Im Zentrum des Vorfalls steht Unimed, ein Unternehmen, das im Auftrag zahlreicher deutscher Krankenhäuser die Abrechnung für privat- und selbstzahlende Patienten abwickelt. Nach Darstellung der betroffenen Einrichtungen verschafften sich unbekannte Angreifer Mitte April Zugang zu den Systemen des Dienstleisters. Die eigene klinische Infrastruktur der Häuser sei davon nicht betroffen gewesen, die Patientenversorgung lief unverändert weiter.

Am stärksten betroffen ist nach eigenen Angaben die Uniklinik Köln: Dort sind nahezu 30.000 Menschen betroffen. Die Angreifer griffen Namen, Adressen und Informationen zu behandelnden Ärzten ab. In mehr als 840 Fällen kamen weitere gesundheitsbezogene Daten hinzu, einschließlich der Kommunikation mit dem Abrechnungsdienstleister. In fünf Fällen wurden zudem Bank- und Zahlungsdaten kompromittiert.

Auch Kliniken in Baden-Württemberg meldeten erhebliche Datenabflüsse. Das Universitätsklinikum Freiburg erklärte, die Angreifer hätten Basisdaten von rund 54.000 Patienten erbeutet, in etwa 900 Fällen zudem Abrechnungsdaten mit Bezug zu Diagnosen oder Behandlungen. Das Universitätsklinikum Heidelberg sprach von rund 11.000 Betroffenen, darunter etwa 2.700, bei denen auch Abrechnungsdaten betroffen sein könnten. Das Universitätsklinikum Ulm meldete etwa 1.600 betroffene Patienten, darunter rund 300 Fälle mit Diagnose- und Behandlungsinformationen.

Nach Angaben der Kliniken verarbeitet Unimed Rechnungen und behandlungsbezogene Verwaltungsdaten für Privatversicherte, Personen mit Zusatzversicherung und Selbstzahler, teils auch für internationale Patienten. Wer ausschließlich über die gesetzliche Krankenversicherung abgesichert ist, sei in der Regel nicht betroffen. Die Häuser stoppten die Datenübermittlung an den Dienstleister. Unimed äußerte sich bislang nicht zu dem Angriff und reagierte nicht auf eine Anfrage.

Wer hinter der Attacke steckt und auf welche Weise sie ablief, ist nicht bekannt. Weder eine Ransomware-Gruppe noch ein anderer Akteur bekannte sich öffentlich zu der Tat.

Mehrere Kliniken erwägen rechtliche Schritte gegen den Dienstleister. Das Universitätsklinikum Heidelberg stellte Strafanzeige gegen Unbekannt. „Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt. Ihr Diebstahl ist ein schwerwiegender Eingriff in die Rechte der Betroffenen“, sagte Frederik Wenz, Leitender Ärztlicher Direktor des Universitätsklinikums Freiburg. Man nehme den Vorfall sehr ernst und fordere vom Dienstleister eine vollständige Aufklärung; zugleich prüfe man rechtliche Optionen.