Ein IT-Dienstleister für Krankenhäuser ist von einem Cyberangriff betroffen. Sensible Daten von Zehntausenden Patienten wurden gestohlen. Antworten auf die wichtigsten Fragen. Unbekannte Angreifer haben Mitte April die Systeme einer Abrechnungsfirma für Krankenhäuser angegriffen und dabei Zehntausende Daten von Patientinnen und Patienten erbeutet.

Laut der betroffenen Abrechnungsfirma Unimed konnte der Angriff nach kurzer Zeit abgewehrt werden. Das Ausmaß wurde erst in den vergangenen Tagen klar: Betroffen waren offenbar Kliniken aus dem gesamten Bundesgebiet. Unimed ist ein Abrechnungsdienstleister für Kliniken. Das heißt: Kliniken schreiben nicht selbst Rechnungen an Patienten, sondern lassen dies durch Firmen wie Unimed erledigen.

Bei der Attacke wurden laut Unimed ausschließlich Daten von Privatpatienten und Selbstzahlenden abgegriffen. Gesetzlich Versicherte können laut der Wissenschaftsministerin von Baden-Württemberg, Petra Olschowski (Grüne), betroffen sein, wenn sie für bestimmte Leistungen eine Zusatzversicherung abgeschlossen haben. Allein die Uniklinik Köln gab an, dass 30.000 Patientinnen und Patienten betroffen sind. Am Universitätsklinikum Düsseldorf war von mehr als 3.000 Fällen die Rede.

Die Angreifer erbeuteten Daten von mehr als 72.000 Patienten der Universitätskliniken Freiburg, Ulm, Heidelberg und Tübingen. Die Mainzer Universitätsmedizin nannte die Zahl von maximal 2.764 betroffenen Patientinnen und Patienten. Auch das UKE in Hamburg und das UKSH in Kiel berichten über abgegriffene Patientendaten: Allein am UKE sind mehr als 5.000 Patientinnen und Patienten betroffen. Das Universitätsklinikum des Saarlands meldete gut 1.200 Fälle.

Die Klinik teilte mit, dass die Angreifer Stammdaten wie Name, Anschrift und Geburtsdatum abrufen konnten. Teilweise gelang es ihnen aber auch, den Rechnungsverkehr einzusehen und damit Informationen über Krankheiten zu erbeuten. Ähnliche Informationen konnten die Angreifer auch von Hunderten UKE-Patienten erbeuten. Mit diesem Wissen könnten Phishing-Mails oder Erpressungsversuche sehr individuell zugeschnitten erfolgen, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Ziel des Cyberangriffs war die Firma Unimed aus dem Saarland. Man bedauere den entstandenen Schaden, hieß es. Zusammen mit Experten sei das System nach dem Angriff abgesichert worden. Inzwischen sei das Unternehmen wieder uneingeschränkt arbeitsfähig.

Unimed geht davon aus, dass die Angreifer die komplette Verschlüsselung des Systems planten. Das habe nicht verwirklicht werden können. Die Angreifer seien abgewehrt worden, zuvor seien jedoch Daten abgeflossen. "Die zuständige Datenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) wurden am 16. April 2026 informiert", heißt es in der Mitteilung der von dem Angriff betroffenen Uniklinik Freiburg.

Laut SWR wurde erst am 18. Mai festgestellt, wie groß das Datenleck tatsächlich ist. Das BSI rät Betroffenen, E-Mails, Anrufe oder andere Kontaktaufnahmen kritisch zu prüfen. Die Kriminellen versuchten häufig, ihre Opfer unter Druck zu setzen und zu vorschnellen Handlungen zu überreden.

Im Zweifel solle die Klinik kontaktiert werden. Laut Sebastian Schinzel, Professor für Elektrotechnik und Informatik an der FH Münster, verkaufen die Cyberkriminellen die erbeuteten Daten häufig im Darknet. Dieses Thema im Programm: WDR Fernsehen | Aktuelle Stunde | 22.05.2026 | 18:45 UhrNDR 90,3 | Nachrichten | 23.05.2026 | 07:00 UhrNDR Info | Nachrichten | 23.05.2026 | 10:30 Uhr