faq
Von Kiel bis Freiburg sind Kliniken von einem Cyberangriff betroffen. Dabei wurden sensible Daten von Zehntausenden Patienten gestohlen. Was ist genau passiert? Wer ist betroffen? Was raten Experten? Antworten auf die wichtigsten Fragen.
Was ist passiert?
Unbekannte Angreifer haben Mitte April die Systeme einer Abrechnungsfirma für Krankenhäuser angegriffen und dabei Zehntausende Daten von Patientinnen und Patienten erbeutet. Laut der betroffenen Abrechnungsfirma Unimed konnte der Angriff nach kurzer Zeit abgewehrt werden. Das Ausmaß wurde erste in den vergangen Tagen klar: Betroffen waren offenbar Kliniken aus dem gesamten Bundesgebiet.
Unimed ist ein Abrechnungsdienstleister für Kliniken. Das heißt: Kliniken schreiben nicht selbst Rechnungen an Patienten, sondern lassen dies durch Firmen wie Unimed erledigen.
Welche Daten sind betroffen?
Bei der Attacke wurden laut Unimed ausschließlich Daten von Privatpatienten und Selbstzahlenden abgegriffen. Gesetzlich Versicherte können laut der Wissenschaftsministerin von Baden-Württemberg, Petra Olschowski (Grüne), betroffen sein, wenn sie für bestimmte Leistungen eine Zusatzversicherung abgeschlossen haben.
Allein die Uniklinik Köln gab an, dass 30.000 Patientinnen und Patienten betroffen sind. Am Universitätsklinikum Düsseldorf war von mehr als 3.000 Fällen die Rede. In Baden-Württemberg erbeuteten die Angreifer Daten von mehr als 72.000 Patienten der Universitätskliniken Freiburg, Ulm, Heidelberg und Tübingen. Die Mainzer Universitätsmedizin nannte die Zahl von maximal 2.764 betroffenen Patientinnen und Patienten. Auch das UKE in Hamburg und das UKSH in Kiel berichten über abgegriffene Patientendaten: Allein am UKE sind mehr als 5.000 Patientinnen und Patienten betroffen.
Das Universitätsklinikum des Saarlands meldete gut 1.200 Fälle. Die Klinik teilte mit, dass die Angreifer Stammdaten wie Name, Anschrift und Geburtsdatum abrufen konnten. Teilweise gelang es ihnen aber auch, den Rechnungsverkehr einzusehen und damit Informationen über Krankheiten zu erbeuten. Ähnliche Informationen konnten die Angreifer auch von Hunderten UKE-Patienten erbeuten.
Mit diesem Wissen könnten Phishing-Mails oder Erpressungsversuche sehr individuell zugeschnitten erfolgen, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Was ist Phishing?
Phishing ist eine Form der Cyberkriminalität. Das Kunstwort Phishing leitet sich aus den englischen Begriffen „Password“ (deutsch: Passwort) und „Fishing“ (deutsch: Angeln) ab.
Phishing-Angreifer treten mit falscher Identität auf – etwa als Vertreter von Banken, Dienstleistern oder wie im aktuellen Fall als Signal-Mitarbeiter. Per E-Mail, Textnachricht oder Telefonanruf werden die Opfer oft auf gefälschte Websites geleitet. Dort werden sie beispielsweise zur Eingabe ihres Passwortes aufgefordert. Anschließend haben die Angreifer Zugriff auf die Daten der Betroffenen. Laut Bundesamt für Sicherheit und Informationstechnik haben schon 62 Prozent der Deutschen Phishing-Mails erhalten.
Was sagt das angegriffene Unternehmen?
Ziel des Cyberangriffs war die Firma Unimed aus dem Saarland. Man bedauere den entstandenen Schaden, hieß es. Zusammen mit Experten sei das System nach dem Angriff abgesichert worden. Inzwischen sei das Unternehmen wieder uneingeschränkt arbeitsfähig.
Unimed geht davon aus, dass die Angreifer die komplette Verschlüsselung des Systems planten. Das habe nicht verwirklicht werden können. Die Angreifer seien abgewehrt worden, zuvor seien jedoch Daten abgeflossen.
„Die zuständige Datenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) wurden am 16. April 2026 informiert“, heißt es in der Mitteilung der von dem Angriff betroffenen Uniklinik Freiburg. Laut SWR wurde erst am 18. Mai festgestellt, wie groß das Datenleck tatsächlich ist.
Was können Betroffene tun?
Das BSI rät Betroffenen, E-Mails, Anrufe oder andere Kontaktaufnahmen kritisch zu prüfen. Die Kriminellen versuchten häufig, ihre Opfer unter Druck zu setzen und zu vorschnellen Handlungen zu überreden. Im Zweifel solle die Klinik kontaktiert werden.
Laut Sebastian Schinzel, Professor für Elektrotechnik und Informatik an der FH Münster, verkaufen die Cyberkriminellen die erbeuteten Daten häufig im Darknet.
Mit Informationen von Jörg Sauerwein, WDR
