Cyberangriff auf Abrechnungsdienstleister: Tausende Patientendaten von Unikliniken betroffen

Datenabfluss bei externem Dienstleister unimed betrifft mehrere Universitätskliniken in Deutschland

Veröffentlicht

Ein Cyberangriff auf den externen Abrechnungsdienstleister unimed hat den Diebstahl sensibler Patientendaten bei mehreren deutschen Universitätskliniken ausgelöst. Betroffen sind unter anderem Standorte in Tübingen, Freiburg, Köln, Düsseldorf und dem Saarland, mit insgesamt zehntausenden Datensätzen. Nach aktuellen Angaben wurden sowohl Gesundheits- als auch Finanz- und Stammdaten entwendet, während die klinische Versorgung zu keinem Zeitpunkt beeinträchtigt war.

Der Vorfall betrifft einen externen Dienstleister, der für zahlreiche Krankenhäuser in Deutschland die Abrechnung privat- und wahlärztlicher Leistungen übernimmt. Nach bisherigen Erkenntnissen erfolgte der Cyberangriff Mitte April 2026. Die vier Universitätsklinika in Baden-Württemberg – Universitätsklinikum Freiburg, Universitätsklinikum Heidelberg, Universitätsklinikum Tübingen und Universitätsklinikum Ulm – sind nach eigenen Angaben in unterschiedlichem Umfang betroffen.

Für das Universitätsklinikum Tübingen wurde inzwischen das Ausmaß des Datenabflusses konkretisiert. Demnach wurden bei etwa 1.200 Patientinnen und Patienten Gesundheitsdaten entwendet. Hierzu zählen Inhalte aus Patientenakten, Diagnosen, Diagnosecodes sowie weitere Angaben zu Erkrankungen, Behandlungen und Gesundheitsverläufen. Darüber hinaus sind rund 3.800 Personen von einem Abfluss allgemeiner Finanzdaten betroffen, beispielsweise Rechnungsinformationen oder Zahlungsaufstellungen. Bei sechs Betroffenen wurden zudem sensible Finanzdaten wie Kontoverbindungen oder Zahlungsdaten kompromittiert.

Das Klinikum hat angekündigt, alle Patientinnen und Patienten, deren Gesundheitsdaten oder sensible Finanzdaten betroffen sind, individuell per Brief zu informieren. Gleichzeitig wurde eine spezielle Kontaktstelle eingerichtet, um Fragen der Betroffenen zu beantworten. Personen, die kein entsprechendes Schreiben erhalten, müssen nach Angaben des Klinikums nicht davon ausgehen, dass ihre Gesundheitsdaten oder sensiblen Finanzinformationen kompromittiert wurden.

Prof. Dr. Jens Maschmann bezeichnete Gesundheitsdaten als besonders schützenswert und bedauerte die Verunsicherung der Betroffenen. Der Datendiebstahl verdeutliche die erheblichen Risiken, die mit Cyberangriffen auf Dienstleister im Gesundheitswesen verbunden seien.

Unmittelbar nach Bekanntwerden des Vorfalls stoppte das Universitätsklinikum Tübingen die Datenübermittlung an den betroffenen Dienstleister. Dieser habe unter Einbindung externer IT-Sicherheitsexperten eine umfassende Analyse eingeleitet. Nach Einschätzung der beauftragten Experten sei eine Veröffentlichung der entwendeten Daten derzeit nicht wahrscheinlich. Gleichwohl wurden nach Angaben des Klinikums umfangreiche Vorsorgemaßnahmen vorbereitet, darunter ein fortlaufendes Monitoring von Internet- und Darknet-Plattformen sowie rechtliche Schritte für den Fall einer Datenveröffentlichung.

Die zuständige Datenschutzaufsichtsbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik wurden bereits am 16. April 2026 über den Vorfall informiert. Das Universitätsklinikum kündigte an, über weitere gesicherte Erkenntnisse zu informieren.

30.000 Patientendaten der Uniklinik Köln betroffen

Der Cyberangriff auf den externen Abrechnungsdienstleister unimed hat auch zum Diebstahl von Patientendaten der Uniklinik Köln geführt. Nach Angaben der Klinik sind rund 30.000 Datensätze betroffen.

Nach aktuellem Stand wurden Daten von insgesamt 27.298 Patientinnen und Patienten der Uniklinik Köln entwendet, die allgemeine personenbezogene Informationen enthalten. Hierzu zählen unter anderem Namen, Adressen, Angaben zu behandelnden Ärztinnen und Ärzten sowie Rechnungssummen. Darüber hinaus wurden bei 843 Betroffenen Gesundheitsdaten kompromittiert. Diese umfassen insbesondere Inhalte aus der Kommunikation zwischen Patientinnen und Patienten und dem Abrechnungsdienstleister.

In einem kleineren Umfang sind auch Finanzdaten betroffen. Nach Angaben der Uniklinik Köln wurden bei fünf Personen sensible Zahlungsinformationen wie IBAN, Kontonummern oder weitere Bankdaten abgegriffen. Aufgrund der besonderen Sensibilität dieser Informationen erfolgt eine individuelle Information der Betroffenen.

54.000 Patientendaten der Uniklinik Freiburg betroffen

Stammdaten, Rechnungsinformationen und vereinzelt Kontodaten bei externem Dienstleister entwendet

Das Universitätsklinikum Freiburg informiert ebenfalls über einen umfangreichen Datenschutzvorfall bei einem externen Abrechnungsdienstleister. Nach aktuellen Erkenntnissen wurden Daten von rund 54.000 Patientinnen und Patienten mit privater Zusatzversicherung oder Selbstzahlerstatus entwendet. Die klinischen Systeme des Universitätsklinikums sowie die Patientenversorgung waren zu keinem Zeitpunkt von dem Cyberangriff betroffen.

Der Leitende Ärztliche Direktor des Universitätsklinikum Freiburg, Frederik Wenz, bezeichnete Gesundheitsdaten als besonders schützenswert und sprach von einem schwerwiegenden Eingriff für die Betroffenen. Das Klinikum fordere vom Dienstleister eine vollständige Aufklärung des Vorfalls und prüfe darüber hinaus rechtliche Schritte.

Universitätsklinikum des Saarlandes: 1.266 UKS-Patienten betroffen

Uniklinik Homburg informiert über Datendiebstahl bei externem Dienstleister

Das Universitätsklinikum des Saarlandes (UKS) hat über einen Datenschutzvorfall bei einem externen Abrechnungsdienstleister informiert. Nach aktuellen Erkenntnissen wurden Daten von 1.266 Patientinnen und Patienten des Klinikums im Rahmen eines Cyberangriffs entwendet.

Das UKS erhielt nach eigenen Angaben erst am 18. Mai 2026 Kenntnis darüber, dass auch Daten von Patientinnen und Patienten des Klinikums betroffen sind. Insgesamt wurden Daten von 1.266 Personen kompromittiert. In den meisten Fällen handelt es sich um sogenannte Stammdaten wie Namen, Geburtsdaten und Anschriften.

Darüber hinaus wurden in rund 400 Fällen Daten entwendet, aus denen Rückschlüsse auf Diagnosen, Behandlungsarten oder medizinische Leistungen gezogen werden können. Aufgrund der besonderen Sensibilität dieser Informationen kommt dem Vorfall eine hohe datenschutzrechtliche Bedeutung zu. Angaben zu kompromittierten Bank- oder Zahlungsdaten wurden bislang nicht gemacht.

Der kommissarische Ärztliche Direktor und Vorstandsvorsitzende des Universitätsklinikum des Saarlandes, Michael Zemlin, begründete die öffentliche Information mit der besonderen Sensibilität von Gesundheitsdaten und dem Interesse der betroffenen Patientinnen und Patienten an Transparenz. Gleichzeitig habe das Klinikum den Dienstleister aufgefordert, seinerseits umfassend über den Vorfall zu informieren.

Update: Abrechnungsdienstleister unimed gibt Stellungnahme ab

Wie die unimed Abrechnungsservice für Kliniken und Chefärzte GmbH mitteilt, wurde das Unternehmen Ziel eines Cyberangriffs, bei dem Daten aus einem begrenzten Systembereich entwendet wurden. Der Angriff betraf insbesondere Kommunikationsdaten zu Abrechnungswidersprüchen von Privatpatienten und Selbstzahlern, während die Systeme nach kurzer Zeit wieder vollständig in den Regelbetrieb überführt wurden.

Nach Unternehmensangaben zielte der Angriff auf eine Verschlüsselung der IT-Systeme, die jedoch nicht erfolgreich umgesetzt werden konnte. Bevor die Angreifer abgewehrt wurden, kam es zum Abfluss von Daten aus einem abgegrenzten Systemsegment. Betroffen waren insbesondere Inhalte aus der Bearbeitung von Abrechnungswidersprüchen, die im Auftrag von Kliniken für privat versicherte Patientinnen und Patienten sowie Selbstzahler verarbeitet werden.

Die unimed Abrechnungsservice für Kliniken und Chefärzte GmbH betont, dass der Vorfall unmittelbar nach Bekanntwerden zu einer Trennung der Datenschnittstellen zu Kunden geführt habe. Parallel wurden die zuständigen Behörden sowie die Polizei informiert. Kunden seien fortlaufend über den jeweils aktuellen Stand informiert worden, um eigene Risikobewertungen zu ermöglichen.

Im Zuge der technischen Aufarbeitung wurde das System durch externe IT-Forensiker analysiert und abgesichert. Dabei wurde der betroffene Bereich nach Angaben des Unternehmens entsprechend gängiger Incident-Response-Verfahren bereinigt und gegen aktuelle Angriffsmuster gehärtet. Die Maßnahmen wurden durch externe Experten überprüft und der erfolgreiche Wiederanlauf der Systeme begleitet.

Nach Abschluss der technischen Wiederherstellung arbeitet das Unternehmen wieder im regulären Betrieb. Gleichzeitig kündigt unimed an, die Sicherheitsarchitektur kontinuierlich weiterzuentwickeln und an neue Bedrohungslagen anzupassen. Ziel sei es, die IT-Systeme fortlaufend auf dem aktuellen Stand der Technik zu halten und die Verfügbarkeit sowie den Schutz sensibler Daten langfristig sicherzustellen.

Cyberangriff auf früheren Abrechnungsdienstleister betrifft auch Uniklinik Düsseldorf

UKD informiert betroffene Patienten nach Datenabfluss bei ehemaligem Partner unimed

Das Universitätsklinikum Düsseldorf informiert über einen Datenschutzvorfall bei dem externen Abrechnungsdienstleister unimed Abrechnungsservice für Kliniken und Chefärzte GmbH. Wie das UKD mitteilt, sind Daten aus einer früheren Zusammenarbeit mit dem Unternehmen betroffen.  Nach Angaben des Klinikums arbeitet das UKD im Bereich der privat- und wahlärztlichen Abrechnung inzwischen mit anderen Dienstleistern zusammen. Bis zum Jahr 2024 war unimed jedoch in zwei von insgesamt 60 Kliniken und Instituten des Hauses mit Abrechnungsleistungen beauftragt. Die nun bekannt gewordenen Datenabflüsse stehen im Zusammenhang mit dieser früheren Geschäftsbeziehung.

Am heutigen Tag erhielt das Klinikum nach eigenen Angaben eine belastbare Rückmeldung des Dienstleisters über das Ausmaß des Vorfalls. Demnach sind mehr als 3.000 Fälle betroffen, bei denen allgemeine personenbezogene Daten abgeflossen sein könnten. Darüber hinaus könnten in 162 Fällen auch Gesundheitsdaten betroffen sein.

Die Universitätsklinik betont, dass weder die klinischen Systeme noch die Patientenversorgung zu irgendeinem Zeitpunkt beeinträchtigt waren. Der Angriff habe sich ausschließlich gegen die Infrastruktur des externen Dienstleisters gerichtet. Nach Einschätzung der vom Dienstleister beauftragten Sicherheitsexperten sei eine Veröffentlichung der entwendeten Daten derzeit nicht wahrscheinlich.

Unabhängig davon hat das UKD angekündigt, alle potenziell betroffenen Patientinnen und Patienten individuell schriftlich zu informieren. Personen, die kein entsprechendes Schreiben erhalten, seien nach aktuellem Kenntnisstand nicht von dem Datenabfluss betroffen.

Universitätsklinikum Tübingen
Universitätsklinikum Köln
Universitätsklinikum Freiburg
Universitätsklinikum des Saarlandes
Universitätsklinikum Düsseldorf
unimed

(Pressemitteilung)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Mehr Insights für Klinikalltag und Management