2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Der ChipSoft-Angriff: was ein Hack bei deinem Lieferanten für dein Awareness-Programm bedeutet

Im April 2026 traf eine Ransomware-Attacke ChipSoft, den Lieferanten der elektronischen Patientenakte, die rund 70% der niederländischen Krankenhäuser nutzen. Die Lektion: Du bist nur so sicher wie dein schwächster Lieferant — und Awareness endet nicht an der eigenen Haustür.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Am 7. April 2026 wurde ChipSoft — Hersteller des Patientenakten-Systems HiX — von einer Ransomware-Attacke getroffen (zugeschrieben der Gruppe Embargo). ChipSoft liefert die elektronische Patientenakte an rund 70% der niederländischen Krankenhäuser. Krankenhäuser nahmen vorsorglich Patientenportale offline; am 16. April bestätigte ChipSoft den Diebstahl von Patientendaten. Der Vorfall zeigt, was viele Awareness-Programme übersehen: Das größte Risiko sitzt manchmal nicht in den eigenen Mauern, sondern bei einem Lieferanten, den du nie selbst geschult hast.

Was geschah — und warum die Wirkung so groß war

Der Angriff wurde am 7. April entdeckt. Einen Tag später gab es Hinweise, dass die Angreifer an Patientendaten gelangt sein könnten; am 16. April bestätigte ChipSoft den Diebstahl. Ende April erklärte das Unternehmen, die gestohlenen Daten seien vernichtet worden — was mit einem etwaigen Lösegeld geschah, blieb offen.

Die Wirkung war groß, weil ein einziger Lieferant eine zentrale Rolle in der gesamten Branche spielt. Wenn rund sieben von zehn Krankenhäusern dieselbe Patientenakte nutzen, trifft ein Angriff auf diesen Lieferanten einen großen Teil des Gesundheitswesens auf einen Schlag. Das ist Konzentrationsrisiko: zentrale Software bedeutet zentrales Risiko. Dasselbe Muster zeigte sich beim Canvas-Datenleck im Bildungswesen.

Gesundheitsdaten sind besondere Kategorien personenbezogener Daten nach der DSGVO; eine Datenpanne damit muss binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden. Viele große Kliniken zählen zudem als KRITIS und unterliegen den BSI-Vorgaben sowie der NIS2-Umsetzung mit ihrer Sorgfaltspflicht.

Der Denkfehler: 'wir haben unseren eigenen Laden im Griff'

Viele Organisationen richten ihre Awareness ausschließlich auf die eigenen Mitarbeitenden: nicht auf Phishing klicken, starke Passwörter, ordentlich melden. Das ist nötig, deckt aber nur die Hälfte ab. Ein erheblicher Teil der Datenpannen entsteht bei einem Dritten — einem Softwarelieferanten, einem Auftragsverarbeiter, einem ausgelagerten Callcenter.

Bei einem Lieferketten-Vorfall kannst du intern alles richtig gemacht haben und trotzdem getroffen werden. Deine Leute haben nichts falsch gemacht; das schwache Glied saß bei einer Partei, über die du keine direkte Kontrolle hast. Das fühlt sich unfair an, ist aber die Realität moderner IT-Lieferketten.

Für Awareness-Verantwortliche heißt das: Dein Programm endet nicht an der eigenen Haustür. Du musst Mitarbeitenden auch beibringen, was ein Lieferantenvorfall für sie bedeutet und wie sie darauf reagieren.

Was Awareness beim Lieferantenrisiko tatsächlich leisten kann

Die Sicherheit deines Lieferanten lässt sich nicht per E-Learning erzwingen. Aber deine Mitarbeitenden spielen eine Rolle in der Kette. Wer einkauft oder Verträge verwaltet, entscheidet, ob Sicherheitsanforderungen Teil der Vereinbarung sind. Wer täglich mit der Software arbeitet, merkt als Erstes, wenn 'etwas nicht stimmt'.

Awareness im Lieferkettenkontext dreht sich um drei Dinge: vorab die richtigen Fragen an Lieferanten stellen, während der Arbeit Abweichungen erkennen und melden, und bei einem Vorfall die eigene Rolle kennen, wenn das System eines anderen ausfällt.

Im Gesundheitswesen ist Letzteres entscheidend: Wenn die Patientenakte offline geht, müssen Mitarbeitende wissen, wie sie auf Papierprozesse zurückfallen, ohne die Patientensicherheit zu gefährden. Das übt man vorher, nicht während der Krise.

Folgerisiko: gezieltes Phishing nach einer Gesundheitspanne

Wie bei anderen Pannen ist der Diebstahl selbst nicht das Ende. Wie sich auch nach dem Odido-Datenleck zeigte, beginnt das gezielte Phishing oft erst danach. Gestohlene Gesundheitsdaten sind Gold für gezieltes Phishing und Erpressung, gerade weil sie so persönlich sind. Eine gefälschte Nachricht 'vom Krankenhaus' über einen Termin oder eine Rechnung ist besonders glaubwürdig, wenn sie zur echten Situation passt.

Nach einem Lieferantenvorfall sollten Gesundheitsmitarbeitende daher besonders wachsam gegenüber Nachrichten sein, die das Nachrichtengeschehen aufgreifen: 'hier klicken, um zu prüfen, ob deine Daten geleakt wurden' ist ein klassischer Folge-Trick.

Kommuniziere das proaktiv an deine Leute und an Patienten: Erkläre, welche Nachrichten du verschickst und welche nicht, damit gefälschte Kommunikation schneller auffällt.

So verankerst du das in deinem Awareness-Programm

Nutze den ChipSoft-Fall, um das Gespräch über Lieferkettenrisiko konkret zu machen. Er passt direkt zur Frage, die jede Klinikleitung nach April 2026 stellt: 'Was, wenn es uns trifft?'

Mache Lieferantenrisiko zu einem wiederkehrenden Thema — nicht nur für IT und Einkauf, sondern auch für die Mitarbeitenden an der Front, die die Software nutzen.

  • Zielgruppe + Rhythmus: Gib Einkauf und Vertragsmanagement ein Modul zu Sicherheitsanforderungen an Lieferanten; gib Pflegeteams eine jährliche Ausweichübung (Patientenakte aus → Papierprozess).
  • Lege fest, wer bei einem Lieferantenvorfall was tut: melden, kommunizieren, ausweichen — bevor es schiefgeht.
  • Schule Mitarbeitende, Folge-Phishing nach einer Panne zu erkennen ('prüfe, ob du geleakt wurdest'-Nachrichten).
  • Miss, ob die Ausweichprozedur wirklich funktioniert: Wie schnell schaltet eine Abteilung um, ohne dass die Versorgung stillsteht?
  • Mehr Tiefe? Sieh dir an, wie du das über ein Security-Awareness-Programm verankerst.

Verwandte Artikel

Häufig gestellte Fragen

Wie kann ein Angriff auf ein Unternehmen so viele Krankenhäuser treffen?

Weil rund 70% der niederländischen Krankenhäuser dieselbe Patientenakte (HiX von ChipSoft) nutzen. Wenn so viele Organisationen auf einen Lieferanten setzen, entsteht Konzentrationsrisiko: Ein Angriff auf diesen Lieferanten trifft einen großen Teil der Branche auf einmal.

Was kann Awareness tun, wenn das Problem beim Lieferanten liegt?

Awareness kann die Sicherheit deines Lieferanten nicht erzwingen, aber deine Leute vorbereiten: beim Einkauf die richtigen Sicherheitsanforderungen stellen, Abweichungen früh erkennen und melden und wissen, wie man auf alternative Prozesse ausweicht, wenn das System eines anderen ausfällt.

Warum ist eine Ausweichübung für die Patientenakte wichtig?

Wenn das Patientenakten-System offline geht, müssen Mitarbeitende sofort auf Papier oder alternative Prozesse ausweichen können, ohne die Patientensicherheit zu gefährden. Das gelingt nur, wenn man es vorher geübt hat, nicht erst in der Krise.

Welche Regeln gelten für eine Panne mit Gesundheitsdaten?

Gesundheitsdaten sind besondere Kategorien personenbezogener Daten nach der DSGVO; eine Panne muss binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden. Große Kliniken gelten oft als KRITIS und unterliegen BSI-Vorgaben und der NIS2-Umsetzung.

Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel