Ein Cyberangriff auf den saarländischen Abrechnungsdienstleister Unimed betrifft bundesweit zahlreiche Kliniken. Nach eigenen Angaben betreut das Unternehmen 95 Prozent aller Universitätskliniken in Deutschland sowie 51 Prozent aller Kliniken mit mehr als 600 Betten. Den betroffenen Häusern zufolge wurden dabei Patientendaten von zehntausenden Privatpatienten und Selbstzahlern entwendet. Die Kliniken selbst betonen, dass ihre internen Systeme und die Patientenversorgung nicht in Mitleidenschaft gezogen worden seien.

Der Angriff ereignete sich laut Unimed bereits Mitte April 2026. Das Unternehmen teilte mit, der Vorfall sei dem Landeskriminalamt Saarland gemeldet worden. Nach Darstellung von Unimed wollten die Angreifer die Systeme verschlüsseln. Das sei zwar verhindert worden, allerdings seien vor der Abwehr aus einem „begrenzten Bereich“ Daten abgeflossen. Darunter befand sich laut Unimed auch Kommunikation zu Abrechnungswidersprüchen.

Auf Nachfrage zu den weiteren betroffenen Einrichtungen erklärte Unimed: „Bitte haben Sie Verständnis, dass wir als Dienstleister keine darüber hinaus gehenden Angaben zu unseren Kunden und deren Daten machen können“. Auch zum Angriffsvektor machte Unimed keine Angaben.

Kliniken veröffentlichen Zahlen

Inzwischen haben zahlreiche Kliniken konkrete Zahlen veröffentlicht. Besonders stark betroffen ist das Universitätsklinikum Freiburg: Dort wurden nach Angaben der Klinik Stammdaten von rund 54.000 Patientinnen und Patienten entwendet, darunter Namen, Adressen und Geburtsdaten. In rund 900 Fällen seien zusätzlich Rechnungsdaten betroffen, aus denen sich Diagnosen und Behandlungsarten ableiten lassen könnten. In wenigen Fällen seien auch Kontodaten abgeflossen. Die Uniklinik Köln meldet rund 30.000 betroffene Datensätze. Darunter seien 843 Fälle mit Gesundheitsdaten sowie fünf Fälle mit Finanzdaten wie IBAN oder Kontonummern.

Am Universitätsklinikum Düsseldorf geht es um mehr als 3.000 Fälle mit allgemeinen Patientendaten sowie 162 Fälle, bei denen auch Gesundheitsdaten betroffen sein könnten. Die Universitätsmedizin Mainz spricht von bis zu 2.764 betroffenen Privatpatienten und Selbstzahlern.

Weitere Fälle meldeten unter anderem Ulm, Mannheim sowie das Universitätsklinikum des Saarlands in Homburg. Dort sollen 1.266 Patientinnen und Patienten betroffen sein. In Ulm sind rund 1.600 Patienten betroffen, in etwa 300 Fällen könnten zudem Diagnose- und Behandlungsdaten abgeflossen sein. Mannheim meldet rund 3.000 Betroffene und einen Fall mit kompromittierten Finanzdaten. Auch Heidelberg und Tübingen bestätigen Vorfälle, nannten bislang jedoch keine detaillierten Zahlen.

Mehrere der betroffenen Kliniken erklärten, die Datenübertragung an Unimed unmittelbar nach Bekanntwerden des Vorfalls gestoppt zu haben. Zudem seien Datenschutzbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert worden. Viele Häuser kündigten an, betroffene Personen schriftlich zu benachrichtigen und rechtliche Schritte zu prüfen. Unimed erklärte am Freitag, die Systeme seien inzwischen wieder vollständig arbeitsfähig. Externe IT-Forensiker hätten die Infrastruktur untersucht und abgesichert. Hinweise darauf, dass sich noch Angreifer im System befinden, gebe es Unimed zufolge nicht.

Ransomware bei Abrechnungsdienstleister betrifft Kassenpatienten in Niedersachsen

Erst vor wenigen Tagen wurde bekannt, dass nach einem Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) ebenfalls sensible Gesundheits- und Abrechnungsdaten abgeflossen sind. Arwini prüft im Auftrag gesetzlicher Krankenkassen und der Kassenärztlichen Vereinigung Niedersachsen die Wirtschaftlichkeit ärztlicher Verordnungen. Die Polizeidirektion Hannover bestätigte gegenüber heise online, dass hinter dem Angriff die Ransomware-Gruppe „Kairos“ steckt. Die Täter drohen dort mit der Veröffentlichung eines angeblich 2,87 Terabyte großen Datensatzes. Wer für den erfolgreichen Angriff auf Unimed verantwortlich ist, ist noch nicht bekannt.

Bei Arwini könnten nach Angaben des Unternehmens bis zu 75.000 Datensätze betroffen sein. Die Kassenärztliche Vereinigung Niedersachsen erklärte, an die Prüfstelle würden quartalsweise pseudonymisierte Abrechnungsdaten übermittelt. Zwar seien Patientendaten anonymisiert, allerdings enthielten die Datensätze arztbezogene Informationen wie Arztnummern und Betriebsstättennummern, sodass Praxen identifizierbar bleiben. Nach Angaben der Polizei stehen die Ermittler wegen der Gruppe „Kairos“ im internationalen Austausch.

(mack)

Die Drupal-Entwickler warnen vor Attacken auf mit dem Content-Management-System (CMS) erstellte Internetseiten. Im Anschluss haben Angreifer Zugriff auf eigentlich abgeschottete Daten. Sie können sich aber auch höhere Rechte verschaffen oder sogar Schadcode aus der Ferne ausführen. Sicherheitsupdates stehen zum Download bereit.

Kritische Schadcode-Lücke

Wie aus einer mittlerweile um die Warnung vor laufenden Attacken aktualisierten Meldung des Softwareherstellers hervorgeht, ist die Sicherheitslücke (CVE-2026-9082) mit dem Bedrohungsgrad „kritisch“ eingestuft. Sie betrifft ausschließlich Websites, die PostgreSQL nutzen. Ist das der Fall, setzen Angreifer mit präparierten SQL-Injection-Attacken an der Schwachstelle an. Attacken sollen ohne Authentifizierung möglich sein. Wie Angriffe im Detail ablaufen, führen die Drupal-Entwickler derzeit nicht aus. Unklar ist zurzeit auch, in welchem Umfang die Attacken ablaufen.

Die Entwickler haben schon vor dem Erscheinen des Sicherheitspatches vor möglichen Attacken gewarnt und Admins in einer Meldung auf das Erscheinen des Updates vorbereitet.

Instanzen vor Attacken schützen

Von der Lücke sind auch Drupal-Versionen betroffen, für die der Support ausgelaufen ist. Aufgrund der Dringlichkeit haben die Entwickler aber trotzdem Sicherheitsupdates veröffentlicht. Sie geben an, die folgenden Ausgaben gegen die laufenden Attacken gerüstet zu haben:

• Drupal 8.9
• Drupal 9.5
• Drupal 10.4.10
• Drupal 10.5.10
• Drupal 10.6.9
• Drupal 11.1.10
• Drupal 11.2.12
• Drupal 11.3.10

Die Entwickler weisen darauf hin, dass nicht mehr im Support befindliche Ausgaben zwar dieses Sicherheitsupdate bekommen, sie aber nach wie vor über ältere Schwachstellen angreifbar sind. Demzufolge sollten Webadmins ein Upgrade auf eine noch unterstützte Version durchführen.

(des)

Als die Bibliothek von Alexandria in Flammen aufging, brannte das Feuer lichterloh. Riesige Stichflammen erhellten in dieser Nacht Ägyptens blau-schwarzen Himmel. Wesentliche Teile des gesammelten Wissens der Menschheit gingen verloren und der Verlauf der Menschheitsgeschichte wurde um Jahrhunderte zurückversetzt. Das könnte man zumindest meinen, wenn man History-Memern auf der Plattform Reddit glaubt.

Was in den einen Fällen plakativ als große Katastrophe der Menschheitsgeschichte gezeichnet wird, geschieht in anderen Fällen leise, schleichend und unbemerkt. Die wohl größte Ansammlung von Wissen und Dokumentationen befindet sich heute weder in einer Universitätsbibliothek noch in einem Staatsarchiv, sondern im Internet – und steht weitestgehend jederzeit zu unserer Verfügung. Unzählige Websites, digitalisierte Archive, Medienberichte, Videos, Fotomaterial und Zeitdokumente können wir mit wenigen Klicks direkt einsehen. 

Doch große Teile der im Internet veröffentlichten Dokumente sind schon heute nicht mehr verfügbar: Adressen haben sich geändert, Websites sind offline, Tweets gelöscht. 2023 waren rund 40 Prozent der 2013 hochgeladenen Seiten nicht mehr abrufbar. „Tote Links“ sind heute, rund dreißig Jahre, nachdem das World Wide Web für die breite Masse zugänglich wurde, ein verbreitetes Phänomen. „Link rot“ nennt man es, wenn verlinkte Belege und Verweise ins Nichts führen.

Wissen verbrennt nicht, es verrottet

Statt einer Antwort steht dann „Error 404: Page not found“ auf dem Bildschirm. Das ist nicht nur ein Problem für Forschende und Journalist:innen, deren Quellen verschwinden und Referenzen ungültig werden. Vielmehr ist es ein weitreichender Verlust an Wissen für die gesamte Öffentlichkeit. Die unendliche Verkettung von Informationen, das Netz aus Referenzen und neuen Quellen, die immer wieder gegenseitig aufeinander Bezug nehmen und dabei so umfangreich und gleichzeitig zugänglich sind wie nie zuvor, funktioniert nicht. 

Dabei betrachten und nutzen viele Menschen das Internet als digitales Archiv. So als wäre das Sammeln von Links, das Posten von Fotos und Veröffentlichen von Texten im Internet ein Weg, dieses Material zu konservieren und als Dokumente unseres Abschnitts in der Geschichte der Menschheit haltbar zu machen. Das gilt für öffentliche Publikationen wie für private Erinnerungen: wissenschaftliche Abhandlungen, die nicht mehr in Büchern gedruckt werden, Zeitungsartikel, die Zeitungspapier nie gesehen haben, und private Erinnerungen, die statt in Fotoalben zu kleben auf Instagram gepostet werden. All diese Dokumentationen unserer Existenz, unseres politischen Seins, unserer wissenschaftlichen Erkenntnisse, unseres Alltags wie den Errungenschaften unserer Zeit, drohen zu verschwinden oder im Heuhaufen der geänderten Adressen und abgeschalteten Plattformen unauffindbar zu werden. 

Katastrophale Gleichgültigkeit

Inzwischen nehmen Forscher:innen an, dass die Bibliothek von Alexandria nicht in einem epochalen Feuer verbrannt ist. Als Caesars Legionen 48 vor Christus Alexandria in Brand setzten, erreichte das Feuer wohl nur ein kleines Lager der riesigen Bibliothek. Der wohl tatsächliche Grund für den Untergang der Bibliothek ist banal und vielleicht gerade deswegen katastrophaler als es ein Feuer je sein könnte: Gleichgültigkeit. Schriften, die auf Papyrus verfasst sind, müssen regelmäßig kopiert werden, weil das Material schnell zerfällt. Dass Bibliotheken bestehen, reicht nicht aus, um sie zu bewahren. Wer Bücher und Bibliotheken erhalten will, muss sie pflegen – sonst zerfallen sie. Dieses banale und doch endgültige Schicksal hat nicht nur die Bücher in Alexandria ereilt, sondern etliche Dokumente im Laufe der Geschichte. 

Es muss jemanden geben, der sich genug für den Inhalt eines Archivs interessiert, um ihn nicht nur abstrakt-grundsätzlich erhalten zu wollen, sondern zu reproduzieren. Denn ohne ständige Reproduktion ist Wissen nicht konservierbar. Buchseiten zerfallen zu Staub, auch ohne zu verbrennen. Websites werden abgestellt, Hoster geben ihre Dienste auf, Plattformen löschen alte Inhalte. Nicht ein großes Unglück vernichtet unser gesammeltes Wissens und – wenn man so polemisch sein möchte wie Redditors – lässt unsere Zivilisation untergehen, sondern der Mangel an Interesse an dem, was dort gesammelt wurde. 

Dafür, dass das nicht geschieht, setzt sich das „Internet Archive“ ein, das in diesem Jahr seinen dreißigsten Geburtstag feiert. Das Internet Archive ist nach eigener Beschreibung eine „digitale Bibliothek mit Internetseiten und anderen kulturellen Artefakten in digitaler Form“. „Wie eine gedruckte Bibliothek bieten wir Forschern, Historikern, Wissenschaftlern, Menschen mit Lesebehinderungen und der breiten Öffentlichkeit freien Zugang.“ Ihre Mission sei es, „universellen Zugang zu allem Wissen zu ermöglichen“. Über eine Billion Internetseiten hat das Projekt laut eigenen Angaben bereits archiviert. Damit ist das Internet Archive ein in der Form einzigartiges Projekt und seit vielen Jahren ein wichtiges Tool für Forscher:innen und Journalist:innen. Insbesondere, wenn es darum geht, Dokumente in ihrer ursprünglichen Form einzusehen. 

Journalist:innen sind auch Archivar:innen

Besonders besorgniserregend ist, dass insbesondere auch Medien sich aktiv an der Vernichtung von öffentlich zugänglichen Dokumentationen beteiligen. Viele Rundfunkanstalten löschen etwa die Hinweise auf vergangene Interviews oder Berichte bereits nach wenigen Jahren im Rahmen der Depublizierungspflicht, andere Medienhäuser löschen Meldungen, ändern Überschriften und URLs oder ganze Textabschnitte geräusch- und hinweislos. Damit missverstehen Journalist:innen ihre Funktion. Sie sind nicht nur Berichterstatter, die die Öffentlichkeit heute informieren sollen, sondern gewissermaßen auch Archivar:innen unserer Zeit für nachfolgende Generationen. Ein Gespräch, das im Radio zu hören war, hat nie stattgefunden, wenn auch der letzte Mensch, der es gehört hat, verstorben ist – außer, es gibt eine Dokumentation darüber. 

Umso fataler ist es, dass eine wachsende Zahl großer Medienhäuser dem Internet Archive den Zugang zu ihren Inhalten verweigert. Mindestens 241 Nachrichtenportale aus neun Ländern blockieren die Web-Crawler des Archivs, darunter „The Guardian“, „The New York Times“, „Le Monde“ und „USA Today Co.“. Das tun die Medienhäuser wohl aus Angst, dass ihre Inhalten zunehmend generative KI füttern. Der Journalist Martin Fehrensen sagte der Deutschen Welle, er sähe im Internet Archive die einzige funktionierende Beweismittelkette des offenen Webs: „Millionen Wikipedia-Quellenbelege verlieren ihren Anker, Recherchen zu Plattform-Accountability, also welche AGB galt wann, welche Moderationsregel wurde wie umformuliert, werden deutlich schwieriger, gerichtsfeste digitale Evidenz fällt weg.“ Deswegen würde es besonders den Medienhäusern selbst schaden, die Web-Crawler des Internet Archive zu blockieren. 

Digitale Dunkelzeit

Historiker:innen befürchten bereits jetzt ein „Digital Dark Age“. Der Begriff beschreibt die Sorge, dass aus dem digitalen Zeitalter der Menschheitsgeschichte nur wenige Dokumentationen überleben werden. Insbesondere dann, wenn spätere Generationen einmal keinen Zugriff mehr auf das Netz haben werden oder ihnen das Wissen darüber fehlt, wie man es benutzt. Viele Forschende empfehlen deswegen, möglichst viele Dokumente auszudrucken und analog zu archivieren oder sie mit einer Anleitung abzuspeichern, wie man die digitalen Dokumente nutzen kann. Tagebücher etwa waren über Jahrtausende hinweg relevante Quellen über das Alltagsleben früherer Generationen von Menschen. Ob ein Instagram-Account mit der Bio „My digital diary“ Historiker:innen in hundert oder tausend Jahren zugänglich sein wird, ist zweifelhaft. 

Wenn wir das im Internet gesammelte Wissen erhalten wollen, müssen wir uns für seine Inhalte interessieren. Etwa indem wir Webseiten nicht löschen, auch wenn wir deren Inhalt für veraltet halten, URLs nicht verändern und darauf achten, korrekt zu referenzieren. Dafür setzen sich inzwischen Kampagnen wie die des World Wide Web Consortiums „Cool URLs don’t change“ ein. Vor allem dürfen wir uns nicht auf große Anbieter und Plattformen verlassen, dass sie unsere privaten und zeitgeschichtlichen Dokumente für immer für uns aufheben dürfen. Auch wenn Instagram die Rückschau auf alte Storys „Archiv“ nennt, ist es keins. 

Damit die Informationen, die wir im Internet ablegen, tatsächlich langfristig erhalten bleiben, müssen wir sie vervielfältigen. Websites dezentral speichern, auf Festplatten, im Internet Archive und Dokumente analogisieren; oder wie Bianca Kastl in ihrer Kolumne sagen würde: degitalisieren. Das Internet ist kein nachhaltiges Archiv, weder für private, noch für zeitgeschichtliche Dokumente – zumindest aktuell nicht. Wenn wir nicht wollen, dass Reddit-Nerds in tausend Jahren den Mythos verbreiten, das gesammelte Wissen der Menschheit sei bei einem epochalen Brand eines großen Datencenters vernichtet worden, der die Geschichte der Menschheit um Jahrhunderte zurückversetzt hat – dann müssen wir anfangen, uns mehr für all das zu interessieren, was wir im Internet sammeln.