Digitaler Dammbruch im Gesundheitswesen: Hacker erbeuten sensibelste Patientendaten in fünfstelliger Größenordnung

Was als routinemäßige Abrechnungsdienstleistung für deutsche Spitzenkliniken begann, endet im digitalen Desaster epochaler Dimension. Bei einem Cyberangriff auf den saarländischen Abrechnungsdienstleister Unimed mit Sitz in Wadern sind die Gesundheitsdaten von zehntausenden Patientinnen und Patienten in fremde Hände gefallen. Betroffen sind Kliniken in gleich vier Bundesländern – Baden-Württemberg, Nordrhein-Westfalen, Rheinland-Pfalz und dem Saarland. Ein Vorfall, der einmal mehr offenlegt, wie fragil die deutsche Sicherheitsarchitektur im sensibelsten aller Bereiche tatsächlich ist.

Wenn Krankenakten zur Beute werden

Die nüchternen Zahlen lassen erschaudern. Allein die Uniklinik Köln meldete, dass 30.000 Menschen betroffen seien. In Baden-Württemberg erbeuteten die Täter Daten von mehr als 72.000 Patienten der Universitätskliniken Freiburg, Ulm, Heidelberg und Tübingen. Am Universitätsklinikum Düsseldorf war von über 3.000 Fällen die Rede, am Universitätsklinikum des Saarlands von rund 1.200. Die Mainzer Universitätsmedizin nannte eine Zahl von maximal 2.764 betroffenen Personen. Es trifft, so die Auskunft, ausschließlich Privatpatienten und Selbstzahler – jene Klientel also, deren Daten auf dem Schwarzmarkt besonders begehrt sind.

Die Attacke selbst soll bereits Mitte April stattgefunden haben. Erst Wochen später erfährt die Öffentlichkeit von dem Vorfall – ein Tempo, das man wohlwollend als bedächtig bezeichnen könnte. Kurz nach dem Angriff sei der Abrechnungsservice wieder uneingeschränkt arbeitsfähig gewesen, beteuert das Unternehmen. Man bedauere den Vorfall zutiefst und nehme ihn sehr ernst. Worte, die für die Betroffenen einen bitteren Beigeschmack haben dürften.

Die Hacker wollten alles – und bekamen genug

Nach Angaben des Dienstleisters gingen die Angreifer mit voller Härte vor. Ihr Ziel sei die komplette Verschlüsselung des Systems gewesen – ein klassischer Ransomware-Angriff also, bei dem am Ende horrende Lösegeldforderungen stehen. Diesen finalen Schritt habe man verhindern können. Doch bevor die digitalen Eindringlinge abgewehrt wurden, seien die Daten bereits abgeflossen. Die Pferde waren längst aus dem Stall, als die Tür endlich verschlossen wurde.

Die Mainzer Universitätsmedizin formulierte die Tragweite mit ungewöhnlicher Klarheit: Gesundheitsdaten gehörten zu den sensibelsten Daten überhaupt, der Cyberangriff sei ein schwerwiegender Eingriff für die Betroffenen, den man aufs Schärfste verurteile. Eine Verurteilung allein wird den Geschädigten allerdings wenig helfen, deren intimste medizinische Details nun möglicherweise im Darknet ihr neues Zuhause finden.

Deutschlands digitales Versagen in Serie

Der Fall reiht sich ein in eine Kette beunruhigender Vorfälle. Die Bundesagentur für Arbeit, der Bundestag, kommunale Verwaltungen, Krankenhäuser – die Liste erfolgreicher oder versuchter Cyberangriffe auf deutsche Institutionen wird länger und länger. Während die Politik in Berlin sich seit Jahren mit Schlagwörtern wie „digitale Souveränität" und „Cybersicherheitsstrategie" schmückt, klafft in der Realität eine Lücke, durch die Hackergruppen offenbar nach Belieben spazieren können. Während Milliarden in ideologische Prestigeprojekte fließen, bleibt die Absicherung der kritischen Infrastruktur ein Stiefkind der Politik.

Besonders pikant: Die hochsensiblen Daten landeten nicht etwa direkt bei den Kliniken, sondern bei einem externen Abrechnungsdienstleister. Die Auslagerung sensibler Verarbeitungsprozesse an Drittunternehmen mag betriebswirtschaftlich verlockend sein – sicherheitstechnisch erweist sie sich immer wieder als veritable Achillesferse. Jede zusätzliche Schnittstelle ist ein zusätzliches Einfallstor.

Was bleibt dem Bürger?

Für die Betroffenen ist der Schaden kaum zu beziffern. Krankheitsdiagnosen, Behandlungsdetails, Abrechnungsinformationen – einmal gestohlen, lassen sich diese Daten nicht zurückrufen wie eine fehlerhafte Lieferung. Sie sind in der Welt, möglicherweise auf Jahre und Jahrzehnte. Erpressungsversuche, Identitätsdiebstahl, gezielte Phishing-Attacken – die Möglichkeiten der Kriminellen sind vielfältig.

Der Vorfall sollte ein Weckruf sein. In einer Zeit, in der das Vertrauen in staatliche und institutionelle Strukturen ohnehin auf einem historischen Tiefpunkt angelangt ist, kann sich Deutschland solche Pannen schlicht nicht mehr leisten. Die Frage, wer eigentlich die Verantwortung trägt, wenn höchstpersönliche Gesundheitsdaten in dunklen Foren feilgeboten werden, harrt einer ehrlichen Antwort. Solange Datensicherheit als lästige Pflichtaufgabe abgehakt wird, anstatt als zentrale Säule eines funktionierenden Gemeinwesens begriffen zu werden, dürften weitere Vorfälle dieser Art nur eine Frage der Zeit sein.

In einer zunehmend digitalisierten und damit verwundbaren Welt zeigt sich überdies einmal mehr: Materielle Werte, die sich physisch in den eigenen vier Wänden oder im Tresor befinden, lassen sich von keinem Hacker dieser Welt mit einem Mausklick entwenden. Physische Edelmetalle wie Gold und Silber bleiben unabhängig von Servern, Cloud-Diensten und externen Dienstleistern – ein Aspekt, der in Zeiten wie diesen an Bedeutung gewinnt, wenn es um die solide Beimischung in einem breit gestreuten Vermögensportfolio geht.