{"id":325055,"date":"2026-05-16T12:30:23","date_gmt":"2026-05-16T10:30:23","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=325055"},"modified":"2026-05-19T17:01:24","modified_gmt":"2026-05-19T15:01:24","slug":"cyberangriff-auf-die-arwini-rezeptpruefung-in-niedersachsen-mit-datenabfluss","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/16\/cyberangriff-auf-die-arwini-rezeptpruefung-in-niedersachsen-mit-datenabfluss\/","title":{"rendered":"Cyberangriff auf die ARWINI (Rezeptpr\u00fcfung in Niedersachsen) mit potentiellem Datenabfluss"},"content":{"rendered":"

\"SicherheitEs hat nach einem erfolgreichen Cyberangriff auf die Rezeptpr\u00fcfungsstelle ARWINI in Niedersachsen einen Datenabfluss gegeben. Davon k\u00f6nnten bis zu 80.000 Patienten-Datens\u00e4tze betroffen sein, die bei diesem Angriff erbeutet worden sind, hei\u00dft es. Hier einige Informationen, was bekannt ist – wobei vieles f\u00fcr mich widerspr\u00fcchlich ist. Erg\u00e4nzung<\/strong>: Es fand ein Datenabfluss statt.<\/p>\n

<\/p>\n

Wer ist die ARWINI?<\/h2>\n

\"\"Bei der ARWINI handelt es sich um die Arbeitsgemeinschaft Wirtschaftlichkeitspr\u00fcfung Niedersachsen e.V., das ist die Tr\u00e4gerorganisation der Pr\u00fcfungsstelle Niedersachsen. Die\u00a0 ARWINI pr\u00fcft Rezepte, die \u00c4rztinnen und \u00c4rzte in Niedersachsen f\u00fcr gesetzlich Versicherte ausstellen, auf Wirtschaftlichkeit.<\/p>\n

\"Arwini<\/a><\/p>\n

Anmerkung:<\/em> Aktuell ist die Webseite der Organisation \"down\", obiger Screenshot stammt von der Wayback Machine, wobei 2026 keine Snapshots mehr aufgezeichnet wurden. Ob die Webseite bereits l\u00e4nger offline war oder durch nachfolgenden erw\u00e4hnten Cyberangriff beeintr\u00e4chtigt wurde, muss ich daher offen lassen.<\/p><\/blockquote>\n

Cyberangriff auf die ARWINI<\/h2>\n

Das Thema ist mir \u00fcber zwei Schienen zugegangen. Im Diskussionsbereich hat sich ein ungenannt bleiben wollender Leser mit \"Infosplitter: Hacker greifen Gesundheitssystem in Niedersachsen an: Daten von Zehntausenden Versicherten betroffen?\" per Kommentar gemeldet. Der Leser verlinkte auf einen Beitrag der Hannoversche Allgemeine (Paywall)\u00a0 und fragte \"Was mir nicht ganz klar ist bei der Berichterstattung, wer wurde jetzt gehackt und noch viel wichtiger, wer ist betroffen und wie stelle ich fest, dass ich betroffen bin?<\/em>\"<\/p>\n

Heute Vormittag habe ich per Mail aus der \u00c4rzteschaft einige Informationen mehr erhalten (danke daf\u00fcr). Dort hie\u00df es, dass die Kassen\u00e4rztliche Vereinigung Niedersachsen, die neben gesetzlichen Krankenkassen wie AOK und Techniker Krankenkasse zu den Tr\u00e4gerinnen von ARWINI geh\u00f6rt, den Vorfall best\u00e4tigt habe.<\/p>\n

Magere Details \u00fcber den Vorfall<\/h3>\n

Der NDR hat im Beitrag\u00a0Hackerangriff: Daten von Zehntausenden Versicherten betroffen?<\/a> einige Details (unter Bezug auf den Beitrag der Hannoversche Allgemeine)\u00a0ver\u00f6ffentlicht. Der Inhalt dieses Artikels ist f\u00fcr mich aber widerspr\u00fcchlich bis zum Abwinken.<\/p>\n

Was fest steht: Am 4. Mai 2026 wurde laut der Kassen\u00e4rztlichen Vereinigung Niedersachsen ein Hackerangriff auf die ARWINI entdeckt, worauf alle Systeme sofort heruntergefahren wurden.<\/p>\n

Aus der Formulierung \"Die Hacker hinterlie\u00dfen demnach eine Botschaft.\" des NDR schlie\u00dfe ich, dass es eine Ransomware-Infektion gewesen sein k\u00f6nnte. Aber das ist absolute Spekulation –\u00a0 Details zur \"Botschaft\" hat man ja keine offen gelegt. Von der Organisation\u00a0wurde die Datenschutzverletzung laut NDR umgehend dem Landeskriminalamt und der Datenschutzaufsichtsbeh\u00f6rde Niedersachsen gemeldet.<\/p>\n

\u00c4u\u00dferst widerspr\u00fcchliche Informationen<\/h3>\n

Im Nachgang ist mir aufgefallen, wie widerspr\u00fcchlich auch weitere Angaben im NDR-Beitrag sind. Einerseits wird vom NDR aus einer Mitteilung von ARWINI zitiert: \"Nach derzeitigen Erkenntnissen ist es wahrscheinlich, dass personenbezogene und auch besonders sch\u00fctzenswerte Daten betroffen sind\". Andererseits zitiert der NDR J\u00fcrgen Recha, externer Datenschutzbeauftragter von Arwini, mit der Aussage \"Es gehe um bis zu 80.000 anonymisierte Datens\u00e4tze.\".<\/p>\n

Alleine diese beiden Ausrisse stehen im Widerspruch zueinander. Bei anonymisierten Datens\u00e4tzen kann es keinen Abfluss \"personenbezogene und auch besonders sch\u00fctzenswerte Daten\"\u00a0 gegeben haben. Andererseits sto\u00dfe ich mich sofort an der Formulierung \"anonymisierte Datens\u00e4tze\" des externen Datenschutzbeauftragten von ARWINI. Nach allem, was ich so mitbekomme, d\u00fcrften es bestenfalls pseudonymisierte Daten gewesen sein. Die gesamten Aussagen sind entweder bewusste Nebelkerzen, oder Informationen, die mangels besserem Wissen an den Journalisten der Hannoversche Allgemeine\u00a0 sowie an dpa (Deutsche Presseagentur) weitergegeben wurden und nun durch das Internet m\u00e4andern. Beides ist in meinen Augen wenig f\u00f6rderlich.<\/p><\/blockquote>\n

Wer betroffen sein k\u00f6nnte, und welche Daten konkret abgeflossen sind, wird nicht offen gelegt. In Nebens\u00e4tzen wird klar, dass ARWINI selbst noch nicht wei\u00df, was abgeflossen ist. Dies schlie\u00dfe ich auch aus der Formulierung \"Allerdings h\u00e4tten die T\u00e4ter ihre digitalen Spuren so professionell verwischt, dass bislang unklar sei, ob, welche und wie viele Daten abgegriffen wurden.\". Generell ist aber davon auszugehen, dass es sich um die kompletten, in der Pr\u00fcfung befindlichen Rezeptdaten, die Namen und die Anschrift des Versicherten, dessen eKG-Nummer, die verordneten Medikamente sowie die Angaben zum ausstellenden Arzt samt dessen Praxisinformationen handeln k\u00f6nnte. Das sind hoch sensible Daten, die nicht in fremde H\u00e4nde geh\u00f6ren.<\/p>\n

Die Implikationen<\/h2>\n

Auf den Arbeitsalltag der Arztpraxen in Niedersachsen wirke sich der Vorfall laut KVN nicht aus. Rezepte k\u00f6nnten weiterhin wie gewohnt ausgestellt werden, hei\u00dft es im NDR-Beitrag. Die Information ist eigentlich eine Plattit\u00fcde, da die Rezeptpr\u00fcfung aus dem Datenfluss der Rezeptausstellung und -Einl\u00f6sung durch gesetzlich Krankenversicherte herausgenommen ist und nichts mit diesen Abl\u00e4ufen zu tun hat.<\/p>\n

M\u00f6glichen Betroffenen empfiehlt ARWINI, besonders aufmerksam bei Kontaktaufnahmen zu sein. Versicherte sollten Daten nicht telefonisch oder elektronisch preisgegeben. Verd\u00e4chtige E-Mails oder Anh\u00e4nge sollten nicht ge\u00f6ffnet werden, hei\u00dft es laut NDR von dem Verein. Das ist wiederum ein Punkt, der mich stutzig macht – wird der Datenschutzbeauftragte von ARWINI doch mit \"bis zu 80.000 anonymisierte Datens\u00e4tze betroffen\" zitiert. Wie passt das nochmals zusammen?<\/p>\n

Ich habe am 17. Mai 2026 mal geschaut. Die Webseite der ARWINI ist nicht abrufbar, da kann keine Stellungnahme mit Details erscheinen. Aber die Kassen\u00e4rztliche Vereinigung Niedersachsen (KVN) scheint ebenfalls keine Meldung mit Details oder Klarstellungen zum Vorfall ver\u00f6ffentlicht zu haben. Die mir vorliegenden Artikel (z.B. \u00c4rztenachrichtendienst) enthalten genau die widerspr\u00fcchlichen Informationen wie der NDR-Beitrag.<\/p><\/blockquote>\n

Der Vorfall k\u00f6nnte ein Vorgeschmack sein, was gesetzlich Versicherten durch die ePA bl\u00fcht. Denn die Daten aus der ePA sollen, neben den Abrechnungsdaten und weiteren Daten der gesetzlich Versicherten, ab Mitte 2025 automatisch an das Forschungsdatenzentrum Gesundheit \u00fcbermittelt werden.\u00a0Dort sollen \u00fcber den Spitzenverband der gesetzlichen Krankenkassen unter anderem die von den Pflege- und Krankenkassen \"\u00fcbermittelten Daten [\u2026] in versichertenbezogene Datens\u00e4tze zusammen\" gef\u00fchrt werden (siehe mein Artikel\u00a0Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den \"Datenschatz\"<\/a>).<\/p>\n

Datenabfluss best\u00e4tigt<\/h2>\n

Erg\u00e4nzung<\/strong>: Aus der \u00c4rzteschaft ist mir am 19.5.2026 die Information zu einem Artikel aus dem \u00c4rztenachrichtendienst zugegangen (danke daf\u00fcr). Dort sowie z.B. in diesem Artikel<\/a> wird \"die Polizei\" zitiert, nach dem ein Datenabfluss stattgefunden habe. Zum Umfang herrscht noch Unklarheit, die Strafverfolger stehen auch mit ausl\u00e4ndischen Beh\u00f6rden (u.a. in Spanien) in Kontakt.<\/p>\n

Eine Gruppierung Namens \"Kairos\" soll f\u00fcr die Tat verantwortlich sein. Die Gruppe setzt Erpressungs-Trojaner ein und verschl\u00fcsselt die Daten auf den Servern, sobald die Daten abgezogen wurden. Klassisches Ransomware-Gesch\u00e4ft.<\/p>\n

Zur oben angerissenen Diskrepanz \"pers\u00f6nliche Daten\", \"anonymisierte Daten\" erreichte mich die fachliche Meinung: \"Anonymisiert waren die Daten sicherlich nicht, denn zur \u00dcberpr\u00fcfung von Rezepten muss man den Patienten, Krankenkassen, Arzt, Medikament und Diagnose kennen.\"<\/p>\n","protected":false},"excerpt":{"rendered":"

Es hat nach einem erfolgreichen Cyberangriff auf die Rezeptpr\u00fcfungsstelle ARWINI in Niedersachsen einen Datenabfluss gegeben. Davon k\u00f6nnten bis zu 80.000 Patienten-Datens\u00e4tze betroffen sein, die bei diesem Angriff erbeutet worden sind, hei\u00dft es. Hier einige Informationen, was bekannt ist – wobei … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-325055","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325055","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=325055"}],"version-history":[{"count":9,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325055\/revisions"}],"predecessor-version":[{"id":325130,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325055\/revisions\/325130"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=325055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=325055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=325055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}