News

Fünf Wochen Schweigen:

4 min read Isabelle Groschke
Fünf Wochen Schweigen:

Was der Unimed-Hack wirklich über IT-Sicherheit im Gesundheitswesen sagt

Der 14. April 2026. Irgendwo in den Systemen der Firma Unimed in Wadern, Saarland, bewegen sich Angreifer. Sie haben Zugang zu Abrechnungsdaten von Zehntausenden Krankenhauspatienten. Ihr Ziel: die Systeme verschlüsseln, Lösegeld kassieren. Das scheitert — aber die Daten sind da schon längst weg.

Fünf Wochen später, am 21. Mai, erfahren die ersten Patienten davon.

Fünf Wochen.


Wer ist Unimed — und warum sollte mich das interessieren?

Wenn du privat versichert bist, eine Zusatzversicherung hast oder zuletzt als Selbstzahler im Krankenhaus warst, hast du wahrscheinlich noch nie von Unimed gehört. Trotzdem hat das Unternehmen deine Daten verarbeitet — ohne dass du das explizit gewählt hast.

Unimed Abrechnungsservice ist seit 1984 eine sogenannte privatärztliche Verrechnungsstelle. Das Unternehmen schreibt im Auftrag von Krankenhäusern Rechnungen für Privatpatienten, Selbstzahler und Kassenpatienten mit Wahlleistungen. Rund 1.000 Mitarbeiter, sieben Standorte, über drei Millionen Privatabrechnungen pro Jahr. Kunden sind Universitätskliniken in ganz Deutschland — Köln, Freiburg, Heidelberg, Tübingen, Ulm und viele mehr.

Das Modell ist verbreitet und für Kliniken wirtschaftlich sinnvoll: Wer gut Medizin machen will, delegiert die Bürokratie. Nur leider auch die Verantwortung für die Daten.


Was genau passiert ist

Der Angriff am 14. April folgte einem inzwischen klassischen Muster: Die Angreifer wollten die Systeme verschlüsseln — das Standardvorgehen bei Ransomware, um Lösegeld zu erpressen. Das wurde verhindert. Was nicht verhindert wurde: Vor der Abwehr wurden aus einem „begrenzten Bereich" Daten kopiert und abgezogen. Darunter laut Unimed auch Kommunikation zu Abrechnungswidersprüchen.

Das klingt harmlos formuliert. Es ist es nicht.

Gestohlen wurden unter anderem:

  • Namen, Geburtsdaten, Adressen (sogenannte Stammdaten)
  • Rechnungsdaten — aus denen sich Diagnosen und Behandlungen ableiten lassen
  • In Einzelfällen auch direkte Gesundheitsdaten aus der Kommunikation mit dem Dienstleister

Allein für die Uniklinik Freiburg sind das 54.000 Patienten. In Köln 30.000. Bundesweit liegt die Zahl inzwischen bei über 100.000 betroffenen Datensätzen. Und es werden vermutlich noch mehr.

Die klinische Versorgung war nie beeinträchtigt. Das stimmt. Aber das ist die falsche Messlatte.


Das eigentliche Problem: der Supply-Chain-Angriff

Die Kliniken wurden nicht direkt angegriffen. Ihre eigenen Systeme blieben sauber. Trotzdem sind ihre Patientendaten weg.

Das ist das Wesen eines Supply-Chain-Angriffs: Man greift nicht das Ziel selbst an, sondern einen Dienstleister, dem das Ziel vertraut. Im besten Fall trifft man damit nicht eine Organisation, sondern gleich Dutzende gleichzeitig. Im Fall Unimed: mehrere der renommiertesten Universitätskliniken Deutschlands, mit einem einzigen Angriffspunkt.

Stell dir vor, du schließt deine Wohnung sorgfältig ab — aber der Handwerker, dem du einen Ersatzschlüssel gegeben hast, hat seinen Schlüsselbund nicht gesichert. Jemand kopiert alle Schlüssel. Deine Türe wurde nie aufgebrochen. Trotzdem ist jemand drin.

Genau das ist hier passiert. Und genau das wird mit der zunehmenden Auslagerung von IT-Prozessen immer häufiger passieren.


Fünf Wochen. Nochmal.

BSI und Datenschutzbehörde wurden am 16. April informiert — zwei Tage nach dem Angriff. Das ist korrekt. Das ist sogar vorbildlich.

Die Patienten? Die erfahren es ab dem 21. Mai — per Brief. Wer das Glück hat, überhaupt einen zu bekommen.

Das genaue Ausmaß des Datenabflusses sei laut Uniklinik Freiburg erst Mitte Mai „belastbar bekannt" geworden. Das mag sein. Trotzdem stellt sich die Frage: Was passiert in diesen fünf Wochen mit gestohlenen Gesundheitsdaten auf dem Schwarzmarkt? Was können Betroffene tun, wenn sie es nicht wissen?

Nichts. Sie können nichts tun.

IT-Sicherheitsexperten, die den Vorfall kommentieren, weisen noch auf etwas anderes hin: Unimed spricht davon, Systeme nach dem Angriff „erfolgreich entsprechend gängiger Methoden abgesichert" zu haben. Das klingt beruhigend. Es bedeutet aber im Klartext: Diese Maßnahmen hätten vorher bereits Standard sein sollen.


Was gestohlene Gesundheitsdaten wert sind — und was das für dich bedeutet

Gesundheitsdaten sind auf dem Schwarzmarkt deutlich mehr wert als einfache Kreditkartendaten. Warum? Weil sie sich nicht so einfach ändern lassen wie ein Passwort oder eine Kontonummer. Dein Name, dein Geburtstag, deine Adresse, dein Arzt, deine Diagnose — das bleibt, was es ist.

Mit diesen Informationen lassen sich überzeugend gefälschte E-Mails konstruieren, die vorgeben, von deiner Krankenkasse, der Klinik oder dem Inkasso zu kommen. Spear-Phishing nennt sich das — und es funktioniert erschreckend gut, weil die Details stimmen.

Wenn du Post von einer Klinik oder deiner Krankenversicherung bekommst — oder eine E-Mail, die du nicht erwartet hast — sei in den nächsten Monaten besonders wachsam. Klick auf nichts, ruf lieber direkt bei der Einrichtung an.


Das Gesundheitswesen ist kein Sonderfall. Es ist das Hauptziel.

Das BSI dokumentierte allein zwischen Oktober 2024 und September 2025 insgesamt 138 sicherheitsrelevante Vorfälle im deutschen Gesundheitswesen — und geht davon aus, dass die tatsächliche Dunkelziffer deutlich höher liegt, weil viele kleinere Einrichtungen noch nicht meldepflichtig sind.

22 Prozent aller weltweit bekannt gewordenen Ransomware-Angriffe zielen inzwischen auf den Gesundheitssektor. Keine andere Branche wird häufiger getroffen.

Der Grund ist simpel: Krankenhäuser und ihre Dienstleister haben häufig veraltete IT, wenig Budget für Sicherheit — und gleichzeitig Daten, die maximal sensibel sind. Das macht sie zur bevorzugten Beute.


Was du als Patient — oder als Unternehmen — daraus mitnehmen solltest

Wenn du Patient bist:

  • Rechne damit, einen Brief zu bekommen. Lies ihn.
  • Sei in den kommenden Monaten misstrauisch gegenüber unerwarteten Kontaktversuchen, die sich auf medizinische Themen beziehen.
  • Du hast das Recht, bei der zuständigen Datenschutzbehörde Auskunft zu verlangen und Beschwerde einzureichen.

Wenn du ein Unternehmen bist, das mit Dienstleistern arbeitet:

  • Weißt du, welche Drittanbieter Zugang zu deinen Kundendaten haben?
  • Hast du vertragliche Regelungen, wie diese Dienstleister mit deinen Daten umgehen und wann sie dich bei einem Vorfall informieren müssen?
  • Hast du geprüft, ob diese Dienstleister grundlegende Sicherheitsstandards einhalten?

Supply-Chain-Angriffe zielen genau auf diese blinden Flecken. Nicht auf die Tür, die du kennst — sondern auf die, von der du nicht wusstest, dass sie existiert.


Fazit: Das Problem heißt nicht Unimed

Unimed ist in diesem Fall der Dienstleister, dessen Systeme kompromittiert wurden. Aber das eigentliche Problem ist struktureller Natur: Wir leben in einer Welt, in der sensible Daten über lange Ketten von Dritten laufen — und die wenigsten Betroffenen wissen das, geschweige denn kontrollieren es.

Das ist keine Katastrophenstimmung. Das ist die Realität der modernen IT-Infrastruktur.

Die gute Nachricht: Es gibt Gegenmaßnahmen. Datensparsamkeit, klare Verträge mit Dienstleistern, Minimalzugriffsprinzipien, regelmäßige Sicherheitsprüfungen — nichts davon ist Hexerei. Aber es erfordert, dass man das Thema ernst nimmt, bevor der Ernstfall eintritt.

Nicht fünf Wochen danach.


Wenn du wissen willst, wie du dein Unternehmen oder deine eigene IT besser gegen solche Szenarien absichern kannst — schreib uns. Bei LinSE schauen wir uns das gerne gemeinsam an.