Ein einziger Abrechnungsdienstleister im Saarland hat über 120.000 Patientendaten verloren. Die Kliniken selbst blieben technisch unversehrt.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenMitte April 2026 haben unbekannte Angreifer die IT der Unimed Abrechnungsservice GmbH in Wadern (Saarland) attackiert. Der Dienstleister rechnet privatärztliche und wahlärztliche Leistungen für rund 95 Prozent aller deutschen Universitätskliniken sowie für die Hälfte aller größeren Krankenhäuser ab. Über fünf Wochen lang ist der Vorfall öffentlich nicht kommuniziert worden. Erst am 21. Mai haben die ersten Häuser begonnen, ihre Patientinnen und Patienten zu informieren. Die Bilanz hat es in sich: mehr als 120.000 Betroffene, darunter Stammdaten, Rechnungsinformationen, in Einzelfällen Diagnosen und Bankverbindungen.
Was genau passiert ist
Der Angriff hat am 14. April 2026 stattgefunden. Die Täter haben offenbar das klassische Doppel-Erpressungs-Schema verfolgt: erst Daten exfiltrieren, dann verschlüsseln. Die Verschlüsselung der Unimed-Systeme hat nicht funktioniert. Der Datenabfluss schon. Wer hinter dem Angriff steht, ist offen. Unimed hat den Vorfall dem Landeskriminalamt Saarland gemeldet und externe IT-Forensiker beauftragt.
Bemerkenswert ist die Selbstdarstellung des Unternehmens. Auf der eigenen Webseite hat Unimed bis vor Kurzem mit „Safety first“ geworben und betont, beim Datenschutz „regelgerecht auf der Grundlage der DSGVO“ zu arbeiten, mit Volljuristen im eigenen Haus und strengen Compliance-Maßstäben. Der Vorfall hat gezeigt, was solche Formulierungen in der Praxis wert sein können.
Die betroffenen Kliniken im Überblick
Die Liste der betroffenen Häuser wächst täglich. Stand 23. Mai 2026 haben folgende Universitätskliniken konkrete Zahlen veröffentlicht:
- Universitätsklinikum Freiburg: rund 54.000 Patientinnen und Patienten
- Uniklinik Köln: 30.000 Betroffene (davon 843 mit Gesundheitsdaten, 5 mit Finanzdaten wie IBAN)
- Vier Unikliniken Baden-Württemberg (Freiburg, Ulm, Heidelberg, Tübingen): zusammen mehr als 72.000 Datensätze
- UKSH Schleswig-Holstein: 9.000 Patienten
- Universitätsklinikum Hamburg-Eppendorf: 5.000 Patienten
- Universitätsklinikum Düsseldorf: über 3.000 Fälle
- Universitätsmedizin Mainz: maximal 2.764 Privatpatienten
- Universitätsklinikum des Saarlandes: rund 1.200 Fälle
In rund 1.500 Fällen sind nach NDR-Recherchen auch Inhalte aus Patientenakten abgegriffen worden, darunter Diagnosen und detaillierte Angaben zum Gesundheitszustand. Betroffen sind nach Unimed-Angaben ausschließlich Privatpatienten und Selbstzahler. Die Kassenpatienten haben Glück gehabt, weil deren Abrechnung über andere Wege läuft.
Wichtig: Die Patientenversorgung war nicht in Gefahr
Die betroffenen Häuser haben einheitlich kommuniziert, dass weder die klinischen Systeme noch die Patientenversorgung beeinträchtigt gewesen sind. Operationen haben stattgefunden, Notfälle sind versorgt worden, die elektronischen Patientenakten der Krankenhäuser selbst sind unangetastet geblieben. Hier liegt ein wichtiger Unterschied zu früheren Angriffen direkt auf Klinik-IT, etwa dem Vorfall am Universitätsklinikum Düsseldorf 2020 oder den jüngeren Attacken auf kommunale Krankenhäuser.
Dazu: Datenklau in Freiburg: Geprüft wurde zuletzt 2013
Abgeflossen sind Daten, die im normalen Abrechnungsprozess an den externen Dienstleister übermittelt worden sind: Stammdaten, Rechnungsdaten, in Einzelfällen Kommunikation über strittige Abrechnungsfälle, in der zwangsläufig auch Gesundheitsinformationen enthalten gewesen sind.
Das eigentliche Problem: ein Single Point of Failure für die deutsche Spitzenmedizin
Unimed beschäftigt nach eigenen Angaben rund 1.000 Mitarbeiter, hat Standorte in Trier, Saarbrücken, St. Ingbert, Koblenz, Wiesbaden und Kaiserslautern und wickelt jährlich über drei Millionen Privatabrechnungen ab. Das Unternehmen ist Marktführer in seinem Segment und bedient 95 Prozent aller deutschen Universitätskliniken sowie 51 Prozent aller Krankenhäuser mit mehr als 600 Betten.
Übersetzt: Wer Unimed knackt, knackt die Privatabrechnung der deutschen Spitzenmedizin. Genau diese Konzentration auf wenige spezialisierte Dienstleister hat in den vergangenen Jahren in Branche nach Branche zu solchen Vorfällen geführt. Der britische Outsourcer Capita hat 2023 Millionen Datensätze verloren. Software-Lieferketten von SolarWinds bis MOVEit haben weltweit Hunderttausende Folgevorfälle ausgelöst. Das Muster ist immer dasselbe: Der Dienstleister wird zur attraktivsten Beute, weil er die Daten vieler Auftraggeber bündelt.
Wer in den vergangenen Jahren als Privatpatient oder Selbstzahler an einer der betroffenen Unikliniken behandelt worden ist, sollte in den kommenden Wochen auf folgende Anzeichen achten: ungewöhnliche Phishing-Mails mit medizinischem Bezug, angebliche Rechnungen von unbekannten Absendern, verdächtige Anrufe vermeintlicher Versicherungen oder Ärzte. Bei Auffälligkeiten in Kontoauszügen sollte umgehend die Hausbank informiert werden. Wer eine konkrete Mitteilung der Klinik erhält, hat als Betroffener Auskunfts- und gegebenenfalls Schadensersatzansprüche nach Art. 82 DSGVO.
Was Experten zur Bedrohungslage sagen
Das Cybercrime-Zentrum Baden-Württemberg hat gegenüber der Presse eingeordnet, dass solche Daten häufig im Darknet gehandelt werden und für betrügerische E-Mails, Identitätsdiebstahl oder im Einzelfall sogar für Erpressungsversuche genutzt werden können. Konkrete Fälle aus dem Unimed-Datensatz seien bislang nicht bekannt.
Eine aktuelle Untersuchung des Sicherheitsanbieters Check Point Software vom 22. Mai 2026 hat die Lage in Zahlen gefasst: Im DACH-Raum sind Cyberangriffe 2025 um 124 Prozent gestiegen. Deutschland trägt über 82 Prozent aller registrierten Vorfälle in der Region. Finanziell motivierte Ransomware-Gruppen wie Qilin und Akira verantworten knapp 30 Prozent der Attacken. Der durchschnittliche Schaden eines Datenlecks in Deutschland hat im Frühjahr 2026 bei 4,9 Millionen Euro gelegen. Damit gehört Deutschland zu den fünf teuersten Standorten weltweit für Cybervorfälle.
Sicherheitsforscher haben Unternehmen einen „Recovery-First“-Ansatz für die zweite Jahreshälfte 2026 empfohlen: Datenkorruption frühzeitig erkennen, unveränderliche Backups vorhalten, regelmäßige Wiederherstellungstests durchführen. Klassisches Härten der Perimeter reiche längst nicht mehr.
Was die Politik versäumt hat
Der Fall stellt die Frage nach der Aufsicht über kritische Dienstleister im Gesundheitssektor neu. Kliniken selbst fallen unter das BSI-Gesetz und müssen als Betreiber kritischer Infrastrukturen jährlich nachweisen, dass ihre IT dem Stand der Technik entspricht. Ihre Dienstleister fallen bislang nur indirekt unter dieses Regime, über Auftragsverarbeitungsverträge nach Art. 28 DSGVO und Lieferantenmanagement-Pflichten.
Die NIS-2-Richtlinie der EU, deren deutsche Umsetzung seit Monaten überfällig ist, würde genau diese Lücke schließen und Dienstleister wie Unimed direkt in die Pflicht nehmen. Solange die Umsetzung nicht steht, müssen Krankenhäuser über privatrechtliche Verträge sicherstellen, dass ihre Abrechnungsdienstleister ein Sicherheitsniveau halten, das der Sensibilität der Daten angemessen ist. Wie gut das in der Praxis funktioniert hat, hat sich an Unimed gezeigt.
Die Universitätsklinika haben angekündigt, rechtliche Schritte gegen Unimed zu prüfen. Das Universitätsklinikum Heidelberg hat bereits Strafanzeige gegen Unbekannt erstattet. Wie hoch die zivilrechtlichen Folgen für Unimed ausfallen werden, hängt davon ab, was die forensische Aufklärung über die konkrete Ursache zutage fördern wird. Sollte sich herausstellen, dass bekannte Sicherheitslücken nicht geschlossen, gängige Härtungsmaßnahmen nicht umgesetzt oder Monitoring-Mechanismen nicht etabliert gewesen sind, dürften die Schadensersatzforderungen erheblich werden.
Was Geschäftsführer aus dem Fall mitnehmen sollten
Der Unimed-Hack ist kein Spezialfall der Gesundheitsbranche. Jedes Unternehmen, das sensible Daten an spezialisierte Dienstleister auslagert, von Lohnbuchhaltung über CRM bis Cloud-Hosting, hat dasselbe strukturelle Risiko. Drei Lehren liegen auf der Hand:
Erstens: Ein DSGVO-konformer Auftragsverarbeitungsvertrag ist kein Sicherheitsnachweis. Wer einem Dienstleister sensible Daten anvertraut, muss dessen Sicherheitsniveau aktiv prüfen, nicht nur eine Unterschrift einholen. Audits, Penetrationstest-Ergebnisse, Zertifizierungen wie ISO 27001 oder BSI C5 sind Mindestanforderungen, keine Goldstandards.
Zweitens: Datenminimierung ist das beste Backup. Was nicht beim Dienstleister liegt, kann auch nicht bei ihm gestohlen werden. Welche Daten müssen wirklich übertragen werden, welche reichen pseudonymisiert, welche können nach Abschluss eines Vorgangs gelöscht werden? Diese Fragen gehören in jedes Lieferantenreview.
Drittens: Krisenkommunikation muss vorbereitet sein. Dass zwischen Angriff und öffentlicher Information bei Unimed fünf Wochen vergangen sind, hat den Schaden für die betroffenen Patientinnen und Patienten unnötig vergrößert. Wer in dieser Zeit Phishing-Mails erhalten hat, hat keine Chance gehabt, sie als Folge des Vorfalls einzuordnen. Ein Datenschutzvorfall ist nach Art. 33 DSGVO binnen 72 Stunden der Aufsichtsbehörde zu melden. Die Information der Betroffenen folgt eigenen Fristen, aber sicher nicht der 35-Tage-Vorlauf, der hier zu beobachten gewesen ist.
Wie es weitergeht
Unimed hat erklärt, die Systeme seien nach externer forensischer Prüfung wieder vollständig funktionsfähig und gehärtet worden. Ein engmaschiges Darknet-Monitoring sei eingerichtet. Eine Veröffentlichung der gestohlenen Daten hält das Unternehmen für unwahrscheinlich. Sicher ist diese Einschätzung nicht. Erpressungs- und Doppel-Erpressungs-Gruppen veröffentlichen erbeutete Daten regelmäßig auf eigenen Leak-Sites, wenn keine Zahlung erfolgt ist, manchmal auch Monate nach dem Angriff.
Die betroffenen Häuser haben begonnen, ihre Patientinnen und Patienten schriftlich zu informieren. Wer in den vergangenen Jahren als Privatpatient oder Selbstzahler an einer der genannten Kliniken behandelt worden ist und bisher keine Mitteilung erhalten hat, kann sich auf den jeweiligen Klinik-Webseiten über den Stand informieren oder direkt nachfragen.
Der Fall ist ein weiteres Lehrstück darüber, wie verwundbar die deutsche kritische Infrastruktur an den Schnittstellen zu spezialisierten Dienstleistern ist. Wer als Geschäftsführer auch nur einen Teil seiner Datenverarbeitung an externe Anbieter ausgelagert hat, sollte den Vorfall zum Anlass nehmen, das eigene Lieferantenrisiko ehrlich zu bewerten. Die Frage ist nicht, ob der nächste solche Hack kommt. Die Frage ist nur, wessen Dienstleister es treffen wird.
