Wieder einmal trifft es das Gesundheitswesen: Ein Cyberangriff auf einen externen Abrechnungsdienstleister hat sensible Patientendaten der Universitätskliniken Freiburg und Heidelberg offengelegt. Betroffen sind Berichten zufolge tausende Personen, deren Behandlungs- und Abrechnungsdaten in falsche Hände geraten sein könnten.
Das Perfide: Die Kliniken selbst wurden nicht direkt gehackt. Der Angriff traf einen Dienstleister, der für die Privatabrechnung zuständig ist. Für Patientinnen und Patienten ist das ein Albtraum, denn Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Ich erkläre euch, was passiert ist, welche Daten betroffen sind und was ihr jetzt konkret tun könnt.
Cyberangriff auf Unikliniken: Was ist passiert?
Angegriffen wurde nicht die IT der Kliniken selbst, sondern ein externer Dienstleister, der die privatärztliche Abrechnung für die Universitätskliniken Freiburg und Heidelberg abwickelt. Über diesen Umweg gelangten Kriminelle an Datensätze, die eigentlich streng geschützt sein sollten.
Betroffen sind laut Berichten vor allem Personen, die als Privatpatienten oder Selbstzahler in den beiden Häusern behandelt wurden. Die Kliniken haben begonnen, Betroffene zu informieren, und kooperieren mit den Datenschutzbehörden sowie den Ermittlungsbehörden. Solche Vorfälle müssen laut DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.
Welche Daten konkret abgeflossen sind, hängt vom jeweiligen Fall ab. In Frage kommen typischerweise:
- Stammdaten: Name, Adresse, Geburtsdatum, Versicherungsnummer
- Abrechnungsdaten: Leistungsziffern, Diagnosen, Behandlungszeiträume
- Bankverbindungen für Rückerstattungen oder Lastschriften
- Kommunikationsdaten wie E-Mail-Adressen und Telefonnummern
Angriffe auf Abrechnungsdienstleister sind kein Einzelfall. Im Gesundheitswesen häufen sich Vorfälle, bei denen nicht die Kliniken selbst, sondern deren Zulieferer und IT-Partner zum Einfallstor werden. Sicherheitsexperten warnen seit Längerem vor genau dieser Lieferketten-Schwachstelle.
Warum sind Patientendaten für Hacker so wertvoll?
Anders als ein gestohlenes Passwort lassen sich Diagnosen, Geburtsdaten oder Versicherungsnummern nicht einfach ändern. Genau das macht medizinische Daten auf einschlägigen Marktplätzen im Darknet so begehrt. Mit einer Kombination aus Name, Adresse, Geburtsdatum und Versicherungsdaten lassen sich überzeugende Phishing-Mails bauen oder sogar Identitätsdiebstahl betreiben.
Hinzu kommt: Wer sensible Diagnosen kennt, kann Betroffene unter Druck setzen. Auch wenn Erpressungsversuche bislang nicht der Hauptweg sind, ist die psychische Belastung für Betroffene enorm. Niemand möchte, dass die eigene Krankengeschichte im Netz kursiert.
Für die Kliniken selbst ist der Vorfall ein Reputationsschaden, auch wenn sie technisch nicht direkt verantwortlich sind. Patienten erwarten zu Recht, dass ihre Daten auch bei Dienstleistern sicher sind. Die DSGVO macht die Auftraggeber hier mitverantwortlich.
Vom Datenleck betroffen? Diese 5 Schritte sind wichtig
Wenn ihr in Freiburg oder Heidelberg in Behandlung wart und vermutet, betroffen zu sein, solltet ihr nicht in Panik verfallen, aber gezielt handeln. Die wichtigsten Schritte:
- Offizielle Information abwarten: Die Kliniken sind verpflichtet, Betroffene direkt zu kontaktieren. Achtet auf Post oder offizielle E-Mails – nicht auf dubiose Nachrichten, die angeblich von der Klinik kommen.
- Phishing-Wachsamkeit erhöhen: Rechnet in den kommenden Wochen mit gezielten Mails, die euch zur Eingabe von Daten oder zum Klick auf Links auffordern. Im Zweifel: nicht klicken, direkt bei der Klinik nachfragen.
- Kontoauszüge prüfen: Wenn Bankdaten betroffen sein könnten, kontrolliert eure Konten regelmäßig auf ungewöhnliche Abbuchungen.
- Passwörter ändern: Falls ihr Patientenportale oder Apps der Kliniken nutzt, setzt das Passwort zurück und aktiviert wo möglich Zwei-Faktor-Authentifizierung.
- Auskunft verlangen: Nach Artikel 15 DSGVO habt ihr das Recht zu erfahren, welche Daten von euch betroffen sind. Stellt eine schriftliche Anfrage an die Klinik.
Wer den Verdacht hat, dass die eigenen Daten missbraucht werden, sollte zusätzlich Anzeige bei der Polizei erstatten und sich an die Landesdatenschutzbeauftragten in Baden-Württemberg wenden. Beide Stellen sind kostenlos erreichbar und beraten Betroffene.
Wie kann ich meine Gesundheitsdaten schützen?
Komplett verhindern könnt ihr solche Vorfälle nicht, denn ihr habt keinen Einfluss auf die IT-Sicherheit von Kliniken oder deren Dienstleistern. Was ihr aber tun könnt: die Angriffsfläche reduzieren.
- Gebt bei Arztbesuchen nur die Daten an, die wirklich nötig sind. Eine zweite E-Mail-Adresse oder eine Prepaid-Handynummer für Behandlungen kann sinnvoll sein.
- Nutzt für Patientenportale starke, einzigartige Passwörter – am besten aus einem Passwort-Manager.
- Aktiviert überall Zwei-Faktor-Authentifizierung, wo es angeboten wird.
- Speichert sensible Dokumente wie Arztbriefe nicht ungesichert in Cloud-Diensten ohne Verschlüsselung.
- Prüft regelmäßig über Dienste wie Have I Been Pwned, ob eure E-Mail-Adresse in bekannten Leaks auftaucht.
Für die elektronische Patientenakte (ePA), die seit Anfang des Jahres flächendeckend eingeführt wird, gilt das übrigens besonders. Hier solltet ihr aktiv entscheiden, welche Dokumente ihr freigebt und welche nicht. Die ePA bietet feingranulare Einstellungen – nutzt sie auch.
Welche Folgen hat das Datenleck für das Gesundheitssystem?
Der Angriff auf den Abrechnungsdienstleister der Unikliniken Freiburg und Heidelberg ist kein Ausreißer, sondern ein Symptom. Das Gesundheitswesen ist chronisch unterinvestiert in IT-Sicherheit, und die wachsende Vernetzung mit externen Partnern vergrößert die Angriffsfläche Jahr für Jahr. Kliniken müssen ihre Lieferanten strenger prüfen, und der Gesetzgeber muss bei Dienstleistern im Gesundheitsbereich strengere Sicherheitsstandards durchsetzen.
Für euch heißt das: Bleibt wachsam, prüft eingehende Nachrichten kritisch und macht von euren Rechten Gebrauch. Ein Datenleck ist ärgerlich, aber kein Weltuntergang – solange ihr schnell reagiert. Und falls euch jemand anruft und sich als Mitarbeiter der Klinik ausgibt, um angeblich Daten zu „bestätigen“: auflegen. Solche Anrufe werdet ihr in den kommenden Wochen mit hoher Wahrscheinlichkeit erleben.
