Hackerangriff auf Arztsoftware in Frankreich: Bis zu 15 Millionen Patientendaten betroffen – Staat ermittelt

Ein Cyberangriff auf den französischen Anbieter Cegedim Santé könnte die Daten von bis zu 15 Millionen Patientinnen und Patienten offengelegt haben. Betroffen ist die in Arztpraxen verbreitete Software „MLM“, die unter anderem für Patientenverwaltung und Abrechnung genutzt wird. Nach Angaben aus Ermittlungs- und Medienkreisen wurden Daten Ende 2025 unrechtmäßig eingesehen oder abgezogen; Teile sollen anschließend in einschlägigen Online-Marktplätzen zum Verkauf angeboten worden sein.

Wie groß das Leck ist, bleibt bislang umstritten. Während Medien von 11 bis 15 Millionen potenziell Betroffenen sprechen, behaupten Angreifer teils noch höhere Zahlen. Sicher ist: Schon ein begrenzter Zugriff auf Praxissoftware kann enorme Folgen haben, weil einzelne Praxen tausende Akten verwalten – und weil Gesundheitsdaten sensibel sind. Viele Betroffene wissen bis heute nicht, ob ihre Informationen darunter sind.

Was ist Cegedim Santé – und warum ist die Software MLM so relevant?

Cegedim Santé ist ein privater IT-Dienstleister, der in Frankreich Software für Arztpraxen anbietet. Das Programm „MLM“ soll nach Unternehmensangaben bei rund 3.800 Kunden im Einsatz sein. Im Zuge des Vorfalls wurden etwa 1.500 Ärztinnen und Ärzte als Nutzer identifiziert, deren Systeme von der Attacke betroffen sein könnten.

Das bedeutet nicht, dass „das gesamte französische Gesundheitssystem“ kompromittiert wurde. Doch die Dimension ist trotzdem erheblich: Wenn Angreifer Zugriff auf die Datenbestände vieler Praxen erhalten, kann die Zahl der betroffenen Patientinnen und Patienten schnell in den Millionenbereich wachsen – allein durch die schiere Menge an gespeicherten Kontakten, Behandlungsverläufen und Archivdaten.

Nach Darstellung des Unternehmens wurde Ende 2025 „auffälliges Verhalten“ festgestellt, Zugänge wurden abgesichert, Anzeige erstattet und die Datenschutzaufsicht informiert. Formal entspricht das dem üblichen Krisenablauf. Praktisch entsteht eine lange Phase der Unsicherheit: Solange die forensische Auswertung läuft, bleibt unklar, welche Datensätze abgeflossen sind – und seit wann.

Zwischen 11 und 15 Millionen – warum die Zahlen so schwer zu verifizieren sind

Die Spannweite der kursierenden Angaben zeigt das Kernproblem: Aus der Zahl betroffener Ärztinnen und Ärzte lässt sich die Zahl betroffener Patientinnen und Patienten nicht sauber ableiten. Eine Hausarztpraxis kann einige tausend aktive Fälle führen, dazu kommen ältere Akten. Hochgerechnet auf 1.500 Praxen ergeben sich schnell nationale Größenordnungen – ohne dass damit bewiesen wäre, dass all diese Daten kopiert wurden.

Hinzu kommen widersprüchliche Indizien. In Stichproben sollen administrative Daten von rund 300.000 Patientinnen und Patienten aufgetaucht sein, während medizinische Inhalte demnach nur in begrenztem Umfang sichtbar waren. Gleichzeitig fällt auf, dass in einem angeblich sehr großen Datensatz nur rund 150.000 eindeutige E-Mail-Adressen genannt werden. Das kann auf Dubletten, unvollständige Felder oder heterogene Datenbestände hindeuten – und macht das Risiko für Betroffene schwerer einschätzbar.

Für Patientinnen und Patienten ist diese Unschärfe belastend: Wer nicht weiß, ob und welche Daten betroffen sind, kann sich nur pauschal schützen. Das erhöht die Anfälligkeit für Betrugsversuche – und untergräbt Vertrauen in die Digitalisierung der Versorgung.

Welche Daten könnten betroffen sein – und warum „nur Kontaktdaten“ schon gefährlich sind

Im Zentrum stehen offenbar zunächst „administrative“ Informationen: Name, Geburtsdatum, Anschrift, Telefonnummern und weitere Kontaktdaten. Was nach Bürokratie klingt, ist in der Praxis ein Werkzeugkasten für Identitätsmissbrauch. In Kombination mit dem Hinweis, dass die Daten aus einem medizinischen Kontext stammen, werden Betrugsmaschen deutlich glaubwürdiger als bei einem gewöhnlichen Datenleck im Onlinehandel.

brisant sind Hinweise auf ärztliche Freitext-Notizen. Solche „Annotationen“ können – je nach Praxis – sehr persönliche Angaben enthalten, etwa zu psychischen Belastungen, familiären Konflikten oder anderen sensiblen Umständen. In einzelnen Berichten ist sogar von Informationen wie Religionszugehörigkeit oder sexueller Orientierung die Rede. Selbst wenn das nur einen kleinen Teil der Datensätze betrifft, kann der Schaden für Betroffene gravierend sein.

Eine vorläufige Schätzung spricht von rund 165.000 Personen, bei denen sensible Inhalte betroffen sein könnten. Das ist kein abschließendes Ergebnis, aber eine Größenordnung, die den Charakter des Vorfalls verändert: Es geht dann nicht mehr nur um Spam und Betrug, sondern um ärztliche Schweigepflicht, mögliche Diskriminierung und im Extremfall Erpressung.

Ermittlungen in Paris, Rolle der CNIL – und die politische Abgrenzung des Staates

Justiziell läuft eine Untersuchung in Paris; zuständig sind spezialisierte Einheiten zur Bekämpfung von Cyberkriminalität, begleitet von der Pariser Staatsanwaltschaft. Damit ist klar: Der Vorfall wird nicht als bloße IT-Panne behandelt, sondern als möglicher Straftatbestand – inklusive der Frage, ob Sicherheitsvorgaben verletzt wurden.

Parallel ist die französische Datenschutzaufsicht CNIL eingeschaltet. Sie entspricht in ihrer Funktion der deutschen Datenschutzkonferenz beziehungsweise den Landesdatenschutzbehörden, agiert aber als zentrale nationale Behörde. Eine Meldung an die CNIL ist Pflicht – sie ersetzt keine Aufklärung. Die Behörde kann prüfen, ob technische und organisatorische Maßnahmen angemessen waren, wie der Zugriff möglich wurde und ob die Krisenkommunikation den Anforderungen genügt.

Das französische Gesundheitsministerium betonte, es handele sich um einen privaten Dienstleister als „Verantwortlichen“ für die Datenverarbeitung. Politisch ist das eine klare Grenzziehung: Der Staat will nicht für ein Produkt eines privaten Anbieters haften. Für Bürgerinnen und Bürger wirkt diese Trennung oft theoretisch – Gesundheitsdaten bleiben Gesundheitsdaten, egal ob sie in einem öffentlichen Krankenhaus oder in einer Praxissoftware gespeichert sind.

Was Betroffene jetzt fürchten müssen – und warum Praxen oft selbst im Dunkeln tappen

Das unmittelbarste Risiko ist gezieltes Phishing: Betrüger können sich als Arztpraxis, Krankenversicherung oder Terminservice ausgeben und mit plausiblen Details nach Ausweisdokumenten, Bankdaten oder Zugangsdaten fragen. Gerade im Gesundheitsbereich sind viele Menschen in Stresssituationen – das erhöht die Erfolgsquote solcher Angriffe.

Dazu kommt Identitätsmissbrauch, etwa für Vertragsabschlüsse oder betrügerische Anträge. Am schwersten wiegt der mögliche soziale Schaden, wenn intime medizinische Informationen oder aus dem Kontext gerissene Notizen kursieren. Freitext-Einträge sind für die Behandlung gedacht, nicht für Dritte – und können missverstanden oder bewusst gegen Betroffene verwendet werden.

Auch in den Praxen selbst wächst der Druck. Ärztinnen und Ärzte stehen für Vertraulichkeit, sind aber auf eine komplexe IT-Lieferkette angewiesen, die sie nicht vollständig kontrollieren. Der Fall zeigt damit ein Problem, das auch in Deutschland bekannt ist: Die Digitalisierung im Gesundheitswesen hängt an vielen privaten Anbietern – während einzelne Praxen selten die Ressourcen einer eigenen IT-Sicherheitsabteilung haben.

Entscheidend wird nun sein, wie schnell und wie konkret Betroffene informiert werden. Patientenverbände kritisieren bereits, dass Transparenz und individuelle Benachrichtigung bislang nicht ausreichen. Solange unklar bleibt, wer betroffen ist und welche Daten genau abgeflossen sind, bleibt die Lage für Millionen Menschen ein Risiko – und für das Vertrauen in digitale Medizin ein weiterer Stresstest.