Cyberangriff auf Cerballiance: Patienten erhalten Warnmails – IT-Dienstleister im Fokus, Behörden informiert

Wer derzeit eine E-Mail oder SMS mit dem Namen „Cerballiance“ erhält, die von einem unbefugten Zugriff spricht und zum Passwortwechsel auffordert, hält das schnell für Betrug. Doch in diesem Fall kann die Nachricht echt sein: Das französische Labor-Netzwerk Cerballiance hat einen Cyberangriff bestätigt und Betroffene direkt informiert.

Der Vorfall im März 2026 trifft einen sensiblen Bereich. Cerballiance war bereits im Frühjahr 2025 Ziel einer Attacke. Zwar betont das Unternehmen, diesmal seien keine medizinischen Akten kompromittiert worden. rückt ein bekanntes Problem erneut in den Mittelpunkt: Gesundheitsdaten sind begehrt – und die Sicherheitslage hängt oft auch an externen IT-Dienstleistern.

Vorfall im März 2026: Angriff lief über einen externen IT-Partner

Nach Angaben von Cerballiance steht der Angriff im März 2026 im Zusammenhang mit einem IT-Dienstleister – und zwar einem anderen als beim Vorfall 2025. Das ist mehr als eine Randnotiz: In vielen Organisationen entsteht das Einfallstor nicht im „Kernsystem“, sondern bei ausgelagerten Komponenten, etwa bei Hosting, Nutzerverwaltung, Kommunikationsdiensten oder Support-Zugängen.

Cerballiance spricht von einer schnellen Eindämmung und einer verstärkten Überwachung der Systeme. Solche Aussagen beruhigen zwar, sagen aber nur begrenzt etwas über die tatsächliche Reichweite aus. Denn selbst wenn der Betrieb rasch stabil läuft, kann die forensische Aufarbeitung – also die genaue Rekonstruktion, wie der Zugriff erfolgte und ob Daten abgeflossen sind – Tage oder Wochen dauern.

Behörden eingeschaltet: CNIL, ANSSI und regionale Gesundheitsbehörden

Das Unternehmen meldete den Vorfall nach eigenen Angaben an mehrere Stellen: an die Datenschutzaufsicht CNIL (entspricht in Deutschland in etwa den Landesdatenschutzbehörden bzw. dem BfDI auf Bundesebene), an die französische Cybersicherheitsbehörde ANSSI (vergleichbar mit dem BSI) sowie an die regionalen Gesundheitsbehörden ARS. sei Anzeige bei der Polizei erstattet worden.

Diese Meldekette ist in Frankreich – wie in Deutschland nach DSGVO und IT-Sicherheitsanforderungen – Teil des Krisenmanagements. Entscheidend ist dabei nicht nur, dass gemeldet wird, sondern auch wie schnell und wie belastbar die Informationen sind: Zeitpunkt, Art des Zugriffs, betroffene Systeme, mögliche Datenabflüsse.

Rückblick auf 2025: Damals standen sensible Daten im Raum

Schwerer wog nach der damaligen Kommunikation der Angriff im Frühjahr 2025. war von personenbezogenen Daten wie Name und Kontaktdaten die Rede, von Zugangsdaten sowie sensiblen Informationen: der französischen Sozialversicherungsnummer und einzelnen Laborbefunden.

Das Risiko bei solchen Datensätzen liegt nicht nur in einem gekaperten Patientenportal. Gefährlich wird die Kombination: Identitätsdaten, Versicherungsbezug und gegebenenfalls medizinische Hinweise ermöglichen Betrügern, sehr glaubwürdige Betrugsszenarien aufzubauen – etwa mit angeblichen Rückerstattungen, Zahlungsaufforderungen oder „Verifikationsanrufen“.

Cerballiance erklärte damals, es gebe keine Hinweise auf eine missbräuchliche Nutzung. Solche Formulierungen sind üblich, weil sich der tatsächliche Missbrauch oft erst später zeigt – und viele Betroffene Betrugsversuche nicht sofort melden oder nicht mit einer Datenpanne in Verbindung bringen.

600 Standorte, 28 Millionen Patienten: Große Netze sind schwerer abzusichern

Cerballiance gibt an, rund 600 Standorte zu betreiben und pro Jahr etwa 28 Millionen Patientinnen und Patienten zu versorgen – in Frankreich sowie in Überseegebieten. Das verdeutlicht die Dimension: Termin- und Ergebnisportale, Abrechnung, Schnittstellen zur Krankenversicherung, interne Fachsoftware und zahlreiche Nutzerkonten ergeben eine komplexe Zugriffslandschaft.

Je verteilter ein System, desto mehr „Schichten“ entstehen: unterschiedliche Anwendungen, historische Schnittstellen, externe Mail- oder SMS-Dienste, Hosting-Partner. Für Angreifer zählt dabei selten das prestigeträchtigste Ziel – sondern der einfachste Einstieg.

Hinzu kommt ein praktischer Effekt: Offizielle Warnmails oder SMS liefern Betrügern eine Vorlage. Sie kopieren Betreffzeilen, Tonfall und Gestaltung und verschicken täuschend echte Nachahmungen mit schädlichen Links. Gerade deshalb ist die Lage für Betroffene paradox: Man soll einer Warnmail vertrauen – in einem Moment, in dem man misstrauisch sein muss.

Warum IT-Dienstleister immer wieder zum Risiko werden

Dass Cerballiance 2026 ausdrücklich einen anderen Dienstleister nennt als 2025, verweist auf ein strukturelles Problem im Gesundheitssektor: Viele kritische Funktionen liegen bei Dritten. Sicherheit hängt dann nicht nur von der eigenen IT ab, sondern auch von Verträgen, Audits, technischen Mindeststandards – und der Fähigkeit, deren Einhaltung zu kontrollieren.

Kommt es beim Dienstleister zu einem Vorfall, wird die Aufklärung oft schwieriger: Protokolle, Systeme und Zuständigkeiten liegen nicht vollständig in der Hand des betroffenen Unternehmens. Typische Sofortmaßnahmen sind das Sperren oder Zurücksetzen von Konten, das Trennen von Verbindungen, das Neuvergeben von Zugriffsrechten und eine schrittweise Wiederinbetriebnahme.

Die Kritik, die Sicherheitsfachleute in solchen Fällen regelmäßig äußern, zielt weniger auf einzelne Unternehmen als auf ein Muster: Zu oft reagieren Organisationen erst nach einem Vorfall – weil Ressourcen fehlen, Zuständigkeiten zwischen Fachbetrieb und IT unklar sind oder die Kontrolle über Dienstleister nicht konsequent genug ist.

Was Betroffene jetzt beachten sollten – ohne in Panik zu verfallen

Cerballiance betont, im Vorfall 2026 seien keine medizinischen Akten betroffen. Das senkt das Risiko einer Veröffentlichung von Gesundheitsinformationen – schließt aber Betrugsgefahren nicht aus. Schon administrative Daten wie Name, Telefonnummer oder E-Mail-Adresse können für Belästigung, Kontoübernahmen oder Identitätsmissbrauch reichen.

Wer eine Nachricht erhält, sollte vorsichtig sein: keine Passwörter über Links aus SMS oder E-Mails eingeben, stattdessen den Zugang über die bekannte Website bzw. das gewohnte Patientenportal aufrufen. Auffällig sind Anrufe oder Nachrichten, die Druck aufbauen, Zahlungen verlangen oder nach Sozialversicherungsnummern und anderen Identifikationsdaten fragen.

Für Cerballiance und vergleichbare Laborverbünde steht damit erneut Vertrauen auf dem Spiel. Zwei Vorfälle in weniger als zwei Jahren – auch wenn unterschiedliche Dienstleister betroffen waren – prägen die öffentliche Wahrnehmung. Entscheidend wird sein, ob es dem Unternehmen gelingt, die Sicherheitsarchitektur dauerhaft zu stärken, gerade an den Schnittstellen zu externen Partnern.