Cyberangriff auf deutschen Krankenhausabrechnungsdienstleister Unimed legt Daten von Zehntausenden Privatpatienten offen
Ein Cyberangriff auf den im Saarland ansässigen Krankenhausabrechnungsdienst Unimed hat sensible persönliche, finanzielle und gesundheitliche Daten von mindestens 80.000 Privatpatienten allein in Baden-Württemberg kompromittiert, die bundesweite Gesamtzahl ist noch unklar.
Der Vorfall und seine Entdeckung
Ein Cyberangriff auf Unimed, einen bundesweit tätigen Krankenhausabrechnungsdienst mit Sitz in Wadern (Saarland), hat zum Diebstahl von Daten Zehntausender Patienten geführt. Das Unternehmen entdeckte den Eindringling Mitte April 2026 und trennte umgehend vorsorglich die Datenschnittstellen zu seinen Kunden. Spezialisierte externe Forensiker analysierten wochenlang den Datenabfluss, sodass Unimed die betroffenen Personen identifizieren und die Krankenhäuser bis Mitte Mai benachrichtigen konnte.
Bei der überwiegenden Mehrheit der durchgesickerten Daten handelt es sich nicht um besonders sensible Finanz- und Gesundheitsdaten von Patienten.
Der Angriff richtete sich direkt gegen die IT-Infrastruktur von Unimed, nicht gegen die Krankenhäuser selbst. Nach Angaben der „Qualifizierten Cybercrime“-Einheit des Landeskriminalamts Saarland erlangten unbekannte Täter unbefugten Zugriff auf Teile der Unternehmenssysteme. Unimed erklärte, die Angreifer hätten während des Angriffs selbst den Zugriff verloren und es befänden sich keine unbefugten Dritten mehr in den Systemen, die nun von einem externen Security Operations Center engmaschig überwacht würden.
Ausmaß des Vorfalls
Allein in Baden-Württemberg sind beim Landesdatenschutzbeauftragten Meldungen von 17 Krankenhäusern über Sicherheitsverletzungen eingegangen. Die vier Universitätskliniken des Landes gingen Mitte Mai erstmals an die Öffentlichkeit, und durch anschließende Berichterstattung lokaler Medien stieg die geschätzte Zahl der betroffenen Patienten im Südwesten auf mindestens 80.000. Unimed hat es abgelehnt, seine vollständige Kundenliste oder die Gesamtzahl der Opfer bundesweit offenzulegen.
Wenn Gesundheitsdaten und andere sensible Daten wie Zahlungsdaten in die Hände von Kriminellen gelangen, gehen wir von einem hohen Risiko aus.
Die gestohlenen Daten umfassen Namen, Adressen, Geburtsdaten, Finanzinformationen wie Kontonummern sowie Gesundheitsdaten mit Diagnosen und Behandlungsverläufen. Betroffen sind ausschließlich Privatpatienten und Selbstzahler.
Zuständigkeitskomplexität
Die Verantwortung für die Ermittlungen ist auf mehrere Bundesländer verteilt. Da Unimed seinen Sitz im Saarland hat, führen die saarländischen Behörden die strafrechtlichen Ermittlungen und die Datenschutzaufsicht. Das Cybercrime-Zentrum Baden-Württemberg bei der Generalstaatsanwaltschaft Karlsruhe bestätigte, dass es den Fall nicht direkt bearbeitet. Das Unabhängige Datenschutzzentrum Saarland überwacht Unimed, während der baden-württembergische Beauftragte die Meldungen der Krankenhäuser aus dem Südwesten bearbeitet und bereits erste Beschwerden von Betroffenen erhalten hat.
Reaktionen von Behörden und Institutionen
Das baden-württembergische Gesundheitsministerium erklärte, es habe weder die fachliche noch die rechtliche Aufsicht über die Krankenhäuser, daher bestehe für es keine Meldepflicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) lehnte eine Stellungnahme ab und verwies an Unimed. Auch die Baden-Württembergische Krankenhausgesellschaft gab keine Auskunft. Das Universitätsklinikum Tübingen, das alle 902 betroffenen Patienten kontaktiert hatte, hat seine Datenverbindung zu Unimed nach einer Sicherheitsüberprüfung wiederhergestellt.
Hinweise für betroffene Patienten
Verbraucherschutzbehörden und Datenschutzbeauftragte haben Empfehlungen für Personen herausgegeben, deren Daten möglicherweise kompromittiert wurden. Die Verbraucherzentrale rät zu erhöhter Wachsamkeit: verdächtige E-Mails genau prüfen, Konto- und Kreditkartenauszüge sorgfältig überwachen und die Identität von Personen verifizieren, die unerwartet Kontakt aufnehmen und sich auf medizinische Behandlungen, Versicherungen oder Gesundheitsdienstleistungen beziehen. Der Landesdatenschutzbeauftragte warnte zudem davor, bei unaufgeforderten Anrufen oder Nachrichten sensible Gesundheitsinformationen preiszugeben, und mahnte zur Vorsicht bei möglicherweise manipulierten Rechnungen.
Sie sollten auch bei der Bezahlung von Rechnungen die Empfänger sorgfältig prüfen, da möglicherweise manipulierte Rechnungen verschickt werden.
Nach der DSGVO haben Betroffene das Recht zu erfragen, ob und welche ihrer Daten betroffen sind, und können zivilrechtliche Ansprüche auf materiellen oder immateriellen Schadensersatz geltend machen, wenn ein DSGVO-Verstoß – etwa unzureichende Sicherheitsmaßnahmen – den Vorfall verursacht hat und zu einem konkreten, spürbaren Nachteil geführt hat. Die derzeitige Einschätzung von Unimed auf Basis seiner beauftragten Spezialisten lautet, dass eine Veröffentlichung der gestohlenen Daten nicht mehr wahrscheinlich sei und es bislang keine Anzeichen für einen konkreten Missbrauch gebe.
- Unimed erkennt unbefugten Zugriff auf seine IT-Infrastruktur und trennt Datenschnittstellen zu Kunden.
- Forensische Analyse abgeschlossen; Unimed stellt betroffene Patientendaten den Krankenhäusern zur Verfügung, damit diese die Personen benachrichtigen können.
- Mindestens 17 Krankenhäuser in Baden-Württemberg haben Sicherheitsverletzungen gemeldet; das Universitätsklinikum Tübingen stellt die Verbindung zu Unimed wieder her.
