Bei einem Cyberangriff auf den Abrechnungsdienstleister Unimed sind Patientendaten aus mehreren deutschen Universitätskliniken entwendet worden. Betroffen sind nach Angaben der Kliniken vor allem Patientinnen und Patienten mit privater Versicherung, privater Zusatzversicherung, wahlärztlichen Leistungen oder Selbstzahler. Die Zahl der gemeldeten Fälle liegt inzwischen bei mehr als 100.000 betroffenen Datensätzen. Die klinischen Systeme der Kliniken und die Patientenversorgung waren nach Angaben der betroffenen Häuser nicht betroffen.
Der Angriff richtete sich nicht gegen die Kliniken selbst, sondern gegen die unimed Abrechnungsservice für Kliniken und Chefärzte GmbH mit Sitz in Wadern im Saarland. Das Unternehmen erklärte, es gehe davon aus, dass der Angriff auf eine Verschlüsselung des eigenen Systems gezielt habe. Diese Verschlüsselung sei nicht verwirklicht worden. Bevor die Angreifer abgewehrt werden konnten, seien jedoch Daten aus einem begrenzten Bereich entwendet worden. Dieser Bereich enthielt nach Unimed-Angaben auch Kommunikation zu Abrechnungswidersprüchen von Privatpatienten und Selbstzahlern.
Unklar blieb zunächst, ob eine konkrete Lösegeldforderung gestellt wurde. Bestätigt war zunächst nur, dass Unimed von einem Angriff mit dem Ziel einer Systemverschlüsselung ausging und dass Daten abgeflossen sind. Das Unternehmen meldete den Vorfall nach eigenen Angaben den zuständigen Behörden und der Polizei. Zudem wurden Datenschnittstellen zu Kunden vorsorglich getrennt.
Besonders viele Fälle meldete das Universitätsklinikum Freiburg. Dort wurden nach Klinikangaben Stammdaten von rund 54.000 Patientinnen und Patienten entwendet. Dazu zählen Name, Geburtsdatum und Adresse. In rund 900 Fällen wurden außerdem Rechnungsdaten gestohlen, aus denen Informationen zu Diagnose und Behandlungsart hervorgehen können. In einer einstelligen Zahl von Fällen waren auch Kontodaten betroffen.
Die Uniklinik Köln meldete rund 30.000 betroffene Patientendaten. Nach aktuellem Stand geht es dort um 27.298 Fälle mit allgemeinen Daten, 843 Fälle mit Gesundheitsdaten und fünf Fälle mit Finanzdaten. Zu den allgemeinen Daten zählen unter anderem Name, Adresse, behandelnder Arzt und Rechnungssummen. Die Klinik will die Betroffenen individuell per Brief informieren.
Auch das Universitätsklinikum Heidelberg meldete entwendete Daten von rund 11.000 Patientinnen und Patienten. In etwa 2.700 Fällen sind aller Wahrscheinlichkeit nach auch Rechnungsdaten betroffen. Das Universitätsklinikum Tübingen bezifferte den Datendiebstahl auf rund 5.000 Patientendaten, darunter etwa 1.200 Fälle mit Gesundheitsdaten und rund 3.800 Fälle mit allgemeinen Finanzdaten.
Das Universitätsklinikum Ulm meldete rund 1.600 betroffene Patientinnen und Patienten. In etwa 300 Fällen wurden dort rechnungsrelevante Daten entwendet. Die Universitätsmedizin Mainz sprach von maximal 2.764 betroffenen Patientinnen und Patienten. Das Universitätsklinikum des Saarlandes meldete 1.266 Betroffene, darunter 400 Fälle mit Daten, aus denen Informationen zu Diagnose und Behandlungsart hervorgehen können.
Die betroffenen Häuser betonen übereinstimmend, dass die Patientenversorgung nicht beeinträchtigt war. Auch klinische Systeme der Krankenhäuser sollen nach den bisherigen Angaben nicht betroffen gewesen sein. Mehrere Kliniken stoppten nach Bekanntwerden des Vorfalls die Datenübertragung an den Dienstleister. Die Universitätskliniken Freiburg, Tübingen und Ulm verwiesen zudem darauf, dass Datenschutzbehörden und das Bundesamt für Sicherheit in der Informationstechnik informiert wurden.
Für Betroffene liegt das Risiko vor allem in der Sensibilität der entwendeten Daten. Stammdaten wie Name, Adresse und Geburtsdatum können für Identitätsmissbrauch oder gezielte Betrugsversuche verwendet werden. Gesundheitsdaten und Rechnungsdaten wiegen besonders schwer, weil sie Rückschlüsse auf Diagnosen, Behandlungen oder Krankheitsverläufe zulassen können. Hinweise auf einen bereits bestätigten Missbrauch der Daten lagen zunächst nicht vor.
Der Vorfall trifft einen Bereich, der seit Jahren als besonders anfällig gilt. Kliniken, Abrechnungsstellen, Labore und andere Gesundheitsdienstleister verarbeiten große Mengen sensibler Daten. Zugleich sind viele Prozesse eng mit externen Dienstleistern verbunden. Genau diese Schnittstellen können zum Risiko werden, auch wenn die eigentlichen Kliniksysteme nicht direkt angegriffen werden.
Das Bundeskriminalamt und das Bundesinnenministerium sehen Ransomware weiterhin als zentrale Bedrohung. Im Bundeslagebild Cybercrime 2025 wurden 1.041 angezeigte Ransomware-Angriffe genannt, ein Anstieg um zehn Prozent gegenüber dem Vorjahr. Besonders betroffen sind Unternehmen und öffentliche Einrichtungen.
Mehrere Kliniken kündigten an, betroffene Patientinnen und Patienten persönlich zu benachrichtigen. Wer kein Schreiben erhalte, sei nach Darstellung einzelner Kliniken nicht betroffen. Zugleich fordern mehrere Häuser vom Dienstleister eine weitere Aufklärung des Vorfalls und prüfen rechtliche Schritte. Die genauen Hintergründe des Angriffs blieben zunächst offen.
Für Patientinnen und Patienten bedeutet der Vorfall vor allem, wachsam zu bleiben. Besondere Vorsicht ist bei unerwarteten Rechnungen, Zahlungsaufforderungen, Anrufen angeblicher Krankenkassen oder Klinikstellen und Nachfragen zu Bankdaten geboten. Bankdaten, Passwörter oder Zugangscodes sollten nicht telefonisch oder über Links aus unerwarteten Nachrichten weitergegeben werden.
Texte werden mit Unterstützung von KI-Tools erstellt und vor Veröffentlichung redaktionell geprüft. Mehr dazu