Der Cyberangriff auf den Dienstleister Unimed hat die IT-Sicherheitslandschaft im Gesundheitswesen erschüttert und die Verwundbarkeit externer Partnerschaften offengelegt. Sensible Patientendaten von Zehntausenden Menschen wurden gestohlen, darunter Stammdaten, medizinische Diagnosen und Finanzinformationen. Die betroffenen Kliniken stehen vor der Herausforderung, nicht nur den Vorfall zu bewältigen, sondern auch langfristige Lehren für die Sicherheit ihrer IT-Infrastruktur zu ziehen.
Was ist passiert?
Nach Angaben von Unimed ereignete sich der Angriff Mitte April 2026. Die Angreifer hatten offenbar das Ziel, die Systeme des Abrechnungsdienstleisters vollständig zu verschlüsseln, was jedoch verhindert werden konnte. Dennoch gelang es den Kriminellen, sensible Daten aus einem begrenzten Bereich zu entwenden, die vor allem Abrechnungsinformationen von Privatpatienten und Selbstzahlern betrafen. Zu den gestohlenen Daten zählen Stammdaten wie Name, Adresse und Geburtsdatum, aber auch medizinische Diagnosen und Kontoinformationen.
Unimed trennte nach eigenen Angaben sofort die Datenschnittstellen zu den Kunden und informierte die zuständigen Behörden. Die Analyse des Datenabflusses, die durch externe IT-Forensiker unterstützt wurde, dauerte mehrere Wochen. Unimed erklärte, dass die Untersuchung aufgrund ihrer Komplexität sehr zeitaufwändig war. Somit konnten erst Mitte Mai die betroffenen Kliniken belastbare Informationen über den Umfang des Datenklaus erhalten – eine Verzögerung, die bei den betroffenen Krankenhäusern durchaus kritisch gesehen wird.
Uniklinikum Köln: Konsequente Transparenz und schärfere Sicherheitsanforderungen
Das Universitätsklinikum Köln betont auf Nachfrage von kma, dass die Sicherheit ihrer eigenen IT-Systeme zu keinem Zeitpunkt gefährdet war. Dennoch sind von dem Angriff rund 30.000 Patienten des Klinikums betroffen, deren Daten über die Zusammenarbeit mit Unimed abgeflossen sind.
Informationssicherheit ist kein statischer Zustand, sondern ein kontinuierlicher Evolutionsprozess.
„Wir bedauern zutiefst, dass es bei unserem externen Dienstleister zu diesem Datenabfluss gekommen ist und unseren Patientinnen und Patienten dadurch Unannehmlichkeiten entstehen“, erklärte die Uniklinik gegenüber kma. Gleichzeitig habe der Vorfall gezeigt, dass die internen Sicherheits- und Notfallprozesse der Klinik wirksam ineinandergreifen. Durch die sofortige Isolation der Schnittstellen konnte die Patientenversorgung zu jedem Zeitpunkt gewährleistet werden. „Informationssicherheit ist kein statischer Zustand, sondern ein kontinuierlicher Evolutionsprozess“, so das Klinikum.
Unmittelbar nach Bekanntwerden des Vorfalls hat die Uniklinik alle betroffenen Patienten individuell per Post informiert. „Transparenz hat für uns höchste Priorität. Alle betroffenen Patientinnen und Patienten wissen jetzt genau, welche Datenkategorien im Einzelfall betroffen sind und welche Handlungsempfehlungen wir geben können“, heißt es weiter. Bis Unimed lückenlos nachweisen kann, dass die Systeme bereinigt und gehärtet sind, bleibe die Datenübertragung ausgesetzt. Strafanzeige wurde gestellt, und das Klinikum will die Prüfkriterien für externe Partner künftig noch engmaschiger gestalten.
Klinikum Karlsruhe: Sicherheit als Priorität
Das Klinikum Karlsruhe verfolgt eine klare Strategie, um IT-Sicherheitsrisiken zu minimieren. „Wir haben umfangreiche organisatorische und technische Anforderungen an die IT-Sicherheit externer Dienstleister, die regelmäßig überprüft und an aktuelle Vorgaben angepasst werden“, erklärt das Klinikum auf Nachfrage. Trotz dieser Maßnahmen wurden bei dem Angriff Daten von Patienten kompromittiert. Das Klinikum Karlsruhe hat nach eigenen Angaben ein starkes Sicherheitskonzept mit mehrstufigen Schutzmechanismen. In Verbindung mit den eingesetzten Sicherheitssystemen soll dies einen Zugriff vom gehackten Dienstleister auf die IT-Systeme des Klinikums verhindern.
Der aktuelle Vorfall bestätigt die Bedeutung kontinuierlicher Investitionen in die IT- und Informationssicherheit.
Das Klinikum hebt hervor, dass der Vorfall die Bedeutung kontinuierlicher Investitionen in IT-Sicherheit unterstreicht, „auch bei den aktuell schwierigen finanziellen Rahmenbedingungen“. Der Schutz sensibler Daten habe für das Klinikum höchste Priorität. Eine umfassende Überprüfung aller Schnittstellen und Prozesse wurde bereits eingeleitet. Alle betroffenen Patienten werden persönlich informiert, eine eigene Kontaktstelle wurde eingerichtet, um Fragen zu klären. Von Unimed erwarte man „eine lückenlose Aufklärung des Vorfalls“.
Uniklinikum Freiburg: Audits und schnelle Reaktion
Nach bisherigen Erkenntnissen sind beim Universitätsklinikum Freiburg etwa 54.000 Patienten betroffen, deren Daten über die Zusammenarbeit mit Unimed abgeflossen sind. Die Klinik reagierte unmittelbar nach der ersten Information durch den Dienstleister am 15. April, stoppte die Datenübertragung und informierte die zuständigen Behörden. „Unsere internen Systeme waren zu keinem Zeitpunkt betroffen“, betont ein Sprecher des Uniklinikums gegenüber kma.
Die Penetrationstests dienen dem Schutz unserer Infrastruktur auch im Hinblick von Bedrohungen durch Dienstleister.
In Freiburg setze man auf regelmäßige Penetrationstests und Audits, um die IT-Sicherheit kontinuierlich zu verbessern. „Zu Beginn der Zusammenarbeit mit Unimed wurde ein Audit vor Ort durchgeführt, bei dem keine gravierenden Mängel festgestellt wurden. Angesichts der aktuellen Vorkommnisse werden wir eine erneute Überprüfung vornehmen und unsere Standards weiter erhöhen.“ Auch hier wurden alle betroffenen Patienten schriftlich informiert, und eine zentrale Kontaktstelle eingerichtet, um Fragen zu klären. Strafanzeige wurde ebenfalls gestellt.
Expertenmeinung: Schwachstellen müssen systematisch angegangen werden
Für Cybersecurity-Experte Meik Eusterholz vom Beratungsunternehmen Unity kommt der Angriff wenig überraschend: „Nicht das ‚Ob‘, sondern höchstens das ‚Bei wem‘ ist unerwartet.“ Er sieht den Angriff auf Unimed als symptomatisch für die Schwachstellen in der Lieferkette. „Dienstleister sind zentrale Einfallstore für Angreifer“, so Eusterholz gegenüber kma, weil sie oft über weitreichende Zugriffsrechte verfügen. Entscheidend sei daher, wie gut Kliniken darauf vorbereitet sind, die Auswirkungen zu begrenzen.
Dienstleister sind zentrale Einfallstore in der Lieferkette.
Der Experte betont, dass bei den Schwachstellen nicht nur technische Fehler das Problem sind, sondern die fehlende Steuerung. Besonders kritisch sieht er die fehlende Transparenz und zu weitreichende Zugriffsrechte und unzureichende Kontrolle der Datenflüsse. „Kliniken müssen wissen, welche Daten wohin fließen“.
Typische Schwachstellen in der Zusammenarbeit mit Dienstleistern
- Zu großes Vertrauen in externe Zugriffe: In der Praxis gibt es oft eine unkritische Haltung gegenüber den Rechten, die Dienstleistern eingeräumt werden. Zugriffsmöglichkeiten werden selten hinterfragt oder minimiert.
- Unklare Datenweitergabe: Es werden oft mehr Daten geteilt, als für die Zusammenarbeit erforderlich sind.
- Ungeordnete Berechtigungen: Vielen Kliniken fehlt die Übersicht, wer auf welche Daten zugreifen kann.
- Mangelndes Monitoring: Oft werden ungewöhnliche Datenbewegungen erst bemerkt, wenn es zu spät ist.
- Unsichere Schnittstellen zwischen den Systemen: Fehlende Absicherung zwischen Klinik und Dienstleister.
- Vertragliche Lücken: Viele Kliniken versäumen es, klare Sicherheitsanforderungen und Meldepflichten verbindlich in Verträgen festzulegen.
NIS-2 als verbindlicher Rahmen
Die europäische NIS-2-Richtlinie sieht Eusterholz als eine klare Handlungsgrundlage, die Kliniken dringend nutzen sollten, um ihre Sicherheitsstandards zu erhöhen: „Die Richtlinie verpflichtet Kliniken dazu, die Sicherheit der Lieferkette aktiv zu steuern. Das bedeutet konkret, dass Dienstleister nicht nur überprüft, sondern auch regelmäßig auditiert werden müssen. Denn Krankenhäuser sind auch für Risiken verantwortlich, die durch Dienstleister entstehen“. Sicherheitsanforderungen müssen konkret im Vertrag verankert und überprüfbar sein, empfiehlt der Experte.
Krankenhäuser bleiben auch für Risiken verantwortlich, die durch Dienstleister entstehen.
Zu den Mindestanforderungen gehören:
- Mehrfaktor-Authentifizierung für Zugriffe
- Strikt begrenzte Zugriffsrechte nach dem Prinzip der Erforderlichkeit
- Verschlüsselte Datenübertragung und -speicherung
- Protokollierung sicherheitsrelevanter Aktivitäten
- Regelmäßige Sicherheitsüberprüfungen mit Nachweis
- Verbindliche Meldepflichten für Sicherheitsvorfälle
- Anforderungen an Notfallvorsorge und Wiederanlauf
Lehren und Maßnahmen
Eusterholz sieht auch in der Reaktionsfähigkeit der Kliniken Verbesserungspotenzial. Kliniken sollten mit ihren Dienstleistern Notfallpläne entwickeln und vertraglich festhalten, wer wann was zu tun hat. Dazu gehören definierte Meldefristen, feste Ansprechpartner mit 24/7-Erreichbarkeit und ein gemeinsames Incident-Playbook.“ Des Weiteren empfiehlt er in regelmäßigen Übungen den Ernstfall und die Abläufe zu trainieren.
Auf die Frage, welche Lehren Kliniken aus dem Vorfall ziehen und was die dringensten Maßnahmen sind, die sofort umgesetzt werden sollten, fasst Eusterholz zusammen: „Kliniken müssen Dienstleister als Teil ihrer eigenen Angriffsfläche betrachten“. Das bedeutet, dass externe Zugriffe minimiert und kontrolliert werden müssen. Datenflüsse sollten nur auf das Notwendige reduziert und bestenfalls pseudonymisiert oder aggregiert werden. Und verbindliche NIS-2-Anforderungen sollten vertraglich festgelegt und regelmäßig geprüft werden.
Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!
Jetzt einloggen