Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Insomnia Data Theft Gang läutet eine neue Ära der Cyberbedrohungen im Gesundheitswesen ein: Warum Perimeter-Sicherheit nicht mehr ausreicht

Insomnia Data Theft Gang läutet eine neue Ära der Cyberbedrohungen im Gesundheitswesen ein: Warum Perimeter-Sicherheit nicht mehr ausreicht

von Patrick Spencer updated Februar 25, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Ihre Firewall schützt Ihre Patientendaten nicht. Ihre Endpoint-Detection erkennt den Angreifer nicht. Ihre Perimeter-Sicherheitsstrategie wurde für Bedrohungen entwickelt, die heute nicht mehr existieren.

Das ist die unbequeme Realität, die Insomnia offenlegt – eine neue Cyberkriminalitätsoperation, die gezielt das US-Gesundheitswesen angreift. Seit dem ersten Auftreten im Oktober 2025 hat die Gruppe 18 mutmaßliche Opfer auf ihrer Datenleak-Seite veröffentlicht. Über die Hälfte davon stammt aus dem Gesundheitswesen – Krankenhäuser, Kliniken, Kanzleien für Arzthaftungsrecht und Hersteller chirurgischer Geräte.

Insomnia verschlüsselt keine Systeme und fordert keinen Entschlüsselungsschlüssel. Die Gruppe stiehlt Daten – Patientenakten, Führerscheine, Steuerformulare, vertrauliche Korrespondenz – und bietet sie zum kostenlosen Download an. Das ist Datenexfiltration im großen Stil und markiert einen grundlegenden Wandel in der Art und Weise, wie Cyberkriminelle das Gesundheitswesen ins Visier nehmen.

Fünf wichtige Erkenntnisse

  1. Eine neue Cybercrime-Gang jagt Gesundheitsdaten. Mit Insomnia ist eine Datendiebstahl-Operation im Darknet aufgetaucht, die 18 Opfer für sich beansprucht. Über die Hälfte davon hat direkte Verbindungen zum Gesundheitswesen – Anbieter, Kanzleien für Arzthaftungsrecht und Hersteller chirurgischer Geräte. Die Sicherheitsfirma Kela bestätigt, dass keines dieser Opfer zuvor auf Ransomware-Leak-Seiten erschien, was darauf hindeutet, dass Insomnia tatsächlich eine neue Operation und keine Umbenennung ist.
  2. Angreifer stehlen Daten, statt sie zu verschlüsseln. Insomnia setzt keine Ransomware ein. Die Gruppe stiehlt sensible Unterlagen – Patientenakten, Steuerdokumente, Führerscheine – und droht mit öffentlicher Veröffentlichung. Rapid7 beschreibt Insomnia als „optimiert für unauffälligen Datendiebstahl statt laute, störende Ransomware-Angriffe“. Backups und Notfallpläne helfen hier nicht. Sobald die Daten Ihr Netzwerk verlassen, ist der Schaden angerichtet.
  3. Gestohlene Zugangsdaten sind das Einfallstor. Insomnia verschafft sich Zugang über gestohlene Zugangsdaten, die durch Infostealer-Malware und Schwachstellen zur Authentifizierungsumgehung erbeutet werden. Anschließend bewegt sich die Gruppe seitlich im Netzwerk mit legitimen Tools wie Windows Server-Updates. Endpoint-Protection und Firewalls sind nicht darauf ausgelegt, Angreifer zu stoppen, die mit gültigem Benutzernamen und Passwort hereinkommen.
  4. Kleine und mittelgroße Gesundheitsorganisationen sind Hauptziele. Die meisten Opfer im Gesundheitswesen, die Insomnia zugeschrieben werden, haben einen Jahresumsatz zwischen 5 und 57 Millionen US-Dollar und beschäftigen zwischen 11 und 200 Mitarbeitende. Diese Organisationen verfügen weder über ein Security Operations Center noch über Enterprise Threat Detection oder Compliance-Fachkräfte. Geringe Sicherheitsreife ist der gemeinsame Nenner.
  5. Ransomware-Zahlungen sinken – Angreifer schwenken um. Laut einer Sophos-Umfrage zahlten 2025 nur noch 36 % der Ransomware-Opfer im Gesundheitswesen ein Lösegeld, gegenüber 61 % im Jahr 2022. Die durchschnittlichen Zahlungen sanken von 1,47 Millionen auf 150.000 US-Dollar. Angreifer reagieren darauf, indem sie auf reine Datenexfiltration umstellen. Wenn Organisationen nicht für die Entschlüsselung zahlen, folgt die Erpressung mit der Drohung, gestohlene Patientendaten zu veröffentlichen.

Warum das Gesundheitswesen immer wieder ins Fadenkreuz gerät

Das Gesundheitswesen war schon immer ein bevorzugtes Ziel für Cyberkriminelle. Die Branche verfügt über enorme Mengen an besonders schützenswerten Gesundheitsdaten mit hohem Schwarzmarktwert. Historisch gesehen waren viele Organisationen im Gesundheitswesen bereit, Lösegeld zu zahlen, um die Sicherheit der Patienten nicht zu gefährden.

Doch diese Rechnung geht nicht mehr auf. Laut Sophos zahlten 2025 nur noch 36 % der Ransomware-Opfer im Gesundheitswesen – 2022 waren es noch 61 %. Die durchschnittlichen Zahlungen sanken von 1,47 Millionen auf 150.000 US-Dollar. Das Gesundheitswesen wird für Cyberkriminelle schwieriger.

Die Angreifer passen sich an. Das Vorgehen von Insomnia spiegelt diesen Wandel wider: Statt den Betrieb mit Ransomware zu stören, stiehlt die Gruppe sensible Daten und droht mit Veröffentlichung. Die Privatsphäre von Patienten lässt sich nicht aus einem Backup wiederherstellen. Sind Gesundheitsdaten einmal auf einer Leak-Seite veröffentlicht, sind die Folgen unumkehrbar.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Doch können Sie es auch nachweisen?

Jetzt lesen

Wie Insomnia eindringt – und warum traditionelle Sicherheit versagt

Was Insomnia von klassischen Ransomware-Gruppen unterscheidet, ist das operative Vorgehen. Laut Christiaan Beek, Senior Director Threat Intel und Analytics bei Rapid7, ist Insomnia auf Geschwindigkeit und Unsichtbarkeit ausgelegt.

Die Gruppe verschafft sich Zugang über gestohlene Zugangsdaten, die durch Infostealer-Malware auf Untergrundmärkten gesammelt werden. Sie nutzt Schwachstellen zur Authentifizierungsumgehung, um Login-Schutzmechanismen zu umgehen. Im Netzwerk bewegt sich Insomnia mit autorisierten Tools wie Windows Server-Updates und tarnt sich so als normale administrative Aktivität. Rapid7 beschreibt das Modell als fokussiert auf „Geschwindigkeit, geringe Sichtbarkeit und maximale Erpressung durch die Offenlegung sensibler Daten“.

Es gibt zudem Hinweise, dass Insomnia als Broker oder Plattform für die Monetarisierung gestohlener Daten fungiert und möglicherweise mit anderen kriminellen Akteuren kooperiert, die den Erstzugang ins Netzwerk verschaffen.

Perimeter-Schutz – Firewalls, Intrusion-Detection-Systeme, Endpoint-Protection-Plattformen – wurde entwickelt, um Schadsoftware zu stoppen und verdächtigen Datenverkehr zu erkennen. Insomnia bringt aber keine Malware ins Unternehmen. Die Gruppe loggt sich mit legitimen Zugangsdaten ein und nutzt autorisierte Tools. Es gibt keine bösartige Nutzlast, die erkannt werden könnte.

Kleine und mittlere Anbieter: Maximale Angriffsfläche, minimale Verteidigung

Das Opferprofil von Insomnia zeigt eine gezielte Strategie. Die meisten betroffenen Organisationen im Gesundheitswesen haben einen Jahresumsatz zwischen 5 und 57 Millionen US-Dollar und beschäftigen 11 bis 200 Mitarbeitende. Dazu zählen Dermatologiepraxen, regionale Kliniken, spezialisierte OP-Zentren, Abrechnungsfirmen und Kanzleien für Arzthaftungsrecht.

Diese Organisationen stehen vor einer gefährlichen Lücke zwischen Bedrohung und Verteidigungsfähigkeit. Sie verfügen über die gleichen sensiblen Patientendaten wie große Krankenhaussysteme, haben aber nicht die Ressourcen, sie zu schützen. Eine orthopädische Praxis mit 50 Mitarbeitenden hat kein Security Operations Center. Eine Kanzlei für Arzthaftungsrecht mit 20 Millionen US-Dollar Umsatz betreibt keine Enterprise-Grade Threat Detection.

Die eingesetzten Tools – einfache Endpoint-Protection, Standard-Firewalls, Filesharing auf Verbraucherniveau und unverschlüsselte E-Mails – wurden nie dafür entwickelt, datengestützten Diebstahl mit gestohlenen Zugangsdaten zu verhindern.

Die Sicherheitsfirma Kela hat 2026 insgesamt 68 Organisationen im Gesundheitswesen identifiziert, die von Cybercrime-Gruppen angegriffen wurden, davon 50 in den USA. Dieses Muster zeigt finanzmotivierte Angriffe, die gezielt auf Chancen und geringe Sicherheitsreife setzen.

Warum das Perimeter-Modell dieses Problem nicht lösen kann

Zugangsdaten umgehen den Perimeter. Loggt sich ein Angreifer mit gültigen, gestohlenen Zugangsdaten über einen autorisierten Zugangspunkt ein, sieht der Perimeter eine legitime Verbindung. Es gibt nichts zu blockieren.

Erkennung setzt einen Erkennungsanlass voraus. Insomnia nutzt Windows Server-Updates und legitime Admin-Tools zur lateralen Bewegung im Netzwerk. Diese Aktionen ähneln normalen IT-Abläufen. Es gibt kein anomales Signal, das Sicherheitstools erkennen könnten.

Filesharing auf Verbraucherniveau hat keine Governance. Organisationen im Gesundheitswesen, die Gesundheitsdaten über Dropbox, Google Drive oder unverschlüsselte E-Mails versenden, haben keine Transparenz darüber, wer wann und von wo auf diese Daten zugreift. Es gibt keine Zugriffskontrolle außer einem geteilten Link und keinen Audit-Trail für HIPAA-Meldungen.

Backups schützen nicht vor Datendiebstahl. Robuste Backups und Notfallpläne – die klassische Ransomware-Abwehr – sind bei Datenexfiltration wirkungslos. Verschlüsselte Systeme lassen sich wiederherstellen. Gestohlene Patientendaten lassen sich nicht „unveröffentlichen“.

Von Perimeter-Sicherheit zu datenzentriertem Schutz

Um datengestützten Diebstahl mit gestohlenen Zugangsdaten zu stoppen, braucht es einen grundlegend anderen Ansatz. Statt die Netzwerkgrenze zu verteidigen, müssen Organisationen den Zugriff auf die Daten selbst kontrollieren – Identität verifizieren, Berechtigungen einschränken, Inhalte verschlüsseln und jede Interaktion protokollieren.

Authentifizierter Zugriff auf jede Datei. Jede Anfrage zum Anzeigen, Herunterladen oder Teilen geschützter Gesundheitsdaten muss eine verifizierte Identität über Multi-Faktor-Authentifizierung erfordern. Gestohlene Passwörter allein reichen nicht aus. Kontextbasierte Kontrollen blockieren Zugriffe von unerwarteten Standorten, unbekannten Geräten oder zu ungewöhnlichen Zeiten.

Zentrale Data Governance. Sensible Daten, die in einem gehärteten, überwachten Repository gespeichert werden – statt verstreut über Fileshares, E-Mail-Postfächer und persönliche Cloud-Konten – verhindern die unkontrollierte Verbreitung, die Angreifern zahlreiche Exfiltrationswege eröffnet.

Verschlüsselte Kommunikation. Über TLS 1.3 und FIPS 140-3 validierte Verschlüsselung übertragene Gesundheitsdaten können während der Übertragung nicht abgefangen werden. Sichere Kanäle für E-Mail, Filesharing und Drittparteien-Datenaustausch eliminieren die SMTP-Schwachstelle, die Gesundheitsdaten für Abfangversuche öffnet.

Umfassende Audit-Trails. Jeder Zugriff, Download, jede Weitergabe und Übertragung wird protokolliert – wer, was, wann, wo, wie. Echtzeit-Benachrichtigungen schlagen bei verdächtigen Mustern wie Massen-Downloads Alarm. SIEM-Integration ermöglicht die Korrelation mit anderen Bedrohungsindikatoren. Forensische Analysen rekonstruieren den Angriffsverlauf und zeigen das genaue Ausmaß des Vorfalls.

Sicherer Austausch mit Drittparteien. Das erweiterte Ökosystem des Gesundheitswesens – Versicherer, Labore, Fachärzte, Abrechnungsfirmen – schafft bei jedem Übergabepunkt ein Risiko für Datenexponierung. Authentifizierte, verschlüsselte Kanäle mit zeitlich begrenzten Berechtigungen für externe Nutzer verhindern, dass ein Partnerkompromiss zum eigenen Vorfall wird. Hier wird das Drittparteien-Risikomanagement von der Compliance-Checkbox zur operativen Notwendigkeit.

Kiteworks: Datenzentrierte Sicherheit für das Gesundheitswesen

Genau dieses Problem löst das Private Data Network von Kiteworks.

Kiteworks versucht nicht, Datendiebstahl am Netzwerk-Perimeter zu stoppen. Die Plattform kontrolliert den Zugriff auf die Daten selbst. Jede Interaktion mit geschützten Gesundheitsdaten läuft über eine zentrale Plattform mit einheitlicher Identitätsprüfung, Verschlüsselung, Zugriffskontrolle und Audit-Logging.

Traditionelle Endpoint-Protection kann Angreifer mit legitimen Zugangsdaten nicht stoppen. Firewalls erkennen keine Aktivitäten, die normalen Abläufen entsprechen. Filesharing auf Verbraucherniveau bietet keine HIPAA-konformen Zugriffskontrollen oder Audit-Trails. Kiteworks bündelt den gesamten Austausch von Gesundheitsdaten in einer kontrollierten Umgebung, in der gestohlene Zugangsdaten allein keinen Zugriff ermöglichen, jede Interaktion protokolliert wird und Exfiltrationsversuche automatisiert Gegenmaßnahmen auslösen.

Für CISOs ist es die zero-trust Datenarchitektur, die datengestützten Diebstahl verhindert. Für Compliance-Beauftragte ist es der Audit-Trail, der die Einhaltung der HIPAA Security Rule nachweist und die Meldung von Vorfällen unterstützt. Für CFOs von Organisationen im Insomnia-Zielbereich ist es Enterprise-Schutz ohne Enterprise-Budget – denn bei durchschnittlichen Kosten von 10,93 Millionen US-Dollar pro Datenpanne im Gesundheitswesen rechnet sich Prävention von selbst.

Das Zeitfenster schließt sich

Insomnia ist kein Einzelfall. Es ist das jüngste Signal eines klaren Trends. Da Ransomware-Zahlungen zurückgehen, schwenken Cybercrime-Gruppen auf Datendiebstahl um – gestohlene Gesundheitsdaten bieten dauerhafte Erpressungsmöglichkeiten. Neue Gruppen wie Qilin und Sinobi greifen weiterhin Organisationen im Gesundheitswesen mit geringer Sicherheitsreife an. 68 Organisationen im Gesundheitswesen wurden bereits 2026 angegriffen – und wir haben erst Februar.

Organisationen im Gesundheitswesen, die jetzt auf datenzentrierte Sicherheit setzen, schließen die Exfiltrationslücke, die Insomnia und ähnliche Gruppen ausnutzen. Sie schützen die Privatsphäre der Patienten, erfüllen HIPAA-Compliance-Anforderungen und vermeiden die durchschnittlichen Kosten von 10,93 Millionen US-Dollar pro Datenpanne. Wer weiterhin auf Perimeter-Schutz setzt, wird die Lücke auf die gleiche Weise entdecken wie die 18 bisherigen Opfer von Insomnia.

Patientendaten lassen sich nicht mehr durch den Schutz des Netzwerk-Perimeters sichern. Die Frage ist, ob Ihr Unternehmen seine Daten an der Quelle schützt, bevor der nächste datengestützte Angriff die Lücke findet, die Ihre aktuellen Tools nie schließen konnten.

Erfahren Sie, wie Kiteworks Sie unterstützen kann – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Insomnia ist eine Cybercrime-Operation, die erstmals im Oktober 2025 im Darknet mit 18 gemeldeten Opfern auftrat, von denen mehr als die Hälfte aus dem Gesundheitswesen stammt. Anders als klassische Ransomware-Gruppen konzentriert sich Insomnia auf den Diebstahl sensibler Daten statt auf die Verschlüsselung von Systemen. Die Gruppe nimmt das Gesundheitswesen ins Visier, weil dort besonders wertvolle Gesundheitsdaten lagern und viele kleine und mittlere Anbieter nur eine geringe Sicherheitsreife aufweisen.

Klassische Ransomware verschlüsselt Dateien und verlangt eine Zahlung für den Entschlüsselungsschlüssel. Insomnia verzichtet vollständig auf Verschlüsselung, stiehlt stattdessen sensible Daten und droht mit öffentlicher Veröffentlichung. Das ist entscheidend, weil Backups und Notfallpläne – die klassische Ransomware-Abwehr – bei Datenexfiltration wirkungslos sind. Sind Patientendaten einmal gestohlen und veröffentlicht, lässt sich der Schaden nicht rückgängig machen. Der einzige wirksame Schutz ist, zu verhindern, dass Gesundheitsdaten überhaupt das Unternehmen verlassen.

Perimeter-Sicherheitstools sind darauf ausgelegt, Schadsoftware und anomalen Netzwerkverkehr zu erkennen und zu blockieren. Insomnia umgeht diese Abwehr, indem sich die Gruppe mit gestohlenen Zugangsdaten über autorisierte Zugangspunkte einloggt und sich mit legitimen Tools wie Windows Server-Updates seitlich im Netzwerk bewegt. Da diese Aktivitäten normalen Abläufen ähneln, gibt es keine bösartige Nutzlast und kein anomales Signal, das erkannt werden könnte. Zero-trust-Datenschutz – Identitätsprüfung und Zugriffsbeschränkung auf Datenebene – ist die richtige Gegenmaßnahme.

Datenzentrierte Sicherheit verlagert den Schutz vom Netzwerk-Perimeter auf die Daten selbst. Der Zugriff auf sensible Dateien wird durch Multi-Faktor-Authentifizierung, granulare Berechtigungen, Verschlüsselung und umfassende Audit-Protokollierung kontrolliert. Selbst wenn ein Angreifer Zugangsdaten erbeutet, verhindert MFA unbefugten Zugriff. Granulare Berechtigungen begrenzen, was einzelne Konten erreichen können. Audit-Trails erkennen ungewöhnliche Zugriffsmuster und unterstützen forensische Analysen.

Kleine und mittlere Organisationen im Gesundheitswesen sollten drei Maßnahmen priorisieren: Multi-Faktor-Authentifizierung für jedes System mit Gesundheitsdaten durchsetzen, den Datenaustausch auf eine zentrale Plattform mit integrierten Zugriffskontrollen und Audit-Trails bündeln und Filesharing auf Verbraucherniveau sowie unverschlüsselte E-Mails für Patientendaten abschaffen. Enterprise-Schutz ist heute zum Mittelstands-Preis verfügbar – die durchschnittlichen Kosten von 10,93 Millionen US-Dollar pro Datenpanne übersteigen die Investition bei weitem.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsunternehmen zu besseren Alternativen treiben
  • Blogbeitrag Wie Sie klassifizierte Daten sichern, sobald DSPM sie erkennt
  • Blogbeitrag Vertrauen in generative KI mit einem Zero Trust-Ansatz aufbauen
  • Video Der definitive Leitfaden für die sichere Speicherung sensibler Daten für IT-Verantwortliche

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks