Mitte April 2026 wurden die Systeme von Unimed, einem der größten Abrechnungsdienstleister für Universitätskliniken in Deutschland, angegriffen. Die Angreifer verschafften sich Zugang zu sensiblen Patientendaten, bevor sie abgewehrt werden konnten. Der Vorfall betrifft nach aktuellem Stand mehr als 100.000 Patienten aus zahlreichen Universitätskliniken bundesweit.

Was ist passiert?

Unimed mit Sitz in Wadern (Saarland) übernimmt für Kliniken die Abrechnung privatärztlicher und wahlärztlicher Leistungen. Das Unternehmen betreut nach eigenen Angaben 95 Prozent aller Universitätskliniken in Deutschland und verarbeitet jährlich über drei Millionen Privatabrechnungen.
Am 14. April 2026 drangen die Angreifer in die Systeme ein. Ihr Ziel war offenbar eine vollständige Verschlüsselung der Infrastruktur. Das gelang ihnen zwar nicht, aber bevor die Angreifer abgewehrt wurden, kopierten sie Daten aus einem, wie Unimed es formuliert, „begrenzten Bereich“. Darunter befand sich auch Kommunikation zu Abrechnungswidersprüchen zwischen Patienten und dem Dienstleister. Der Vorfall wurde dem Landeskriminalamt Saarland gemeldet. BSI und Datenschutzaufsichtsbehörden wurden laut Klinikberichten bereits am 16. April 2026 informiert.

Wer ist betroffen?

Mehrere Universitätskliniken haben inzwischen konkrete Zahlen veröffentlicht:

• Universitätsklinikum Freiburg: rund 54.000 Patienten, darunter in ca. 900 Fällen Diagnose- und Abrechnungsdaten sowie vereinzelt Kontodaten
• Uniklinik Köln: rund 27.298 Patienten, in 843 Fällen Gesundheitsdaten, in 5 Fällen Finanzdaten (IBAN, Kontonummern)
• Universitätsklinikum Düsseldorf: mehr als 3.000 Fälle, davon 162 mit möglichen Gesundheitsdaten
• Universitätsklinikum Tübingen: rund 5.000 betroffene Patienten
• Universitätsklinikum Ulm: rund 1.600 Patienten, in ca. 300 Fällen Diagnose- und Behandlungsdaten
  Universitätsklinik Mannheim: rund 3.000 Patienten, ein Fall mit Finanzdaten
• Universitätsklinikum des Saarlandes (Homburg): 1.266 Patienten
• Universitätsmedizin Mainz: bis zu 2.764 Patienten
• Weitere betroffene Einrichtungen in Heidelberg, die bislang keine Detailzahlen nannten

Alle betroffenen Kliniken betonen, dass ihre eigenen klinischen Systeme und die Patientenversorgung zu keinem Zeitpunkt beeinträchtigt waren. Betroffen sind ausschließlich Privatpatienten, Zusatzversicherte und Selbstzahler, deren Abrechnungsdaten Unimed verarbeitete.

Was wurde gestohlen?

• Stammdaten: Namen, Adressen, Geburtsdaten
• Abrechnungsdaten: Rechnungssummen, behandelnde Ärzte, Diagnosen und Behandlungsarten (aus Abrechnungsunterlagen)
• Kommunikationsinhalte: Schriftverkehr zu Abrechnungswidersprüchen, aus dem sich medizinische Details ableiten lassen können
• In wenigen Einzelfällen: Bankverbindungen (IBAN, Kontonummern)

Einordnung

Dieser Vorfall ist kein Einzelfall, sondern ein weiteres Beispiel für ein bekanntes Muster: Angreifer zielen nicht mehr nur auf die eigentlichen Zielorganisationen, sondern auf deren Dienstleister. Wer als Krankenhaus auf einen externen Abrechnungspartner setzt, lagert damit auch einen Teil seiner Datenschutzverantwortung aus, ohne die Haftung loszuwerden.
Bemerkenswert ist die Breite des Vorfalls: Ein einziger kompromittierter Dienstleister hat gleichzeitig den Datenschutz von Patienten aus mindestens acht Universitätskliniken verletzt. Das BSI und mehrere Landesdatenschutzbehörden ermitteln. Zur Tätergruppe hinter dem Angriff auf Unimed ist bislang nichts bekannt.
Unabhängig davon ist kurz zuvor ein ähnlicher Vorfall bei der Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) bekannt geworden. Dort drohte die Ransomware-Gruppe „Kairos“ mit der Veröffentlichung von rund 2,87 Terabyte an Daten. Gesundheitsdaten sind offensichtlich ein bevorzugtes Angriffsziel.