Schatten über der Arztpraxis: 8,8 TB Gesundheitsdaten in den Händen von Erpressern
Ein kompromittiertes Drittanbietersystem, archivierte Patientendaten aus einer längst übernommenen Arztpraxis-Kette und eine Erpresserbande, die genau weiß, wie verwundbar Gesundheitsdaten ihre Opfer machen – das ist die Gemengelage, in der sich Amazons Gesundheitstochter One Medical seit Mitte Juni befindet.
Am 17. Juni 2026 bestätigte One Medical einen Sicherheitsvorfall, bei dem sich Unbekannte zwischen dem 8. und 11. Juni Zugriff auf ein externes Dateispeichersystem mit archivierten Patientendaten verschafften. Betroffen sind Patientinnen und Patienten von One Medical Seniors – dem Geschäftsbereich, der sich um Medicare-Versicherte (also vorwiegend ältere Menschen) kümmert. Die Praxis stammt ursprünglich von Iora Health, das 2021 von One Medical und 2023 von Amazon für rund 3,5 Milliarden US-Dollar übernommen wurde.
Hinter der Tat steckt nach Einschätzung von Sicherheitsexperten die Erpresserbande ShinyHunters. Die Gruppe behauptet, 8,8 Terabyte an Daten erbeutet zu haben, und drohte mit der Veröffentlichung. Die gesetzte Frist: der 22. Juni 2026. Dieser Tag ist nun vergangen – eine bestätigte Publikation von Datenproben steht jedoch bislang aus.
Wer ist betroffen?
Die betroffenen Standorte von One Medical Seniors liegen in neun US-amerikanischen Städten: Atlanta, Cape Cod, Charlotte, Piedmont Triad, Denver, Houston, Phoenix, Tucson und Seattle. One Medical versorgt nach eigenen Angaben insgesamt über 830.000 Patientinnen und Patienten an mehr als 250 Standorten in den USA. Die Zahl der konkret von diesem Vorfall betroffenen Personen ist bislang nicht bekannt.
Nicht betroffen sind nach Angaben von One Medical die regulären One-Medical-Kliniken, das elektronische Patientenaktensystem (EMR) sowie andere Amazon-Systeme. Der Angriff beschränkte sich auf ein externes Speichersystem für archivierte Daten aus der Iora-Health-Ära.
Die Gefahr ist real – auch wenn noch nichts veröffentlicht wurde
Dass bisher keine Daten im Darknet aufgetaucht sind, gibt noch keine Entwarnung. ShinyHunters ist keine Gruppe, die nach dem Schema "Ransomware – Zahlung – Freigabe" arbeitet. Die Bande hat sich nach Erkenntnissen von Mandiant (Januar 2026) auf reine Datendiebstahl-Erpressung spezialisiert: Daten werden exfiltriert, dann wird mit der Veröffentlichung gedroht – ohne vorherige Verschlüsselung. Dieses Modell ist bei Gesundheitsdaten besonders effektiv, denn die Publikation von Patientendaten kann für eine Klinikkette existenzbedrohend sein.
Die typische Vorgehensweise von ShinyHunters umfasst Voice Phishing ("Vishing") und markenspezifische Credential-Harvesting-Seiten für den initialen Zugang, gefolgt von OAuth-Token-Diebstahl und anschließender Datenextfiltration aus SaaS-Systemen. Dass One Medical den Angriff auf ein kompromittiertes Drittanbietersystem zurückführt, passt zu diesem TTP-Profil.
HIPAA macht den Fall besonders brisant
Gesundheitsdaten unterliegen in den USA dem Health Insurance Portability and Accountability Act (HIPAA). Ein Data Breach dieser Größenordnung löst nicht nur Meldepflicht beim Department of Health and Human Services (HHS) aus, sondern kann empfindliche Strafen nach sich ziehen – insbesondere wenn sich herausstellt, dass Sicherheitsvorkehrungen wie die Multi-Faktor-Authentifizierung (MFA) auf dem betroffenen Drittanbietersystem nicht aktiv waren. One Medical hat sich dazu bislang nicht geäußert.
Hinzu kommt ein demografisches Risiko: One Medical Seniors betreut ältere Medicare-Patientinnen und -Patienten – eine besonders verletzliche Gruppe, die nach einem Datenleck mit gezieltem Identitätsdiebstahl, Phishing und Betrugsanrufen rechnen muss.
Ein immer wiederkehrendes Muster: Altsysteme nach Übernahmen
Der Vorfall bei One Medical reiht sich ein in eine besorgniserregende Serie von Sicherheitsvorfällen, die auf Altlasten nach Unternehmensübernahmen zurückgehen. Das prominenteste Beispiel der jüngeren Vergangenheit ist der Change-Healthcare-Angriff von Februar 2024 – eines der folgenreichsten Cyberereignisse in der US-Gesundheitsbranche überhaupt, ausgelöst durch die Übernahme einer kleineren Praxis durch den UnitedHealth-Konzern ohne ausreichende Sicherheitsintegration.
Bei One Medical ist es die Übernahme von Iora Health im Jahr 2021, deren archivierte Datensysteme offenbar nicht in die Sicherheitsarchitektur des Amazon-Konzerns integriert waren. Branchenkenner sehen darin ein strukturelles Problem: Bei Akquisitionen werden Alt-Infrastrukturen häufig mitübernommen, ohne dass sie gründlich auditiert und in die Sicherheitsstandards des Mutterkonzerns eingegliedert werden.
Was bisher geschah
| Datum | Ereignis |
|---|---|
| 8.–11. Juni 2026 | Unbefugter Zugriff auf externes Dateispeichersystem |
| 13. Juni 2026 | Entdeckung des Vorfalls durch One Medical |
| 17. Juni 2026 | Öffentliche Bestätigung des Vorfalls |
| 18. Juni 2026 | ShinyHunters übernimmt Verantwortung, droht mit Veröffentlichung |
| 22. Juni 2026 | Fristablauf – keine bestätigte Veröffentlichung |
| 23. Juni 2026 | Stand dieser Meldung |
Reaktion von One Medical
One Medical hat nach der Entdeckung des Vorfalls das betroffene System sofort gesperrt, alle Zugriffe entzogen und die Credentials aller Mitarbeiter mit Systemzugriff rotiert. Die Untersuchung läuft. Betroffene Patienten werden nach Abschluss der Ermittlungen per Post benachrichtigt.
Betroffene Patientinnen und Patienten erreichen eine kostenlose Hotline unter 833-745-1398 (8:00–20:00 CT) sowie die E-Mail-Adresse privacy@onemedical.com.
Fazit: Ein Fall, der in der Schwebe hängt
Noch ist unklar, ob ShinyHunters tatsächlich 8,8 TB Patientendaten erbeutet hat oder ob es sich um eine Übertreibung handelt – ein bei Erpresserbanden nicht unübliches Mittel, um Druck aufzubauen. Sollten die Daten jedoch tatsächlich veröffentlicht werden, hätte dies schwerwiegende Folgen für die betroffenen Patientinnen und Patienten, aber auch für Amazon als Mutterkonzern. Die anhaltende Ungewissheit macht diesen Fall zu einem besonders beunruhigenden Security-Incident – für die Betroffenen und für alle, die sich fragen, ob die Gesundheitsdaten in ihren Arztpraxen wirklich sicher sind.
Wir werden die Entwicklung weiterverfolgen und berichten, sobald es neue Erkenntnisse gibt.