Cyberangriff auf die ARWINI (Rezeptprüfung in Niedersachsen) mit Datenabfluss

Es hat nach einem erfolgreichen Cyberangriff auf die Rezeptprüfungsstelle ARWINI in Niedersachsen einen Datenabfluss gegeben. Davon könnten bis zu 80.000 Patienten-Datensätze betroffen sein, die bei diesem Angriff erbeutet worden sind. Hier einige Informationen, was bekannt ist.

Was ist die ARWINI?

Bei der ARWINI handelt es sich um die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen e.V., das ist die Trägerorganisation der Prüfungsstelle Niedersachsen. Die  ARWINI prüft Rezepte, die Ärztinnen und Ärzte in Niedersachsen für gesetzlich Versicherte ausstellen, auf Wirtschaftlichkeit.

Cyberangriff auf die ARWINI

Das Thema ist mir über zwei Schienen zugegangen. Im Diskussionsbereich hat sich ein ungenannt bleiben wollender Leser mit "Infosplitter: Hacker greifen Gesundheitssystem in Niedersachsen an: Daten von Zehntausenden Versicherten betroffen?" per Kommentar gemeldet. Der Leser verlinkte auf einen Beitrag der Hannoversche Allgemeine (Paywall)  und fragte "Was mir nicht ganz klar ist bei der Berichterstattung, wer wurde jetzt gehackt und noch viel wichtiger, wer ist betroffen und wie stelle ich fest, dass ich betroffen bin?"

Heute Vormittag habe ich per Mail aus der Ärzteschaft einige Informationen mehr erhalten (danke dafür). Dort hieß es, dass die Kassenärztliche Vereinigung Niedersachsen, die neben gesetzlichen Krankenkassen wie AOK und Techniker Krankenkasse zu den Trägerinnen von ARWINI gehört, bestätigte den Vorfall.

Der NDR hat im Beitrag Hackerangriff: Daten von Zehntausenden Versicherten betroffen? einige Details veröffentlicht. Am 4. Mai 2026 wurde laut der Kassenärztlichen Vereinigung Niedersachsen ein Hackerangriff auf die ARWINI entdeckt, worauf alle Systeme sofort heruntergefahren wurden. Aus der Formulierung "Die Hacker hinterließen demnach eine Botschaft. " des NDR schließe ich, dass es eine Ransomware-Infektion gewesen sein könnte.

"Nach derzeitigen Erkenntnissen ist es wahrscheinlich, dass personenbezogene und auch besonders schützenswerte Daten betroffen sind", wird vom NDR aus einer Mitteilung von ARWINI zitiert. Von der Organisation wurde die Datenschutzverletzung laut NDR umgehend dem Landeskriminalamt und der Datenschutzaufsichtsbehörde Niedersachsen gemeldet.

Auf den Arbeitsalltag der Arztpraxen in Niedersachsen wirke sich der Vorfall laut KVN nicht aus. Rezepte könnten weiterhin wie gewohnt ausgestellt werden. Möglichen Betroffenen empfiehlt ARWINI, besonders aufmerksam bei Kontaktaufnahmen zu sein. Versicherte sollten Daten nicht telefonisch oder elektronisch preisgegeben. Verdächtige E-Mails oder Anhänge sollten nicht geöffnet werden, heißt es laut NDR von dem Verein.

Wer betroffen sein könnte, und welche Daten konkret abgeflossen sind, wird nicht offen gelegt. Generell ist aber davon auszugehen, dass es sich um die kompletten, in der Prüfung befindlichen Rezeptdaten, die Namen und die Anschrift des Versicherten, dessen eKG-Nummer, die verordneten Medikamente sowie die Angaben zum ausstellenden Arzt samt dessen Praxisinformationen handelt. Dass sind hoch sensible Daten, die nicht in fremde Hände gehören.

Der Vorfall könnte ein Vorgeschmack sein, was gesetzlich Versicherten durch die ePA blüht. Denn die Daten aus der ePA sollen, neben den Abrechnungsdaten und weiteren Daten der gesetzlich Versicherten, ab Mitte 2025 automatisch an das Forschungsdatenzentrum Gesundheit übermittelt werden. Dort sollen über den Spitzenverband der gesetzlichen Krankenkassen unter anderem die von den Pflege- und Krankenkassen "übermittelten Daten […] in versichertenbezogene Datensätze zusammen" geführt werden (siehe mein Artikel Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den "Datenschatz").