TriZetto-Datenleck: Hunderttausende Patienten in den USA betroffen

Ein massiver Datendiebstahl beim IT-Dienstleister TriZetter Provider Solutions hat sensible Gesundheitsdaten von über 700.000 Personen in den USA kompromittiert. Die jetzt verschickten Benachrichtigungsbriefe offenbaren eine beunruhigende Sicherheitspanne, die fast ein Jahr unentdeckt blieb.

Jahrelanger Zugriff auf Patientendaten

Die Hacker hatten laut Untersuchungen bereits im November 2024 Zugriff auf die Systeme des Unternehmens, einem Tochterunternehmen des IT-Riesen Cognizant. Entdeckt wurde der Einbruch jedoch erst am 2. Oktober 2025. In diesem langen Zeitraum konnten die Angreifer auf historische Transaktionsberichte zugreifen, die einen Schatz an sensiblen Informationen enthielten.

Betroffen sind Kliniken, Arztpraxen und Gesundheitsdienstleister, die die Abrechnungs- und Verwaltungsdienste von TriZetto nutzen. Zu den kompromittierten Daten gehören geschützte Gesundheitsinformationen (PHI) und personenbezogene Daten (PII) wie vollständiger Name, Adresse, Geburtsdatum, Sozialversicherungsnummer und Krankenversicherungsdaten. Spezifische Behandlungsunterlagen oder Kreditkartendaten seien laut TriZetto nicht abgeflossen.

Nach einem Großangriff wie bei TriZetto steigt das Risiko für Phishing, CEO‑Fraud und Identitätsdiebstahl massiv. Das kostenfreie Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie gefälschte E‑Mails erkennen, verdächtige Kontakte absichern und erste Gegenmaßnahmen einleiten. Mit praktischen Checklisten und sofort umsetzbaren Tipps eignet sich der Guide für betroffene Patienten, Praxen und IT‑Verantwortliche, die schnell handeln müssen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Flut von Benachrichtigungen rollt an

Die Dimension des Lecks wird nun durch eine Welle von Benachrichtigungsschreiben deutlich. Gesundheitsdienstleister in den gesamten USA sind gesetzlich verpflichtet, betroffene Patienten zu informieren. Allein in Oregon begannen drei Anbieter kürzlich damit, mehr als 4.100 Patienten zu warnen.

Einer der bekannt gewordenen Kunden ist Cascadia Health, der rund 1.800 Klienten benachrichtigt. Dutzende weitere Kliniken in Bundesstaaten wie Kalifornien, Massachusetts und Maryland sind betroffen. Die Benachrichtigungen werden von TriZetto und dem Drittanbieter Kroll koordiniert, der auch Unterstützungsdienste anbietet.

Systemisches Risiko und juristische Folgen

Der Vorfall wirft ein grelles Licht auf die Cybersecurity-Risiken in der Lieferkette des Gesundheitswesens. Viele Krankenhäuser sind von Drittanbietern für kritische Funktionen abhängig. Ein Sicherheitsversagen bei einem einzigen Anbieter wie TriZetto kann so kaskadenartige Folgen für Hunderte Partner haben.

Die fast einjährige Verzögerung zwischen Einbruch und Entdeckung stellt die Sicherheitsüberwachung des Unternehmens fundamental in Frage. Die Konsequenzen sind juristischer Natur: Gegen die Muttergesellschaft Cognizant sind bereits mehrere Sammelklagen anhängig. Den Klägern zufolge habe das Unternehmen weder angemessene Sicherheitsvorkehrungen getroffen noch die Betroffenen rechtzeitig informiert.

Das sollten betroffene Patienten tun

Patienten, die ein Benachrichtigungsschreiben erhalten, wird dringend zu sofortigen Schutzmaßnahmen geraten. TriZetto bietet über Kroll kostenlose Kreditüberwachung, Betrugsberatung und Hilfe bei der Wiederherstellung der Identität an. Experten raten zur umgehenden Inanspruchnahme.

Zusätzlich empfiehlt sich die Einrichtung eines Betrugsalarms bei den drei großen US-Auskunfteien (Equifax, Experian, TransUnion). Betroffene sollten zudem ihre Kontoauszüge, Versicherungsunterlagen und die Post genau auf verdächtige Aktivitäten prüfen. Auch wenn TriZetto derzeit keinen Missbrauch der Daten sieht, bleibt das Risiko eines Identitätsdiebstahls auf Jahre hoch. Die rechtlichen und sicherheitspolitischen Nachwehen dieses Mega-Lecks werden den US-Gesundheitssektor noch lange beschäftigen.

PS: Sie möchten aktiv Schutzmaßnahmen ergreifen? Der Gratis‑Report zeigt branchenspezifische Angriffsvektoren, psychologische Tricks von Phishern und eine einfache 4‑Punkte‑Strategie zur Hacker‑Abwehr. Ideal für Patienten, Praxen und kleinere Einrichtungen, die sensible Daten schützen wollen – inklusive konkreter Sofortmaßnahmen zum Einrichten von Betrugsalarmen und Kontoschutz. Jetzt Anti‑Phishing‑Guide anfordern