Es war kein dramatischer Angriff auf Intensivstationen, kein Ausfall von Beatmungsgeräten, keine Evakuierung. Und doch trifft das, was am 14. April 2026 beim externen Abrechnungsdienstleister Unimed geschah, ins Herz eines der sensibelsten Bereiche der modernen Medizin: die Privatsphäre der Patienten.

Was ist passiert?

Rund 30.000 Menschen, die sich zur Behandlung in die Uniklinik Köln begeben hatten, müssen nun damit leben, dass ihre Daten bei einem Cyberangriff in fremde Hände geraten sind. Namen, Adressen, behandelnde Ärzte, Rechnungssummen – bei 27.298 Betroffenen. Bei 843 weiteren flossen Gesundheitsdaten ab, also Inhalte aus der Kommunikation mit dem Abrechnungsdienstleister. Von fünf Personen wurde zudem die Bankverbindung entwendet. Die Uniklinik Köln hat eigenen Angaben zu Folge Anzeige erstattet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert, den Datentransfer an den saarländischen Dienstleister Unimed gestoppt.

Dieser nahm am Freitag schriftlich zu dem Vorfall Stellung. Die Hacker hätten versucht, das gesamte Firmensystem lahmzulegen. Gelungen sei es ihnen dann aber nur, Daten von Privatpatienten und Selbstzahlern zu entwenden. Kassenpatienten seien nicht betroffen. Man bedauere den Vorfall und habe seinerseits die Behörden eingeschaltet.

Die Pressestelle der Uniklinik betont, dass die klinischen Systeme und die Patientenversorgung zu keinem Zeitpunkt betroffen waren. Dennoch müsse man nun Briefe an Betroffene verschicken. Briefe, die für viele Empfänger die Botschaft in sich tragen, dass intimste Informationen über ihre Gesundheit irgendwo im Netz kursieren könnten.

Wie wertvoll sind Gesundheitsdaten für Kriminelle?

Der Angriff auf Unimed ist kein Einzelfall. Er reiht sich ein in eine wachsende Liste von Cyberangriffen auf das deutsche Gesundheitswesen. Wer verstehen will, warum Kliniken und ihre Dienstleister immer wieder ins Visier von Cyberkriminellen geraten, muss sich vor Augen führen, was Patientendaten im Darknet wert sind. Sie enthalten nicht nur Finanzdaten, sondern auch hochsensible Informationen über Diagnosen, Behandlungen, psychische Erkrankungen. Mit solchen Daten lässt sich erpressen, manipulieren, betrügen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) rät auf Anfrage deshalb bei unbekannten Anrufen oder E-Mail-Anfragen zu besonderer Wachsamkeit seitens der Verbraucher: Es sei „besonders wichtig, nicht hektisch zu handeln und beispielsweise Passwörter, PINs oder ähnliches herauszugeben“. Bei Verdacht sollte man also besser „innehalten, reflektieren“ und sich im Zweifel unter einer bekannten Rufnummer an einen behandelnden Arzt direkt wenden.

Sind Kliniken besonders stark von Angriffen betroffen?

Christoph Hebbecker, Oberstaatsanwalt bei der Zentral- und Ansprechstelle Cybercrime Nordrhein Westfalen (ZAC NRW), glaubt das nicht. Im Gegenteil nennt er einen Grund, warum kriminelle Hacker gar nicht unbedingt scharf darauf sind, Krankenhäuser zu treffen: „Weil Menschenleben gefährdet sein können, erhöht ein Angriff auf das Gesundheitswesen den Ermittlungsdruck durch die Strafverfolgungsbehörden. Und daran haben Kriminelle eigentlich kein Interesse. Diese wollen wenig Aufsehen und maximalen Gewinn generieren.“ Aus Sicht der ZAC NRW nehmen die Hackerangriffe nicht im Besonderen in der Gesundheitsbranche, sondern insgesamt stetig zu – „in allen Branchen vom Schweinemastbetrieb über die Anwaltskanzlei bis zur Bank und öffentlichen Einrichtung“, so Hebbecker. Ziel sei der maximale Profit bei unkompliziertestem Zugang. „Unserer Erfahrung nach wird das Netz nach Sicherheitslücken abgescannt und dort zugeschlagen, wo sich eine Zugangstür bietet.“

Auch die Krankenhausgesellschaft NRW spricht auf Anfrage davon, die Kliniken seien im Vergleich zu vor etwa zwei bis drei Jahren etwas aus dem Fokus gerückt. Man gehe aber davon aus, dass sie im Kontext der hybriden Bedrohungsszenarien durch Russland wieder „verstärkt Ziel auch von Cyberattacken“ werden könnten. Schließlich verfolgten Kriminelle neben Geld ein weiteres Ziel: Sie wollen das Vertrauen in die Institutionen der Daseinsvorsorge in der Bevölkerung erschüttern. „Und sie wollen Verunsicherung darüber schüren, dass Staat und Gesundheitsversorgungseinrichtungen gut geschützt sind und auch in der Krise für sie da sein werden“, so die Krankenhausgesellschaft auf Anfrage. 

Die Polizeiliche Kriminalitätsstatistik zählt für das Jahr 2024 drei Ransomware-Fälle gegen Krankenhäuser in NRW. Andere Vorfallsarten — etwa Datenabflüsse, DDoS-Angriffe, Phishing, Fehlkonfigurationen oder Datenschutzverletzungen ohne Ransomware-Bezug — werden nach Angaben des Landes nicht statistisch erfasst.

Was war die Strategie der Täter?

Der aktuelle Fall illustriert eine besonders tückische Angriffsstrategie: Nicht das Krankenhaus selbst wurde gehackt, sondern ein externer Dienstleister. Unimed übernimmt für zahlreiche Kliniken bundesweit die ärztliche Abrechnung. Ein einziger erfolgreicher Einbruch in dessen Systeme genügte, um Daten aus mehreren Häusern auf einmal abzugreifen. Diese Methode der Angriffe auf die sogenannte Lieferkette ist für Kriminelle hochattraktiv: Man muss quasi nicht die gut bewachte Festung stürmen, sondern nur den weniger gut gesicherten Lieferanten vor dem Tor bestechen.

Wie steht es um die IT-Infrastruktur in Kliniken?

Aber auch die IT-Infrastruktur der Kliniken ist nicht immer in idealer Weise gesichert. Manche Experten sprechen von eher unstrukturiert entstandenen IT-Landschaften mit einer Vielzahl an Anwendungen und vernetzbaren Medizingeräten mit unterschiedlichen Sicherheitsstandards. Hebbecker will in dieses Opfer-Shaming nicht einsteigen. „Es gibt immer Lücken, die absolute Sicherheit gibt es nicht, man kann die Risiken nur minimieren.“ Kliniken seien da nicht besser oder schlechter aufgestellt als andere Firmen.

Wie sieht es mit Regeln und Finanzierung aus?

Zumindest was das Regelwerk betrifft, sind Kliniken eigentlich gewappnet. Bereits 2019 wurde in Zusammenarbeit mit dem BSI ein branchenspezifischer Sicherheitsstandard erarbeitet, der Informations- und Patientensicherheit als zentrale Schutzziele definiert. Mit Beginn des russischen Angriffskrieges auf die Ukraine hat die Deutsche Krankenhausgesellschaft (DKG) zudem ein Gutachten in Auftrag gegeben, welche Investitionen nötig sind, um kritische Infrastruktur wie Kliniken vor hybriden Angriffen wie Cyberangriffen besser zu schützen. Aber genau an den Möglichkeiten, zu investieren, mangelt es mancherorts. Das Geld in den Kommunen, die viele Kliniken finanzieren, aber auch im Gesundheitssystem allgemein ist knapp. Vor allem in kleineren Häusern reichen die Mittel gerade für die medizinische Versorgung – für Firewalls, neue Software und großzügig entlohntes IT-Personal bleibt da nicht immer genug übrig.

Wie gehen kriminelle Hacker üblicherweise vor?

Besonders heimtückisch ist die Methode der sogenannten Ransomware-Angriffe, bei der Kriminelle in zwei Schritten vorgehen: Zunächst infizieren sie heimlich die Systeme. Die Verschlüsselung – das eigentliche Sperren der Daten – erfolgt erst Wochen oder Monate später. Zu diesem Zeitpunkt sind auch die Backups bereits beschädigt. Ein Weg zurück ins funktionierende System ist damit weit schwieriger. Um hohe Verluste zu vermeiden, sind Firmen dann oft bereit, Lösegeldforderungen zu begleichen, um an den Entschlüsselungscode zu gelangen.

Welche Folgen haben Angriffe für die Kliniken?

Was passiert, wenn Cyberkriminelle nicht nur Daten stehlen, sondern Systeme lahmlegen, zeigt der Fall der Uniklinik Düsseldorf auf dem Jahr 2020. Eigentliches Ziel war damals offenbar die Heinrich-Heine-Universität, das Krankenhaus wurde durch eine Sicherheitslücke in einer weit verbreiteten Software wohl unbeabsichtigt mitgetroffen. Als die Angreifer – vermutlich aus Russland – erfuhren, dass ein Krankenhaus betroffen war, zogen sie ihre Lösegeldforderung zurück und übergaben den Entschlüsselungsschlüssel. Der Schaden war da aber schon enorm: Das Klinikum war knapp zwei Wochen für den Rettungsdienst nicht verfügbar. Die Notaufnahme musste schließen. Eine Notfallpatientin, die wegen des Ausfalls in ein 25 Kilometer entferntes Krankenhaus umgeleitet wurde, starb nach verspäteter Behandlung. Aber auch Fehldiagnosen und falsche Medikamentengaben werden bei einem Systemausfall wahrscheinlicher.

Die finanziellen Folgen eines Datenvorfalls sind zudem gewaltig. Krankenhäuser können oft weniger Leistungen erbringen, aber auch erbrachte Behandlungen nicht dokumentieren – und damit nicht abrechnen. Im Februar 2016 wurde das Lukaskrankenhaus Neuss von Ransomware befallen – einer der ersten großen, öffentlich bekannt gewordenen Angriffe auf eine deutsche Klinik. Die Schadsoftware verbreitete sich über das interne Netzwerk. Die IT-Systeme wurden vorsorglich vollständig heruntergefahren. Der wirtschaftliche Schaden des eingeschränkten Notbetriebs wurde auf knapp eine Million Euro geschätzt.

Was passiert mit den Tätern?

Dass die Täter gefasst werden, ist Hebbecker zu Folge eher selten der Fall. „Es gelingt uns regelmäßig, konkrete Beschuldigte zu identifizieren. Deutlich weniger oft sind wir dann aber auch in der Lage, diese festzunehmen und in Deutschland – etwa am Landgericht Köln – anzuklagen. Wir raten dennoch immer dazu, Strafanzeige zu erstatten.“ Die Ermittlungsarbeit habe eigentlich immer internationale Bezüge, was die Beweisaufnahme erschwere. Täter säßen oft in Ländern, auf die die deutsche Justiz keinen Zugriff habe.

Wie kann die Sicherheitslage verbessert werden?

Hebbecker setzt auf Prävention. „Die ZAC NRW leistet hier auch Aufklärungsarbeit und es gibt immer mehr Unternehmen, die an uns herantreten, um sich gegen einen Angriff zu wappnen.“

Bei der Krankenhausgesellschaft NRW setzt man auf eine mehrstufige Schutzarchitektur und nennt zunächst „technische Maßnahmen“, beispielsweise die Installation von Systemen, die einen Angriff erkennen können. Mit sogenannten Penetrationstest versuchten die Kliniken eigene Schwachstellen quasi vor den Hackern zu erkennen. „Ein sehr wichtiges Instrument ist zudem, die Mitarbeitenden zu sensibilisieren und im Umgang mit Risiken – gerade auch im Mailverkehr – zu trainieren“, so die KGNW auf Anfrage. Auch klare personelle Verantwortlichkeiten in Form eines oder einer Informationssicherheitsbeauftragten seien wichtige Komponenten zur Erhöhung der Sicherheit.