Cyberangriff: Daten zehntausender Uniklinik-Patienten entwendet

Ulm/Freiburg/Heidelberg/Tübingen – Bei einem Cyberangriff auf einen externen Dienstleister sind verschiedene Daten von insgesamt mehr als 71.000 Patienten der vier Universitätskliniken in Baden-Württemberg entwendet worden. Das geht aus Erklärungen hervor, die Kliniken Freiburg, Ulm, Heidelberg und Tübingen heute Nachmittag veröffentlichten.

Der Vorfall könnte noch weitere Krankenhäuser in Deutschland betreffen. Der externe Dienstleister rechnet nach Auskunft der nun betroffenen Häuser für zahlreiche Kliniken in Deutschland private oder wahlärztliche Leistungen ab.

Die Patientenversorgung oder die klinischen Systeme seien zu keinem Zeitpunkt beeinträchtigt gewesen, hieß es. Nach Angaben der Kliniken sind Stammdaten entwendet worden, zudem teils auch Rechnungsdaten und Informationen, die Rückschlüsse auf die Gesundheit der Betroffenen erlauben.

• Uniklinikum Freiburg: Von rund 54.000 Menschen sollen Stammdaten wie Name, Geburtsdatum und Adresse gestohlen worden sein. In rund 900 Fällen seien zudem Rechnungsdaten entwendet worden, wie es hieß. Daraus können Informationen zu Diagnose und Behandlungsart hervorgehen.

• Das Uniklinikum Heidelberg spricht von entwendeten Stammdaten wie Name, Geburtsdatum und Adresse von rund 11.000 Patienten. In rund 2.700 Fällen sind demnach zudem aller Wahrscheinlichkeit nach Rechnungsdaten geklaut worden.

• In Tübingen wurden insgesamt Daten von rund 5.000 Menschen entwendet. Davon gehe es in rund 1.200 Fällen um Gesundheitsdaten, also Inhalte aus Patientenakten, Diagnosen, Diagnosecodes sowie sonstige konkrete Angaben zu Erkrankungen, Behandlungen oder Gesundheitsverläufen. Dies soll Aussagen über den Gesundheitszustand der Person ermöglichen. Allgemeine Finanzdaten wie Auszüge aus Rechnungen seien von 3.800 Menschen entwendet worden, teilte das Uniklinikum mit.

• In Ulm stahlen Cyberbetrüger Stammdaten von rund 1.600 Personen. In etwa 300 Fällen seien zudem rechnungsrelevante Daten entwendet worden, teilte die Universitätsklinik mit. Sie spricht davon, dass nach jetzigen Kenntnisstand Patientinnen und Patienten mit Wahlleistungen betroffen sind, die in den vergangenen zehn Jahren dort behandelt wurden.

Der Cyberangriff soll bereits Mitte April ausgeführt worden sein. Die betroffenen Universitätskliniken in Baden-Württemberg stoppten nach eigenen Angaben die Datenübertragung an den Dienstleister, sobald dies bekannt wurde. Die zuständige Datenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) seien informiert, hieß es.

Das Uniklinikum Tübingen betonte, das konkrete Ausmaß und die Art der abgeflossenen Daten seien erst diese Woche belastbar mitgeteilt worden, entsprechend informiere man nun die Öffentlichkeit.

Rechtliche Schritte werden geprüft

Das Universitätsklinikum Heidelberg hat nach eigenen Angaben Strafanzeige gegen Unbekannt erstattet. „Wir nehmen diesen Vorfall sehr ernst und fordern vom Dienstleister lückenlose Aufklärung. Parallel prüfen wir rechtliche Schritte“, teilte der Leitende Ärztliche Direktor des Universitätsklinikums Freiburg, Frederik Wenz, mit.

Udo X. Kaisers, Leitender Ärztlicher Direktor und Vorstandsvorsitzender des Uniklinikums Ulm, betonte, man erwarte vom betroffenen Dienstleister eine vollständige und transparente Aufklärung. Gleichzeitig behalte man sich rechtliche Schritte vor.

Die vier baden-württembergischen Unikliniken kündigten an, mutmaßlich betroffene Patienten persönlich zu kontaktieren. „Wir bedauern den Datendiebstahl und die daraus entstandene Verunsicherung zutiefst“, sagte Jens Maschmann, Leitender Ärztlicher Direktor des Universitätsklinikums Tübingen.

Wie es aus Tübingen hieß, hat der externe Dienstleister den Vorfall mit externen Sicherheitsexperten umfassend analysiert. Demnach soll es als nicht wahrscheinlich eingestuft worden sein, dass die geklauten Daten veröffentlicht werden. „Für den Fall einer Veröffentlichung wurden ein engmaschiges Monitoring (u.a. im Internet inkl. Darknet) sowie rechtliche Eskalationsoptionen vorbereitet.“

dpa/ggr