Wie deutsche Unikliniken die intimsten Geheimnisse ihrer Patienten leichtfertig verschenken
Während Politiker in Berlin noch über Digitalisierung und „sichere Gesundheitsdaten“ schwadronieren, wurde in der Realität gerade einer der dreistesten und folgenreichsten Cyberangriffe auf das deutsche Gesundheitswesen verübt. Und die Verantwortlichen? Die wirken erstaunlich gelassen.
Mitte April 2026 hackten unbekannte Täter den externen Abrechnungsdienstleister Unimed. Das Ergebnis: Die sensibelsten Daten von schätzungsweise über 120.000 Patienten – vor allem Privatpatienten und Selbstzahler – liegen nun auf dem Schwarzmarkt oder in den Händen professioneller Krimineller. Name, Adresse, Geburtsdatum, Diagnosen, Behandlungsverläufe, teilweise sogar Röntgenbilder und in Einzelfällen Bankverbindungen. Das ist nicht irgendein kleiner Datenleck. Das ist ein Einbruch in die intimste Sphäre des Menschen.
Besonders skandalös: Die Uniklinik Freiburg ist mit rund 54.000 betroffenen Patienten besonders schwer getroffen. Dahinter folgen die Unikliniken Köln (ca. 30.000), Heidelberg (11.000) und eine ganze Reihe weiterer renommierter Häuser. Die offizielle Sprachregelung der Kliniken lautet einheitlich: „Die Patientenversorgung war zu keiner Zeit gefährdet.“
Wie beruhigend.
Als ob es nur darum ginge, ob gerade jemand während einer OP vom Stromnetz genommen wurde. Für die Betroffenen beginnt der Albtraum erst jetzt. Wer will schon, dass seine Prostata-Diagnose, seine psychische Erkrankung, seine Abtreibung oder seine HIV-Therapie plötzlich in falschen Händen landet? In Zeiten, in denen Erpressung mit intimsten Gesundheitsdaten längst zum Geschäftsmodell geworden ist, wiegen diese Worte wie Hohn.
Systematisches Versagen
Der Skandal offenbart ein System, das seit Jahren gewarnt wurde – und nichts gelernt hat. Warum lagern Universitätskliniken, also Einrichtungen der Maximalversorgung, die Abrechnung hochvertraulicher Patientendaten an einen externen Dienstleister aus? Aus Kostengründen natürlich. Effizienz vor Sicherheit. Typisch deutsche Gesundheitspolitik.
Datenschützer und IT-Sicherheitsexperten schlagen seit Jahren Alarm: Das deutsche Gesundheitswesen ist ein digitales Pulverfass. Statt endlich in moderne, verschlüsselte Infrastruktur zu investieren, wird weiter auf Billig-Dienstleister und veraltete Systeme gesetzt. Das Ergebnis sieht man jetzt. Während die Bundesregierung Milliarden in fragwürdige Digitalprojekte pumpt, schaffen es Kriminelle offenbar mühelos, in die Kernsysteme der Patientenabrechnung einzudringen.
Und wo bleibt die Aufregung in Berlin? Wo sind die Sonderermittlungen? Wo ist die lückenlose Aufklärung? Stattdessen bekommen die Betroffenen freundliche Briefe per Post – Monate später. Ein Hohn für Menschen, deren Leben nun potenziell monate- oder jahrelang von Identitätsdiebstahl, gezielter Erpressung oder Rufschädigung bedroht ist.
Die unsichtbare Bombe
Besonders perfide: Viele der betroffenen Patienten sind Privatversicherte. Menschen, die freiwillig höhere Beiträge zahlen, weil sie glauben, dafür bessere Behandlung und mehr Diskretion zu erhalten. Nun zeigt sich: Auch hier sind sie nur Datenlieferanten in einem maroden System. Die Krankenkassen und Privatversicherer schweigen weitgehend. Kein Wunder – schließlich profitieren auch sie von der Auslagerung.
Experten warnen bereits vor einer neuen Welle von „Medical Blackmail“. Kriminelle könnten gezielt Personen mit bestimmten Diagnosen anschreiben: „Zahlen Sie, oder Ihre Arbeitgeber, Familie und Nachbarn erfahren von Ihrer Erkrankung.“ In einer Gesellschaft, in der mentale Gesundheit, Krebs oder sexuelle Krankheiten immer noch Stigma bedeuten können, ist das eine tickende Zeitbombe.
Wer trägt die Verantwortung?
Die Klinikleitungen verweisen auf Unimed. Unimed verweist vermutlich auf „hochkomplexe Angriffe“. Und der Staat? Der verweist auf die DSGVO – jenes Regelwerk, das Bürger mit Papierkram überschüttet, aber echte Sicherheit nicht liefert.
Es ist dieselbe politische Kaste, die uns erzählt, dass „Digitalisierung die Zukunft ist“, während sie gleichzeitig nicht einmal in der Lage ist, die Grundlagen dafür zu sichern. Man muss sich fragen: Wollen die eigentlich, dass das Gesundheitswesen sicher ist? Oder dient der ganze Datensalat am Ende doch nur der Vorbereitung einer zentralen Patientenakte, auf die dann Behörden und Versicherungen fröhlich zugreifen können?
Fazit: Es reicht
| Dieser Angriff ist kein unglücklicher Einzelfall. Er ist der logische Höhepunkt jahrelanger Ignoranz, Sparpolitik und ideologischer Verblendung. Die Patienten sind keine Kollateralschäden – sie sind die Opfer eines Systems, das ihre intimsten Daten mit der gleichen Sorgfalt behandelt wie eine Excel-Tabelle. |
Wer jetzt noch von „Datensouveränität“ spricht, der lügt. Die Wahrheit ist: In Deutschland sind Ihre Gesundheitsdaten nicht mehr sicher. Und die Verantwortlichen haben offenbar nicht vor, das ernsthaft zu ändern.
Betroffene sollten dringend ihre Konten und Identitäten überwachen, Misstrauen gegenüber verdächtigen Anrufen walten lassen und gegebenenfalls rechtlichen Beistand suchen. Denn eines ist klar: Auf die Kliniken und den Staat können sie sich in dieser Sache nicht verlassen.
Quellen