Ein Cyberangriff auf den saarländischen Abrechnungsdienstleister Unimed betrifft bundesweit zahlreiche Universitätskliniken. Nach eigenen Angaben betreut das Unternehmen 95 Prozent aller Universitätskliniken in Deutschland sowie 51 Prozent aller Kliniken mit mehr als 600 Betten. Den betroffenen Häusern zufolge wurden dabei Patientendaten von zehntausenden Privatpatienten und Selbstzahlern entwendet. Die Kliniken selbst betonen, dass ihre internen Systeme und die Patientenversorgung nicht in Mitleidenschaft gezogen worden seien.

Der Angriff ereignete sich laut Unimed bereits Mitte April 2026. Das Unternehmen teilte mit, der Vorfall sei dem Landeskriminalamt Saarland gemeldet worden. Nach Darstellung von Unimed wollten die Angreifer die Systeme verschlüsseln. Das sei zwar verhindert worden, allerdings seien vor der Abwehr aus einem „begrenzten Bereich“ Daten abgeflossen. Darunter befand sich laut Unimed auch Kommunikation zu Abrechnungswidersprüchen.

Auf Nachfrage zu weiteren betroffenen Einrichtungen erklärte Unimed: „Bitte haben Sie Verständnis, dass wir als Dienstleister keine darüber hinaus gehenden Angaben zu unseren Kunden und deren Daten machen können“. Auch zum Angriffsvektor machte Unimed keine Angaben.

Kliniken veröffentlichen Zahlen

Inzwischen haben zahlreiche Kliniken konkrete Zahlen veröffentlicht. Besonders stark betroffen ist das Universitätsklinikum Freiburg: Dort wurden nach Angaben der Klinik Stammdaten von rund 54.000 Patientinnen und Patienten entwendet, darunter Namen, Adressen und Geburtsdaten. In rund 900 Fällen seien zusätzlich Rechnungsdaten betroffen, aus denen sich Diagnosen und Behandlungsarten ableiten lassen könnten. In wenigen Fällen seien auch Kontodaten abgeflossen. Die Uniklinik Köln meldet rund 30.000 betroffene Datensätze. Darunter seien 843 Fälle mit Gesundheitsdaten sowie fünf Fälle mit Finanzdaten wie IBAN oder Kontonummern.

Am Universitätsklinikum Düsseldorf geht es um mehr als 3.000 Fälle mit allgemeinen Patientendaten sowie 162 Fälle, bei denen auch Gesundheitsdaten betroffen sein könnten. Die Universitätsmedizin Mainz spricht von bis zu 2.764 betroffenen Privatpatienten und Selbstzahlern.

Weitere Fälle meldeten unter anderem Ulm, Mannheim sowie das Universitätsklinikum des Saarlands in Homburg. Dort sollen 1.266 Patientinnen und Patienten betroffen sein. In Ulm sind rund 1.600 Patienten betroffen, in etwa 300 Fällen könnten zudem Diagnose- und Behandlungsdaten abgeflossen sein. Mannheim meldet rund 3.000 Betroffene und einen Fall mit kompromittierten Finanzdaten. Auch Heidelberg und Tübingen bestätigen Vorfälle, nannten bislang jedoch keine detaillierten Zahlen.

Mehrere der betroffenen Kliniken erklärten, die Datenübertragung an Unimed unmittelbar nach Bekanntwerden des Vorfalls gestoppt zu haben. Zudem seien Datenschutzbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert worden. Viele Häuser kündigten an, betroffene Personen schriftlich zu benachrichtigen und rechtliche Schritte zu prüfen. Unimed erklärte am Freitag, die Systeme seien inzwischen wieder vollständig arbeitsfähig. Externe IT-Forensiker hätten die Infrastruktur untersucht und abgesichert. Hinweise darauf, dass sich noch Angreifer im System befinden, gebe es Unimed zufolge nicht.

Ransomware bei Abrechnungsdienstleister betrifft Kassenpatienten in Niedersachsen

Erst vor wenigen Tagen wurde bekannt, dass nach einem Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) ebenfalls sensible Gesundheits- und Abrechnungsdaten abgeflossen sind. Arwini prüft im Auftrag gesetzlicher Krankenkassen und der Kassenärztlichen Vereinigung Niedersachsen die Wirtschaftlichkeit ärztlicher Verordnungen. Die Polizeidirektion Hannover bestätigte gegenüber heise online, dass hinter dem Angriff die Ransomware-Gruppe „Kairos“ steckt. Die Täter drohen dort mit der Veröffentlichung eines angeblich 2,87 Terabyte großen Datensatzes. Wer für den erfolgreichen Angriff auf Unimed verantwortlich ist, ist noch nicht bekannt.

Bei Arwini könnten nach Angaben des Unternehmens bis zu 75.000 Datensätze betroffen sein. Die Kassenärztliche Vereinigung Niedersachsen erklärte, an die Prüfstelle würden quartalsweise pseudonymisierte Abrechnungsdaten übermittelt. Zwar seien Patientendaten anonymisiert, allerdings enthielten die Datensätze arztbezogene Informationen wie Arztnummern und Betriebsstättennummern, sodass Praxen identifizierbar bleiben. Nach Angaben der Polizei stehen die Ermittler wegen der Gruppe „Kairos“ im internationalen Austausch.

(mack)

Es war nach Angaben der Polizei der VPN-Dienst des Vertrauens für etliche Cyberkriminelle: First VPN war in den vergangenen Jahren Teil jeder größeren Cybercrime-Ermittlung der europäischen Polizeiorganisation Europol, nun gingen die Behörden aus mehreren europäischen Ländern gegen den Anbieter vor.

Bei der Aktion unter dem Namen „Operation Saffron“ am 19. und 20. Mai gab es eine Hausdurchsuchung in der Ukraine, zudem schaltete Europol nach eigenen Angaben 33 Server des Anbieters ab und nahm weitere Infrastruktur außer Betrieb. Mehrere Domains im Clear Web und Deep Web gingen vom Netz. Der Administrator des Dienstes wurde festgenommen und vernommen, er befindet sich derzeit in Haft.

Laut Europol „erlangten Ermittler Zugriff auf den Dienst, sicherten dessen Nutzerdatenbank und identifizierten VPN-Verbindungen, die von Cyberkriminellen genutzt wurden, um ihre Aktivitäten zu verschleiern.“ Dabei unterstützte demnach auch das IT-Sicherheitsunternehmen Bit Defender.

Auf seiner Webseite warb First VPN laut der niederländischen Polizei, dass jegliche Zusammenarbeit mit den Justizbehörden abgelehnt würde, der Dienst keiner Gerichtsbarkeit unterliege und keine Nutzerdaten gespeichert würden.

Die Ermittler identifizierten letztlich doch 506 Nutzer des Dienstes, deren Informationen Europol nun international mit anderen Behörden teilt. Betroffene Nutzer würden jetzt darüber informiert, dass Europol sie demaskieren konnte, schreibt die Polizeiorganisation. Die französische Polizei schätzt die Gesamtnutzerzahl auf bis zu 5000.

Etliche Cybercrime-Gruppen waren Kunde

Die US-Bundespolizei Federal Bureau of Investigation (FBI) veröffentlichte als Reaktion auf die Europol-Aktion am Freitag eine Warnmeldung zu First VPN. Mindestens 25 Ransomware-Gruppen, darunter Avaddon Ransomware, haben die Infrastruktur von First VPN Service demnach genutzt, um Netzwerkaufklärung zu betreiben und in Systeme einzudringen. In diversen russischsprachigen Cybercrime-Foren wurde der Dienst von Nutzern empfohlen, berichten Europol und das FBI.

IP-Adressen von First VPN Service seien laut FBI für Scan-Aktivitäten, Botnetze, Denial-of-Service-Angriffe, Betrugsversuche und Hackerangriffe verwendet worden. Das FBI liefert auch eine Liste aller First-VPN-IPs, die im Mai 2026 und davor bekannt waren. Allerdings können solche bösartigen Infrastrukturen auch auf virtualisierten Plattformen oder Cloud-Plattformen gehostet werden, wodurch IP-Adressen dynamisch oder vorübergehend zugewiesen werden. Das FBI schränkt zudem ein: Eine Adresse, die in der Liste auftaucht, kann in der Vergangenheit, zum Zeitpunkt der Beobachtung durch Ermittler, für kriminelle Aktivitäten genutzt worden sein, aber gegenwärtig für nicht-bösartige Aktivitäten dienen. Für mehr Aufschluss sollten Interessierte demnach Netzwerktelemetriedaten und andere Informationsquellen hinzuziehen.

Unterstützung auch aus Deutschland

Die Aktion fand in den Ländern Luxemburg, Schweiz, Rumänien, Ukraine und Großbritannien statt. Beteiligt an der Aktion waren Polizeikräfte aus den Ländern Frankreich, Niederlande, Luxemburg, Rumänien, Schweiz, Ukraine und Großbritannien. Unterstützt wurden die Ermittlungen zudem von Polizeibehörden in Kanada, Rumänien, USA und Deutschland. Die Federführung hatten laut einem Europol-Sprecher französische und niederländische Behörden.

(nen)

Die besten TV-Angebote vor der Fußball-WM 2026

Wie gut sind die Angebote?

Marke oder No-Name?

OLED, QLED, DLED?

Alternativen

Fazit