Weitere Unikliniken melden tausende bei Dienstleister gestohlene Patientendaten

Berlin – Nach dem Cyberangriff auf einen externen Abrechnungsdienstleister, bei dem Patientendaten entwendet wurden, melden sich immer mehr Kliniken als betroffen. Das Gesamtausmaß bleibt aber weiter unklar.

Gestern hatten zunächst baden-württembergische Universitätskliniken publik gemacht, dass bei dem Dienstleister Daten von Patienten abgeflossen sind. Allein bei diesen vier Einrichtungen ging es insgesamt um mehr als 70.000 Datensätze, darunter teils auch Gesundheitsdaten. Das betroffene Unternehmen ist demnach für weitere Kliniken bundesweit tätig.

Auf Anfrage des Deutschen Ärzteblattes äußerten sich heute weder die angegriffene Firma Unimed noch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) zum Gesamtumfang an geklauten Patientendaten.

Das BSI erklärte, über „den IT-Sicherheitsvorfall mit Bezug zu mehreren Kliniken in Deutschland“ informiert worden zu sein. Zu Details eines Vorfalls bei Dritten äußere man sich allerdings nicht.

Gesamtzahl bisher bekannter Fälle überschreitet Marke von 100.000

Heute meldete etwa auch das Universitätsklinikum Köln, dass beim Dienstleister rund 30.000 Patientendaten gestohlen wurden, darunter etwa Namen, Adressen, behandelndem Arzt sowie Rechnungssummen. In mehr als 800 Fällen gehe es auch um Gesundheitsdaten wie Inhalte aus der Patientenkommunikation mit dem Abrechnungsdienstleister.

Beim Universitätsklinikum Schleswig-Holstein hieß es, dass nach vorläufigem Stand mindestens rund 9.000 Datensätze beim Dienstleister gehackt worden seien. „Das genaue Ausmaß und die Folgen des Datendiebstahls sind dem UKSH noch nicht abschließend bekannt.“

Die Unimedizin Mainz berichtete von rund 2.800 betroffenen Patienten, das Universitätsklinikum Düsseldorf von weiteren mehr als 3.000. Das Universitätsklinikum des Saarlands meldete knapp 1.300 Fälle.

Auf der Webseite von Unimed werden noch weitere Kliniken als Kunden angeführt, darunter Europas größte Universitätsklinik, die Charité in Berlin. Am Freitagnachmittag lag auf Anfrage des Deutschen Ärzteblattes zunächst keine Antwort vor, ob sie auch betroffen ist.

Offenbar dauern Auswertungen zum Angriff auch noch an. Das Universitätsklinikum Würzburg erklärte auf Anfrage, dass es derzeit mit dem Abrechnungsunternehmen prüfe, in welchem Ausmaß Patientinnen und Patienten betroffen sind. „Das UKW wird die Patientinnen und Patienten, bei denen durch den Cyberangriff sensible Daten betroffen sind, sobald wie möglich persönlich informieren.“

„Eine unmittelbare Gefahr für die Versorgung der Bevölkerung besteht aus Sicht des BSI nicht“, erklärte das BSI weiter. Die beobachtete Anzahl von Angriffen auf Dienstleister habe sich in den vergangenen Jahren jedoch insgesamt merklich gesteigert. 

Angegriffenes Unternehmen: Ausschließlich Privatpatienten und Selbstzahler betroffen

Das angegriffene Unternehmen Unimed teilte mit, bereits kurz nach dem Vorfall wieder uneingeschränkt arbeitsfähig gewesen zu sein und das eigene System gehärtet zu haben. Datenschnittstellen zu Kunden waren demnach zeitweise vorsorglich getrennt worden.

Angenommen werde, dass die Angreifer das System der Firma verschlüsseln wollten, was aber nicht gelungen sei. „Bevor die Angreifer abgewehrt werden konnten, haben sie Daten aus einem begrenzten Bereich entwendet“, so Unimed. Dieser habe auch Kommunikation zu Abrechnungswidersprüchen enthalten, die man im Auftrag der Kunden bearbeite. Es gehe ausschließlich um Privatpatienten und Selbstzahler.

Man werde die Sicherheit der eigenen IT-Systeme kontinuierlich nach aktuellem Stand der Technik „auf die sich dynamisch weiterentwickelnden Sicherheitsanforderungen“ anpassen, versprach das Unternehmen. Es betonte, den Vorfall zutiefst zu bedauern, ihn sehr ernst zu nehmen und sich der möglichen Auswirkungen auf Kunden und deren Patienten bewusst zu sein.

Der Angriff sei den zuständigen Behörden sowie der Polizei gemeldet worden. Man habe Kunden und Behörden regelmäßig auf dem jeweils aktuellen gesicherten Stand informiert gehalten.

Derartige Daten könnten für Phishing oder Erpressung missbraucht werden

Beim BSI wird eine Gefahr der Weiterverwendung der Daten gesehen, wies es hieß. Grundsätzlich könnten derartige Daten von Angreifern als Hilfsmittel genutzt werden, um weitere kriminelle Handlungen im Cyberraum durchzuführen. Mit solchen Daten könnten Menschen persönlich angesprochen werden, zum Beispiel in Phishing-Mails. Sensible Daten insbesondere im Bereich des Gesundheitswesens könnten zudem zur Erpressung genutzt werden. 

Betroffenen wurde geraten, besonders vorsichtig zu sein und insbesondere E-Mails, Anrufe und vergleichbare Kontaktaufnahmen kritisch zu prüfen. Cyberkriminelle seien oft psychologisch geschult und nutzten Zeit- und Handlungsdruck oder eine vorgetäuschte Gefährdung dazu, um Menschen zu unbedachten Handlungen zu verleiten. Verfügen die Kriminellen über authentische Daten, könnten sie noch glaubwürdiger wirken.

Besonders wichtig sei es, nicht hektisch zu handeln. Passwörter, PINs oder ähnliches dürften nicht herausgegeben werden, betonte das BSI. Im Zweifel könne man eine bekannte Kontaktadresse, etwa der Uniklinik oder einer behandelnden Ärztin, für Rückfragen nutzen.

ggr