Ein schwerer Cyberangriff auf den saarländischen Abrechnungsdienstleister Unimed hat bundesweit für erhebliche Unruhe im Gesundheitswesen gesorgt. Nach bisherigen Erkenntnissen wurden dabei Daten von Zehntausenden, inzwischen wohl deutlich mehr als 100.000 Patientinnen und Patienten abgegriffen, darunter vor allem Privatpatienten und Selbstzahler. Besonders brisant ist, dass nicht nur Stammdaten wie Namen, Geburtsdaten und Adressen betroffen sind, sondern in einzelnen Fällen auch Angaben mit Gesundheitsbezug, etwa Diagnosen, Behandlungsarten oder Kommunikationsinhalte im Zusammenhang mit Abrechnungsfragen.[pharmazeutische-zeitung]
Unimed selbst teilte mit, dass die Angreifer zwar keine vollständige Verschlüsselung der Systeme durchsetzen konnten, aber dennoch Daten aus einem begrenzten Systembereich entwendeten. Der Vorfall wurde Mitte April 2026 bekannt, seine Reichweite wurde jedoch erst in den folgenden Wochen durch Meldungen einzelner Kliniken nach und nach sichtbar. Nach Angaben aus Klinikverlautbarungen sind unter anderem Universitätskliniken und Krankenhäuser in Freiburg, Köln, Heidelberg, Ulm, Mainz, Homburg, Göttingen, Hannover und Oldenburg betroffen.[zeit]
Betroffene und Datenarten
Die betroffenen Datensätze unterscheiden sich je nach Einrichtung, reichen aber häufig von reinen Stammdaten bis zu Rechnungs- und Abrechnungsinformationen. Gerade diese Kombination macht den Vorfall für Betroffene heikel, denn aus Rechnungspositionen oder Korrespondenz lassen sich Rückschlüsse auf Diagnosen, Behandlungsanlässe oder medizinische Eingriffe ziehen. In Freiburg waren nach Angaben der Klinik rund 54.000 Personen betroffen; dort wurden neben Stammdaten in rund 900 Fällen auch Rechnungsdaten entwendet. Die Uniklinik Köln sprach von rund 30.000 Betroffenen, das Universitätsklinikum des Saarlands von gut 1.200 Fällen.[zeit]
Auch weitere Häuser meldeten konkrete Zahlen: Das Klinikum Oldenburg nannte 433 betroffene Datensätze, davon in 79 Fällen mit Gesundheitsdaten. Die Universitätsmedizin Göttingen berichtete von 2.500 abgegriffenen Datensätzen, die Medizinische Hochschule Hannover von 2.975, wobei ein Teil als sensibel eingestuft wurde. Das zeigt, dass der Angriff nicht nur große Kliniken, sondern in unterschiedlicher Tiefe ein breites Netz medizinischer Einrichtungen getroffen hat.[tagesschau]
Reaktion der Kliniken
Viele der betroffenen Kliniken reagierten unmittelbar nach Bekanntwerden mit einem Stopp der Datenübertragung an Unimed. Einige Einrichtungen informierten ihre Patientinnen und Patienten bereits individuell und richteten gesonderte Kontaktstellen oder E-Mail-Adressen für Rückfragen ein. Zugleich betonten mehrere Häuser, dass ihre internen Systeme und die Patientenversorgung selbst nicht betroffen gewesen seien, weil der Angriff den externen Dienstleister und nicht die Kliniken direkt traf.
Unimed erklärte, die eigenen Systeme seien inzwischen wieder vollständig arbeitsfähig und durch externe IT-Forensiker abgesichert worden. Nach Darstellung des Unternehmens gebe es keine Hinweise darauf, dass sich die Angreifer noch in der Infrastruktur befänden. Für die betroffenen Häuser endet die technische Arbeit damit aber nicht: Sie müssen Datenpannen bewerten, Aufsichtsbehörden informieren und Betroffene verständlich über Risiken und Schutzmaßnahmen unterrichten.
Ermittlungen und Warnungen
Die Ermittlungen laufen nach Angaben der Polizei beim Fachdezernat für qualifizierte Cybercrime des Landeskriminalamts. Zugleich sichern Ermittler digitale Spuren und werten sie aus; zu möglichen Tatverdächtigen oder Erpressungsforderungen wurden bislang keine Details veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik sowie Datenschutzbehörden warnen Betroffene vor Folgeangriffen, insbesondere vor Phishing, Schockanrufen und anderen gezielt zugeschnittenen Kontaktversuchen.[boerse-express]
Der Grund für diese Warnung liegt auf der Hand: Wer Name, Anschrift, Geburtsdatum, Klinikbezug und in Einzelfällen sogar medizinische Hinweise kennt, kann sehr glaubwürdig wirkende Nachrichten verfassen. Gerade im Gesundheitsbereich ist das Risiko hoch, dass Täter mit einer vermeintlich offenen Rechnung, einem angeblichen Rückruf aus der Klinik oder einer persönlichen Verifikation Druck auf Betroffene ausüben. E-Mails, Anhänge, Zahlungsaufforderungen und Telefonanrufe mit Krankenhausbezug sollten daher besonders kritisch geprüft werden.
Einordnung für den Gesundheitssektor
Der Vorfall zeigt, wie verletzlich ausgelagerte Prozesse im Gesundheitswesen sind. Wenn ein zentraler Abrechnungsdienstleister kompromittiert wird, kann das schnell hunderte Einrichtungen und zehntausende Patienten gleichzeitig betreffen. Besonders problematisch ist, dass Abrechnungsdaten im Gesundheitsbereich oft mehr verraten als klassische Kontaktdaten, weil aus ihnen sensible Rückschlüsse auf Behandlungen und Diagnosen möglich sind.
Aus datenschutzrechtlicher Sicht steht nicht nur die Frage im Raum, ob technische Schutzmaßnahmen ausreichend waren, sondern auch, wie schnell Vorfälle erkannt, eingedämmt und den Betroffenen transparent gemeldet wurden. Dass das genaue Schadensausmaß erst sukzessive sichtbar wurde, unterstreicht, wie komplex solche Kettenreaktionen bei zentralen Dienstleistern sind.
