Der Startup Ultrahuman meldet am 27. März 2026 einen Datenleck im Gesundheitsbereich. Hacker nutzten die Anmeldedaten eines Mitarbeiters, um auf eine interne Datenbank zuzugreifen.
Ein infizierter Laptop als Eintrittspunkt
Über einen klassischen, aber effektiven Vektor gelang es Angreifern, in die Systeme von Ultrahuman einzudringen. Ein Mitarbeiter des indischen Startups nutzte einen Laptop, der mit Malware infiziert war, die darauf ausgelegt war, Anmeldedaten zu stehlen. Diese Daten ermöglichten es den Eindringlingen, auf ein internes Analyse-Tool zuzugreifen und somit Wellness-Daten eines Teils der Plattformnutzer preiszugeben. Der Vorfall ereignete sich am 27. März 2026, über zwei Monate bevor das Unternehmen seine Nutzer öffentlich informierte.
Das Unternehmen gibt an, den Einbruch schnell bemerkt und das betroffene System sofort offline genommen und alle Zugänge widerrufen zu haben. „Unsere Sicherheitswarnsysteme haben den Vorfall innerhalb von Stunden erkannt und wir haben die Schwachstelle schnell geschlossen“, sagte Mohit Kumar, Gründer und CEO von Ultrahuman, in einer Erklärung gegenüber TechCrunch. (Our security alerting systems detected the incident within hours, and we closed the vulnerability swiftly.)
Was Hacker einsehen konnten
Laut der offiziellen Seite von Ultrahuman auf seiner Website erhielten die Angreifer einen „Nur-Lese“-Zugriff auf das kompromittierte System. Konkret umfassten die potenziell offengelegten Informationen Kontodaten, Kontaktinformationen und eine Transaktionshistorie. Passwörter, Kreditkartendaten und Zahlungsinformationen waren hingegen nicht betroffen, ebenso wenig wie die Produktionssysteme und die Ultrahuman Ring-Geräte selbst.
„Am 27. März 2026 hatten wir einen Sicherheitsvorfall, aber zuerst die wichtigsten Fakten: Keine Passwörter, keine Kartendetails, keine Zahlungsdaten waren involviert, und wir haben keine Beweise für Missbrauch gefunden“, sagte Kumar in einer E-Mail an die betroffenen Nutzer. (On 27 March 2026, we had a security incident, but the most important facts first: no passwords, card details, or payment data were involved, and we have found no evidence of misuse.)
Der CEO verglich die Offenlegung mit einem verlorenen Bestellbeleg auf der Straße: sichtbare Identifikations- und Kontaktdaten, aber nichts Finanziell Sensibles. Das Unternehmen gibt an, seine internen Kontrollrichtlinien und die Sicherheit der Endpunkte auf den Geräten der Mitarbeiter nach dem Vorfall verstärkt zu haben.
Umfang des Vorfalls und Unklarheiten
Laut den von Ultrahuman mitgeteilten Zahlen waren etwa 0,1 % seiner Nutzer betroffen. Das Startup hatte im März 2026 etwa 700.000 monatlich aktive Nutzer, was die Zahl der betroffenen Personen auf mindestens 700 beläuft. Das Unternehmen bestritt diese Berechnung nicht, weigerte sich jedoch, eine genaue Zahl zu nennen.
Es bleiben erhebliche Unklarheiten. Ultrahuman hat nicht angegeben, ob tatsächlich biometrische Daten extrahiert oder nur eingesehen wurden, oder ob die Angreifer Kontakt mit dem Unternehmen aufgenommen haben. Das Startup hat auch nicht klargestellt, was genau unter „Wellness-Daten“ in diesem speziellen Kontext zu verstehen ist, was die Einschätzung des tatsächlichen Risikos für die betroffenen Nutzer erschwert. Das Unternehmen räumte außerdem ein, die Benachrichtigung der Nutzer verzögert zu haben, während der genaue Umfang des Vorfalls geprüft und die betroffenen Daten identifiziert wurden. Die zuständigen Aufsichtsbehörden wurden im Rahmen dieses Prozesses benachrichtigt.
Die an die Nutzer gesendete Warn-E-Mail fordert sie auf, angesichts von Phishing-Versuchen wachsam zu bleiben, eine übliche Vorsichtsmaßnahme nach einem solchen Vorfall, da die offengelegten Kontaktdaten für gezielte Phishing-Kampagnen missbraucht werden könnten.
Eine strukturelle Frage für den gesamten Sektor
Dieser Vorfall geht über den Einzelfall von Ultrahuman hinaus und verdeutlicht eine inhärente Schwachstelle im Markt für gesundheitsbezogene Wearables. Hersteller von Smart-Ringen und -Uhren, von Oura über Samsung bis hin zu Fitbit, zentralisieren naturgemäß sehr persönliche biometrische Daten auf ihren Servern: Schlafdaten, Herzfrequenz, Herzfrequenzvariabilität, Hauttemperatur, Zyklusverfolgung. Diese Zentralisierung bedeutet, dass ein unbefugter Zugriff, sei er von einem Mitarbeiter, einer Regierung oder einer böswilligen Gruppe, technisch immer möglich bleibt.
Ultrahuman wurde 2019 in Bengaluru gegründet und hat sich in diesem wettbewerbsintensiven Markt schrittweise mit seinem Ring Air, einem direkten Konkurrenten des Oura Ring, und zuletzt mit dem Ring Pro, ausgestattet mit verbesserten Sensoren und längerer Akkulaufzeit, etabliert. Das Startup hat bisher rund 103 Millionen US-Dollar eingesammelt, mit Unterstützung von Investoren wie Nexus Venture Partners, Steadview Capital und Blume Ventures. Das Unternehmen setzt auf einen Fokus auf den Schutz der Privatsphäre, eine Haltung, die durch diesen Vorfall auf die Probe gestellt wird. Es sei darauf hingewiesen, dass die beiden Akteure Ultrahuman und Oura bereits 2024 in einem Patentverletzungsverfahren vor der US-amerikanischen Internationalen Handelskommission (ITC) gegeneinander ausgesagt hatten, ein Rechtsstreit, der einige fragwürdige Geschäftspraktiken des indischen Startups ans Licht brachte.
Das Vertrauen der Nutzer in vernetzte Gesundheitsplattformen beruht auf der Fähigkeit dieser Unternehmen, einige der intimsten Daten zu schützen. Dieser Vorfall erinnert daran, dass ein internes Analyse-Tool, das in der Sicherheitsarchitektur eines Unternehmens oft als nachrangig betrachtet wird, ein ausreichender Einstiegspunkt sein kann, um persönliche Informationen in großem Umfang offenzulegen. Betroffene Ultrahuman-Nutzer sollten in den kommenden Wochen auf mögliche betrügerische Kontaktversuche achten und die vom Unternehmen veröffentlichte offizielle Informationsseite konsultieren, um Details zu den sie betreffenden Daten zu erfahren.