996x560v1 (Bild: © jafaewafa/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/8a/e88aa376c0fccc101967b55605dcccc6/ki-20scecurity-werckmeister-adobestock-856209725-mitki-996x560v1.jpeg "ki-20scecurity-werckmeister-adobestock-856209725-mitki-996x560v1 (Bild: © Werckmeister/stock.adobe.com - generiert mit KI)")