Cyberangriff auf Unimed: Patientendaten von bundesweiten Kliniken gestohlen

Ein Cyberangriff auf den saarländischen Abrechnungsdienstleister Unimed hat bundesweit zahlreiche Universitätskliniken getroffen. Unimed betreut nach eigenen Angaben 95 Prozent aller Universitätskliniken in Deutschland sowie 51 Prozent aller Kliniken mit mehr als 600 Betten. Zehntausende Patientendaten von Privatpatienten und Selbstzahlern wurden entwendet.

Was passiert ist

Der Angriff ereignete sich Mitte April 2026. Unimed meldete den Vorfall dem Landeskriminalamt Saarland. Die Angreifer versuchten, die Systeme zu verschlüsseln. Das wurde zwar verhindert, allerdings flossen vor der Abwehr Daten aus einem „begrenzten Bereich" ab. Darunter befand sich auch Kommunikation zu Abrechnungswidersprüchen.

Unimed machte weder zum Angriffsvektor noch zu den betroffenen Einrichtungen Angaben. Auf Nachfrage: „Bitte haben Sie Verständnis, dass wir als Dienstleister keine darüber hinausgehenden Angaben zu unseren Kunden und deren Daten machen können."

Die Zahlen der Kliniken

Inzwischen haben zahlreiche Kliniken konkrete Zahlen veröffentlicht:

• Universitätsklinikum Freiburg: 54.000 Patienten betroffen (Stammdaten), in 900 Fällen zusätzlich Rechnungsdaten mit Diagnosen und Behandlungsarten, in wenigen Fällen auch Kontodaten
• Uniklinik Köln: 30.000 Datensätze, davon 843 mit Gesundheitsdaten, 5 mit Finanzdaten
• Universitätsklinikum Düsseldorf: 3.000+ Fälle mit allgemeinen Patientendaten, 162 mit Gesundheitsdaten
• Universitätsmedizin Mainz: bis zu 2.764 Privatpatienten und Selbstzahler
• Universitätsklinikum Mannheim: rund 3.000 Betroffene, 1 Fall mit kompromittierten Finanzdaten
• Universitätsklinik Ulm: 1.600 Patienten, in 300 Fällen Diagnose- und Behandlungsdaten
• Universitätsklinikum Homburg: 1.266 Patienten
• Heidelberg und Tübingen: bestätigen Vorfälle, keine Zahlen genannt

Der Angriffsvektor: eine zentrale Schwachstelle

Das Problem ist die Zentralisierung. Unimed bearbeitet jährlich über drei Millionen Privatabrechnungen mit rund 1.000 Mitarbeitern. Wenn ein einziger Dienstleister 95 Prozent aller Universitätskliniken bedient, ist ein Angriff auf diesen Dienstleister ein Angriff auf fast das gesamte System.

Die betroffenen Daten umfassen Namen, Adressen, Geburtsdaten, Rechnungsdaten, Diagnosen, Behandlungsarten und in einigen Fällen Kontodaten. Die Kliniken betonen, dass ihre internen Systeme und die Patientenversorgung nicht betroffen seien. Aber die Patientendaten sind trotzdem draußen.

Parallelfall: Ransomware bei Arwini

Gleichzeitig wurde ein Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) bekannt. Arwini prüft im Auftrag gesetzlicher Krankenkassen die Wirtschaftlichkeit ärztlicher Verordnungen. Die Ransomware-Gruppe „Kairos" droht mit der Veröffentlichung eines 2,87 Terabyte großen Datensatzes. Bis zu 75.000 Datensätze könnten betroffen sein.

Zwei Angriffe auf Gesundheitsdienstleister in einer Woche. Kein Zufall, sondern ein Muster.

NIS-2 und die Lieferkette

Der Fall zeigt ein Problem, das mit NIS-2 eigentlich adressiert werden sollte: Lieferkettensicherheit. Kritische Infrastrukturen wie Krankenhäuser müssen künftig nicht nur ihre eigenen Systeme absichern, sondern auch die Sicherheit ihrer Dienstleister bewerten und überwachen.

Das klingt in der Theorie gut. In der Praxis bedeutet es: Jede Klinik, die Unimed nutzt, hätte die Sicherheitsarchitektur des Dienstleisters prüfen müssen. Bei einem Marktanteil von 95 Prozent im Uniklinik-Segment gibt es kaum Alternativen. Wer prüft und was dann? Wechselt man zu einem Anbieter, den es nicht gibt?

Das ist die unbequeme Wahrheit hinter der Zentralisierung: Monopolstrukturen im Gesundheitswesen machen Compliance-Anforderungen zur Farce, wenn der Dienstleister zu groß zum Ersetzen ist.

Was das bedeutet

Das Gesundheitswesen ist ein lohnendes Ziel. Patientendaten sind auf dem Schwarzmarkt deutlich wertvoller als Kreditkartennummern. Ein Name, eine Adresse, eine Diagnose. Das reicht für Identitätsdiebstahl, Erpressung und Betrug.

Die DSGVO sieht bei Verletzung des Schutzes personenbezogener Daten Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor. Ob das ausreicht, um Dienstleister wie Unimed zu Investitionen in Sicherheit zu bewegen, steht in den Sternen.

Was fehlt: eine ehrliche Diskussion darüber, ob die Zentralisierung von Patientendaten bei wenigen Dienstleistern noch zeitgemäß ist. 95 Prozent aller Universitätskliniken bei einem Anbieter. Das ist kein Dienstleister, das ist ein Single Point of Failure für das gesamte deutsche Universitätsklinik-System.

Quellen:

• Heise: Patientendaten betroffen - Cyberangriff auf Abrechnungsdienstleister von Kliniken
• Born City: Gesundheitsdienstleister Unimed im April 2026 durch Cyberangriff getroffen
• Universitätsklinikum Freiburg: Pressemitteilung
• Uniklinik Köln: Cyberkriminelle entwenden Patientendaten
• DIE ZEIT: Tausende Patientendaten geklaut