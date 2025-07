Radix mit Hauptsitz in Zürich Im Juni wurde die Gesund­heits­stiftungRadix mit Hauptsitz in Zürich Opfer eines Cyberangriffs. Dabei kam es laut der Organisation zu einem erheblichen Schaden in den IT-Systemen und auch ein Datenabfluss wurde festgestellt. Später stellte sich heraus, dass auch Daten des Bundes betroffen waren. Die Ransomware-Bande Sarcoma forderte Lösegeld und drohte mit der Veröffentlichung der Daten, sollte dieses nicht bezahlt werden.

zeigen, beinhaltet der Datensatz auch besonders schützenswerte Informationen. So sind darin etwa persönliche Daten von über 1300 spielsüchtigen Menschen einsehbar, darunter Informationen zu den familiären und finanziellen Verhältnissen oder auch dazu, wieviel Geld sie bereits verspielt haben. Die Cyberkriminellen machten ihre Drohung wahr und publizierten Anfang Juli rund 1,3 Terabyte Daten. Wie Recherchen von 'SRF' zeigen, beinhaltet der Datensatz auch besonders schützenswerte Informationen. So sind darin etwa persönliche Daten von über 1300 spielsüchtigen Menschen einsehbar, darunter Informationen zu den familiären und finanziellen Verhältnissen oder auch dazu, wieviel Geld sie bereits verspielt haben.

Wie 'SRF' schreibt, verfügen die meisten der Betroffenen über eine Spielsperre in Schweizer Casinos. Dabei hatten sie mit dem Zentrum für Spielsucht und andere Verhaltenssüchte zu tun. Dieses wird von Radix betrieben und klärt ab, ob sich eine Person entsperren und wieder zum Glücksspiel zugelassen werden kann. Für eine solche Abklärung sind zahlreiche Dokumente notwendig, die sich jetzt einfach im Darkweb finden lassen.

Schlecht informiert

Radix hat die Betroffenen laut eigenen Angaben über den Vorfall informiert. Laut 'SRF' hat das aber nicht immer geklappt. So hat eine Person die Meldung erst nach der Kontaktaufnahme durch die Medien entdeckt. Zwei weitere haben die Nachricht zwar erhalten, doch bei der Durchsicht des Dokuments war ihnen nicht klar, welche heikle Daten von ihnen entwendet wurden.

In einer Stellungnahme an 'SRF' schreibt Radix, das man alles unternommen habe, um die betroffenen Personen vorab und mit der gebotenen Sensibilität zu informieren. "Die Benachrichtigungen erfolgten je nach Verfügbarkeit der Kontaktdaten per E-Mail, SMS oder Briefpost", so die Gesundheitsstiftung.

Aus Datenschutzgründen habe man darauf geachtet, dass nicht explizit erwähnt werde, weshalb jemand diesen Brief bekommen habe. Dabei gesteht Radix auch ein, dass die Kommunikation nicht sehr klar war: "Uns ist bewusst, dass diese notwendige Zurückhaltung dazu geführt haben kann, dass einige Personen den Zusammenhang nicht sofort erkennen konnten."

Dies wird laut 'SRF' auch von Dominika Blonski, der Datenschutzbeauftragten des Kantons Zürich, kritisiert: "Wenn sich eine Institution entscheidet, die Information der betroffenen Personen vorzunehmen, dann muss sie das umfassend machen. Und sie muss vor allem auf eine Art und Weise informieren, die auch verstanden wird", so Blonski.

Leck trotz Investitionen

Die Stiftung Radix schreibt auf die Anfrage von SRF, dass man insbesondere im letzten Jahr erhebliche Investitionen in die Cybersicherheit getätigt habe. Trotzdem sei es der Ransomware-Bande gelungen, über eine Zero-Day-Schwachstelle in ihre Systeme einzudringen und sensible Daten zu entwenden.

Radix hat im Nachgang die gesamte Infrastruktur neu aufgebaut. Dabei seien auch neue Sicherheitsmassnahmen für besonders schützenswerten Daten implementiert worden. So seien inzwischen alle internen Prozesse zur Datenhaltung umfassend überprüft und angepasst worden. Sensible Daten würden neu systematisch getrennt, sicher archiviert, regelmässig überprüft und nach definierten Fristen gelöscht.

Die Stiftung schreibt ausserdem, sie sei "zutiefst erschüttert" und bedauere den Vorfall ausserordentlich. Man werde alles daran setzen, daraus zu lernen, die Schutzmassnahmen weiter zu verbessern und das Vertrauen der betroffenen Personen und der Auftraggebenden zu stärken.