Das Universitätsklinikum Freiburg hat über einen schwerwiegenden Sicherheitsvorfall bei einem externen Abrechnungsdienstleister informiert. Der Cyberangriff ereignete sich bereits Mitte April. Betroffen sind nach Angaben des Klinikums rund 54.000 privat- oder zusatzversicherte Patienten sowie Selbstzahler. Nach Angaben des Universitätsklinikums selbst waren weder die Patientenversorgung noch klinische Systeme in Gefahr. Die Attacke richtete sich ausschließlich gegen den externen Dienstleister.
Zum Teil sehr sensible Gesundheitsdaten entwendet
Entwendet wurden insbesondere Stammdaten wie Name, Geburtsdatum und Adresse. In rund 900 Fällen seien darüber hinaus Rechnungsdaten abgeflossen, aus denen Rückschlüsse auf Diagnosen und Behandlungen möglich sind. In wenigen Einzelfällen seien zudem Kontodaten betroffen. Das Universitätsklinikum habe die Datenübertragung an den Dienstleister unmittelbar nach Bekanntwerden des Vorfalls gestoppt. Zudem seien die zuständige Datenschutzaufsichtsbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert worden. Betroffene Patienten würden derzeit kontaktiert.
Kommentar:
Wie aus Medienberichten hervorgeht, handelt es sich um einen deutlich größeren Sicherheitsvorfall, von dem mehrere Universitätsklinika betroffen sind. Genannt werden unter anderem die Standorte Tübingen, Heidelberg, Mannheim und Ulm sowie die Universitätsklinika Köln und des Saarlands. Zudem besteht die Befürchtung, dass weitere Kunden des Dienstleisters betroffen sein könnten. Insgesamt dürfte die Zahl der Opfer im sechsstelligen Bereich liegen. Laut Tagesschau handelt es sich bei dem betroffenen Dienstleister um die saarländische Abrechnungsgesellschaft UNIMED.
Cyberkriminelle haben insbesondere größere Kliniken im Visier
Cyberattacken entwickeln sich im Gesundheitswesen zunehmend zu einer ernsthaften Bedrohung. Laut der BDO/DKI-Studie 2025 waren bereits 20 % der Allgemeinkrankenhäuser ab 100 Betten in den vergangenen drei Jahren von meldepflichtigen Sicherheitsvorfällen wie Cyberangriffen, Störungen kritischer Infrastruktur oder Datenpannen betroffen, davon 6 % sogar mehrfach. Besonders im Fokus von Cyberkriminellen stehen offenbar größere Kliniken: In dieser Gruppe berichteten rund 30 % der Häuser über entsprechende Vorfälle.
Handlungsdruck auf die Krankenhäuser wächst
Derzeit gelten für Kliniken insbesondere die Cybersecurity-Vorgaben aus der europäischen NIS2-Richtlinie, dem BSI-Gesetz sowie für große Häuser zusätzlich die KRITIS-Regeln. Entscheidend ist dabei vor allem die Größe der Einrichtung und der Grad der Schutzbedürftigkeit („Kritikalität“). Bereits bisher unterlagen große Krankenhäuser mit mindestens 30.000 vollstationären Fällen pro Jahr den KRITIS-Vorgaben. Diese Häuser müssen umfangreiche IT-Sicherheitsmaßnahmen nachweisen, darunter Angriffserkennungssysteme, Notfallmanagement, Risikoanalysen und regelmäßige Sicherheitsprüfungen. Mit NIS2 wurde der Kreis der betroffenen Einrichtungen deutlich erweitert. Seit Inkrafttreten des deutschen Umsetzungsgesetzes im Dezember 2025 gelten die Anforderungen praktisch für nahezu alle größeren Krankenhäuser sowie für besonders große Praxen und MVZ – die KBV geht von einer Anzahl von rund 1.000 Großpraxen aus. Die Vorgaben gelten ohne längere Übergangsfristen. Viele Einrichtungen mussten sich bereits bis März 2026 beim BSI registrieren. Gleichzeitig kann das BSI Audits, Nachweise und Kontrollen verlangen. Bei schweren Verstößen drohen hohe Bußgelder und teilweise persönliche Haftung der Geschäftsführung. Problematisch ist laut Krankenhausverbänden vor allem, dass viele Häuser die neuen Anforderungen parallel zu Fachkräftemangel, Investitionsstau und hoher Bürokratie umsetzen müssen.
Quellen:
