Der nächste Cybervorfall im Gesundheitswesen, bei dem Patientendaten abgeflossen sind. Der Anbieter Unimed ist ein Dienstleister aus dem Gesundheitswesen, der zur Abwicklung von Privatabrechnungen verwendet wird. Der Anbieter wurde, meinen Informationen nach, bereits im April 2026 angegriffen. Das Uniklinikum Freiburg warnt vor möglichem Datenabfluss. Hier die Informationen, die mir vorliegen.
Wer ist Unimed?
Unimed Abrechnungsservice ist eine privatärztliche Verrechnungsstelle mit Sitz in Wadern (Saarland), die auf Krankenhäuser und Chefärzte spezialisiert ist. Zusätzlich werden Standorte in Trier, Saarbrücken, St. Ingbert, Koblenz, Wiesbaden und Kaiserslautern betrieben. Dort bearbeitet unimed mit 1.000 Mitarbeitern jährlich über drei Millionen Privatabrechnungen.
Die Unimed Abrechnungsservice für Kliniken und Chefärzte GmbH ist seit 1984 am Markt und bietet als Full-Service-Abrechnungsunternehmen neben der Privatliquidation weitere Leistungen an (Quelle ist diese Webseite). "Bei Datenschutz und Datensicherheit arbeiten wir regelgerecht auf der Grundlage der DSGVO. Wir arbeiten unter strengen Compliance-Maßstäben mit Volljuristen im eigenen Hause. Egal ob digital oder analog, Safety first." heißt es auf der Webseite des Unternehmens.
Zwei Leserhinweise auf einen Cybervorfall
Die Nacht sind mir bereits zwei Hinweise auf einen Cybervorfall (einer benennt konkret Unimed) zugegangen. Ein Leser hat mich in einer persönlichen Nachricht auf Facebook mit "Hier hat es Unimed getroffen. Das ist ein Dienstleister im Gesundheitswesen zur Privatabrechnung. War schon im April, erst jetzt der Gang an die Öffentlichkeit." informiert (danke dafür).
Weiterhin ist mir aus der Ärzteschaft am gestrigen späten Nachmittag die gleiche Information zugegangen – wobei dort nur "ein Dienstleister" genannt wird (auch hier mein Dank für die prompte Versorgung mit Infos). Auf der Webseite des Unternehmens Unimed und in deren Patientenportal ist mir noch keine Meldung über den Vorfall untergekommen.
Die Zuweisung des Vorfalls zu Unimed ist derzeit (beim Schreiben der ersten Fassung des Beitrags) unbestätigt – werde da aber nachfragen/nachrecherchieren. Ergänzung: Auch die Saarbrücker Zeitung nennt in einem nachfolgend verlinkten Artikel den Dienstleister Unimed aus Wadern. Gleiches gilt für den nachfolgend zitierten SWR-Beitrag.
Was ist genau passiert?
Es sieht so aus, dass die Informationen äußerst spärlich und sehr zeitverzögert fließen, von Mitte April 2026, wo es den Vorfall gab, bis 21. Mai 2026, wo die Informationen öffentlich wurden, liegen doch einige Tage. Nachfolgend die Fragmente, die ich zusammenstellen konnte – eine dedizierte Information der Unimed habe ich nicht gefunden.
Presseinformation der Uniklinik Freiburg
Eine Information der Uniklinik Freiburg, die auch Kunde bei Unimed ist, besagt, dass "bei einem externen Dienstleister unter anderem Daten von rund 54.000 Patient*innen des Universitätsklinikums Freiburg entwendet wurden – Patient*innenversorgung und klinische Systeme [waren] zu keinem Zeitpunkt betroffen". Klasse gegendert, ob die auch Chefärzt*innen haben, konnte ich auf die Schnelle nicht herausfinden. Sind ja auch bloß wenige Betroffene und wichtiges wie Versorgung und klinische Systeme bleiben unberührt – auch Privatpatienten und Privatpatientinnen konnten weiter durch die Ärzte behandelt werden.
Nach aktuellem Stand ist ein Teil der Patienten mit privater (Zusatz-)Versicherung und Selbstzahler des Universitätsklinikums Freiburg in folgendem Maß betroffen: Von rund 54.000 Patienten wurden sogenannte Stammdaten wie Name, Geburtsdatum und Adresse gestohlen. In rund 900 Fällen wurden zudem Rechnungsdaten entwendet. Daraus können Informationen zu Diagnose und Behandlungsart hervorgehen. In einer einstelligen Zahl von Fällen waren auch Kontodaten betroffen.
"Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt. Ihr Diebstahl ist ein schwerwiegender Eingriff für die Betroffenen. Wir nehmen diesen Vorfall sehr ernst und fordern vom Dienstleister lückenlose Aufklärung. Parallel prüfen wir rechtliche Schritte", lässt sich Prof. Dr. Frederik Wenz, Leitender Ärztlicher Direktor des Universitätsklinikums Freiburg, zitieren.
Angriff im April 2016, verzögerte öffentliche Information
Der Cyberangriff auf den externen Dienstleister erfolgte nach bisherigen Erkenntnissen Mitte April 2026. Die zuständige Datenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) wurden am 16. April 2026 informiert. Da ist also bis zur gestrigen Veröffentlichung der Uniklinik Freiburg viel Wasser den Rhein herunter geflossen. Das Universitätsklinikum Freiburg stoppte unmittelbar nach Bekanntwerden des Vorfalls die Datenübertragung an den Dienstleister.
Seit Bekanntwerden hat das Universitätsklinikum Freiburg weitere Informationen vom Dienstleister eingefordert. Das konkrete Ausmaß und die Art der abgeflossenen Daten wurde erst am 18. Mai 2026 belastbar mitgeteilt. Was aber konkret bei Unimed passiert ist, bleibt in den öffentlichen Verlautbarungen, die ich gesehen habe, im Dunkeln.
Deshalb informierte das Universitätsklinikum Freiburg erst jetzt, nun aber "unverzüglich" die Öffentlichkeit, wie es in der Meldung heißt. Personen, bei denen es Hinweise darauf gibt, dass Gesundheitsdaten gestohlen worden sein können, werden in Kürze durch das Universitätsklinikum Freiburg persönlich kontaktiert.
Mehr Kliniken bzw. Unimed-Kunden betroffen
Der SWR hat gestern diesen Artikel mit einer guten Übersicht publiziert. Demnach sind Kliniken in Baden-Württemberg (Heidelberg, Tübingen, Freiburg etc.), im Saarland, und mutmaßlich in ganz Deutschland betroffen. Es scheint nun einen dpa-Meldung zu geben, wie ich im Artikel der Ärztezeitung lese, die weitere Betroffene und den jeweiligen Umfang nennt. Von der Uniklinik Köln gibt es ebenfalls eine Mitteilung über den Vorfall (siehe folgende Kommentare).
Jede Klinik und jeder Arzt, der mit Unimed für Privatabrechnungen kooperiert hat, dürfte potentiell betroffen sein. Aus der Mitteilung der Uniklinik Freiburg, oder diesem Artikel der Saarbrücker Zeitung lese ich heraus, dass da einige Unimed-Kunden irgendwie "verschnupft" sind und "lückenlose Aufklärung" fordern. Ich würde meinen, da ist die Hütte am Brennen.
MVP: 2013 – 2016
Nicht nur die Uniklinik Freiburg ist betroffen, sondern auch die Uniklinik Köln – alleine 30.000 Betroffene und und Klink der Universität des Saarlandes, siehe WDR:
https://www1.wdr.de/nrw/koeln/cyberangriff-krankenhaus-daten-patienten-100.html
Die Uniklinik Köln äußert sich u.a. wie folgt:
"Nach aktuellem Stand sind Daten von Patientinnen und Patienten der Uniklinik Köln in folgendem Umfang betroffen:
Allgemeine Daten: 27.298 Betroffene (zum Beispiel mit Name, Adresse, behandelnder Arzt sowie Rechnungssummen)
Gesundheitsdaten: 843 Betroffene (zum Beispiel Inhalte aus Patientenkommunikation mit dem Abrechnungsdienstleister)
Finanzdaten: 5 Betroffene (zum Beispiel IBAN, Kontonummern oder sonstige Bank- und Zahlungsdaten)
Auch wenn eine Veröffentlichung der entwendeten Daten nach Einschätzung der eingebundenen Experten des Dienstleisters nicht wahrscheinlich ist, wird die Uniklinik Köln alle Betroffenen in diesen Tagen persönlich über den Vorfall informieren. Sofern Patientinnen und Patienten kein Schreiben von der Uniklinik Köln erhalten, sind ihre Daten nicht kompromittiert worden.
Siehe: https://www.uk-koeln.de/uniklinik-koeln/aktuelles/detailansicht/cyberkriminelle-entwenden-patientendaten-bei-externem-abrechnungs-dienstleister/
Danke für den Link – es schlagen langsam weitere Meldungen auf – aber viel Konkretes immer noch nicht.
Schöne neue Welt der Digialisierung. as ist nur ein seichter Vorgeschmack auf das, was uns künftig erwartet. Digitalisierung mit der Brechstange und "Geiz ist geil" sind die Hauptprobleme. Dienstleister benutzen Systeme, die sie weder beherrschen noch verstehen. Überkomplexe Cloud Anwendungen und grottenschlechte Software tun ein übriges. Nur Daten, die nicht digital existieren sind sicher! Ich verbiete meinen behandelnden Ärzten grundsätzlich die Inanspruchnahme eines Dienstleister bzw. verbite einfach die Datenweitergabe. Behandeln müssen sie dennoch.
Zitat:
"Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt. Ihr Diebstahl ist ein schwerwiegender Eingriff für die Betroffenen. Wir nehmen diesen Vorfall sehr ernst und fordern vom Dienstleister lückenlose Aufklärung. Parallel prüfen wir rechtliche Schritte",
Zu guter Letzt sollte der Dienstleister Unimed auch noch ein saftiges Strafmaß bekommen, wegen der katastrophalen Informationspolitik. Dabei schreiben sie auf ihrer Internetseite:
"Bei Datenschutz und Datensicherheit arbeiten wir regelgerecht auf der Grundlage der DSGVO. Wir arbeiten unter strengen Compliance-Maßstäben mit Volljuristen im eigenen Hause. Egal ob digital oder analog, Safety first."
Das ist purer Hohn.
Spätestens jetzt sollte jedem klar sein, daß die Daten unter anderem der ePA doch nicht sicher sind. Die Dienstleister im Gesundheitssektor sollten jährlich einmal mit Penetration Tests ganz genau geprüft werden.
Ich habe selbst fast 5 Jahre für einen großen privaten Krankenhaus Konzern gearbeitet. Und was dort manchmal für haarsträubende Anfängerfehler gemacht werden, können sich viele nicht vorstellen. Dazu noch die Überheblichkeit der IT: Wir sind die Besten, die Anderen sind alle Stümper.